交换机802.1X认证配置

IEEE802.1X(基于端口的访问控制Port based network access control)是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。

IEEE802.1x的体系结构中包括三个部分:Supplicant System,客户端;Authenticator System,认证设备;Authentication Sever System,认证服务器。

  在客户端(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。Authentication Sever可以采用标准的Radius认证服务器,也可以选用业务交换机来实现,后者主要用在网络规模不大的(300用户左右)情况中,华为3Com的Quidway 3000系列以上交换机在新的软件版本中,都提供内嵌Authentication Sever(认证服务器)的功能,通过华为3Com内部集群通讯协议高效完成对用户的认证配置功能。

用户在通过认证之前,PC1所连接的物理端口E0/1只有认证端口是打开的,而数据端口是关闭状态,因此,当PC1通过dot1x认证之前,只有认证报文通过端口E0/1进行转发,而PC1无法上网;当PC1通过dot1x认证之后,端口E0/1的数据端口打开,PC1可以正常上网。

【配置环境参数】

1.      PC1和PC2分别属于VLAN10和VLAN20,分别连接到交换机SwitchA的端口E0/1和E0/2;SwitchA通过G1/1端口连接到远端的Radius服务器

        交换机连接RADIUS server接口interface vlan 100,地址为192.168.0.100/24

2.      下挂两个用户网段VLAN10和VLAN20,VLAN10包含端口为e0/1到e0/10网段为10.10.1.1/24,VLAN20包含端口为e0/11e0/20网段为10.10.2.1/24

       

【组网需求】

1.      在SwitchA上启动802.1X认证,对PC1、PC2完成认证

2.      在SwitchA上启动802.1X认证,对PC1和PC2进行远端RADIUS认证

【SwitchA相关配置】

1.     创建(进入)VLAN10

[SwitchA]vlan 10

2.     将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

3.     创建(进入)vlan10的虚接口

[SwitchA]interface Vlan-interface 10

4.     给vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

5.     创建(进入)VLAN20

[SwitchA]vlan 20

6.     将E0/2加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

7.     创建(进入)vlan20虚接口

[SwitchA]interface Vlan-interface 20

8.     给vlan20虚接口配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

9.     创建(进入)VLAN100

[SwitchA]vlan 100

10.    将G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

11.    创建(进入)vlan100虚接口

[SwitchA]interface Vlan-interface 100

12.    给vlan100虚接口配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.100 255.255.255.0

【802.1X本地认证缺省域相关配置】

1.      在系统视图下开启802.1X功能,默认为基于MAC的认证方式

[SwitchA]dot1x

2.      在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3.      这里采用缺省域system,并且缺省域引用缺省radius方案system。

[SwitchA]local-user test

4.      设置该用户密码(明文)

[SwitchA-user-test]password simple test

5.      设置该用户接入类型为802.1X

[SwitchA-user-test]service-type lan-access

6.      激活该用户

[SwitchA-user-test]state active

【802.1X本地认证自建域相关配置】

1.      在系统视图下开启802.1X功能,默认为基于MAC的认证方式

[SwitchA]dot1x

2.      在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3.      设置认证方式为radius

[SwitchA]radius scheme radius1

4.      设置主认证服务器为本地,端口号1645

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

5.      设置主计费服务器为本地,端口号1646

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

6.      这里本地用户认证采用自建域huawei

[SwitchA]domain Huawei

7.      在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

8.      设置本地用户名test@huawei

[SwitchA]local-user test@huawei

9.      设置用户密码(明文)

[SwitchA-user-test@huawei]password simple test

10. 设置用户接入类型为802.1X

[SwitchA-user-test@huawei]service-type lan-access

11. 激活该用户

[SwitchA-user-test@huawei]state active

 

【802.1X RADIUS认证相关配置】

1.      在系统视图下开启802.1X功能,默认为基于MAC的方式

[SwitchA]dot1x

2.      在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3.      设置认证方式为radius,radius认证不成功取本地认证

[SwitchA]radius scheme radius1

4.      设置主认证服务器

[SwitchA-radius-radius1]primary authentication 192.168.0.100

5.      设置主计费服务器

[SwitchA-radius-radius1]primary accounting 192.168.0.100

6.      设置交换机与认证服务器的密钥,二者应保持一致

[SwitchA-radius-radius1]key authentication test

7.      设置交换机与计费服务器的密钥,二者应保持一致

[SwitchA-radius-radius1]key accounting test

8.      交换机送给radius的报文不带域名

[SwitchA-radius-radius1]user-name-format without-domain

9.      这里用户认证采用自建域huawei

[SwitchA]domain Huawei

10. 在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

【补充说明】

端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式,缺省是接入控制方式为macbased。两种方法的区别是:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。

例如,修改端口E0/1的接入控制方式为portbased方式:

[SwitchA]dot1x port-method portbased interface Ethernet 0/1

或者:

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]dot1x port-method portbased

如果RADIUS服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchA与RADIUS服务器之间的认证报文通讯正常