802.1x权限控制学习
802.1x是什么
AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议。 RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授 权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境 中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机 制,并规定UDP端口1812、1813分别作为默认的认证、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展, RADIUS也适应多种用户接入方式,如以太网接入等。
它通过认证授权来提供接入服 务,通过计费来收集、记录用户对网络资源的使用。
RADIUS协议的主要特征如下:
- 客户端/服务器模式
- 安全的消息交互机制
- 良好的扩展性
学习目的
调用Radius设备账户名密码进行802.1x认证,控权。涉及Radius实机设备配置不做展示,用户可自行购买实际设备,或者自建Radius设备进行权限控制。
现有环境:
S5500交换机一台,
Radius设备一台,
PC一台
交换机配置:
[H3C]dis current-configuration
#
version 5.20, Release 2202
#
sysname H3C
#
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
#
domain default enable system
#
telnet server enable
#
undo ip ttl-expires
#
dot1x
dot1x authentication-method eap
#
vlan 1
#
vlan 101
#
vlan 103
#
radius scheme system
server-type extended
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
radius scheme ceshi
primary authentication 192.168.20.210
primary accounting 192.168.20.210
key authentication msackey
timer response-timeout 5
user-name-format without-domain
retry 5
#
domain bbb
authentication lan-access radius-scheme ceshi
authorization lan-access radius-scheme ceshi
accounting lan-access none
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
#
port access vlan 103
#
interface GigabitEthernet1/0/14
port access vlan 101
dot1x mandatory-domain bbb
dot1x
#
interface GigabitEthernet1/0/15
#
interface GigabitEthernet1/0/16
port access vlan 101
dot1x mandatory-domain bbb
dot1x
#
interface GigabitEthernet1/0/25
shutdown
#
interface GigabitEthernet1/0/26
shutdown
#
interface GigabitEthernet1/0/27
shutdown
#
interface GigabitEthernet1/0/28
shutdown
#
user-interface aux 0 8
user-interface vty 0 4
#
return
重定向配置:
//先放行ip
dot1x free-ip 192.168.20.210 32
dot1x url http://192.168.20.210
255.255.255.255