Dot1x配置

最新推荐文章于 2024-05-15 09:56:59 发布
最新推荐文章于 2024-05-15 09:56:59 发布
阅读量4.4k 收藏 5
点赞数
分类专栏: Ros软路由
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45970619/article/details/108631099
版权

什么是Dot1x?

Dot1x是RouterOS中IEEE802.1X标准的实现,全称是“基于端口的网络接入控制”。802.1x协议是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。
802.1x认证系统采用网络应用系统典型的Client/Server(C/S)结构,包括三个部分:客户端(Client)、设备端(Device)和认证服务器(Server)

1.客户端:局域网用户终端设备,但必须是支持EAPOL(Extensible Authentication Protocol over LAN,局域网可扩展认证协议)的设备(如PC机),可通过启动客户端设备上安装的802.1x客户端软件发起802.1x认证

2.设备端:支持802.1x协议的网络设备(如交换机),对所连接的客户端进行认证。它为客户端提供接入局域网的端口,可以是物理端口,也可以是逻辑端口(如Eth-Trunk口)。

3.认证服务器:为设备端802.1x协议提供认证服务的设备,是真正进行认证的设备,实现对用户进行认证、授权和计费,通常为RADIUS服务器。

802.1x认证原理
在802.1x认证过程中,设备端与RADIUS服务器之间支持EAP中继和EAP终结两种认证方式。下面均以客户端主动发起认证为例进行介绍这两种认证方式的工作原理。

1.EAP中继认证原理:

在EAP中继认证过程中,设备端起一个中继代理的角色。整个认证过程是先进行用户名认证,然后再进行对应的密码认证。
在这里插入图片描述

  • 当client访问网络时会自动打开802.1x客户端的程序,根据提示输入已经在RADIUS服务器中创建的用户名和密码,发起连接请求。因为端口起始状态是未授权状态,所以此时端口除了IEEE 802.1x协议包外不能接收和发送任何包。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),启动认证过程。
  • 设备端在收到客户端的认证请求帧后,将发出一个Identity(标识)类型的EAP请求帧(EAP-Request/Identity),要求用户的客户端程序发送上一步用户所输入的用户名。
  • 客户端程序在收到设备端的Identity请求帧后,将用户名信息通过Identity类型的EAP响应帧(EAP-Response/Identity)发送给设备端,响应设备端发出的请求。
  • 设备端将客户端发送的Identity响应帧中的EAP报文原封不动地使用EAPOR格式封装在RADIUS报文( RADIUS Access-Request)中,发送给认证服务器进行处理。
  • RADIUS服务器收到设备端发来的RADIUS报文后从中提取用户名信息后,将该信息与数据库中的用户名列表中对比,找到该用户名对应的密码信息,并用随机生成的一个MD5 Challenge消息对密码进行加密处理,然后将此MD5 Challenge消息同样通过EAPOR格式封装以RADIUS Access-Challenge报文发送给设备端。
  • 设备端在收到来自RADIUS服务器的EAPOR格式的Access-Challenge报文后,通过解封装,将其中的MD5 Challenge消息转发给客户端。
  • 客户端在收到由设备端传来的MD5 Challenge消息后,用该Challenge消息对密码部分进行加密处理,然后生成EAP-Response/MD5 Challenge报文,并发送给设备端。
  • 设备端又将此EAP-Response/MD5 Challenge报文以EAPOR格式封装在RADIUS报文( RADIUS Access-Request)中发送给RADIUS服务器。
  • RADIUS服务器将收到的已加密的密码信息后,与第 5 步在本地经过加密运算后的密码信息进行对比,如果相同则认为为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)
  • 设备收到RADIUS Access-Accept报文后,经过EAPOR解封装再以EAP-Success报文向客户端发送,并将端口改为授权状态,允许用户通过端口访问网络。
  • 用户在线期间设备端会通过向客户端定期发送握手报文,对用户的在线情况进行监测。
  • 客户端收到握手报文后向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
  • 客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。
  • 在设备端收到客户端发来的EAPOL-Logoff帧后,把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文,确认对应客户端下线。
  1. EAP终结认证原理

EAP终结方式与EAP中继方式的认证流程相比,主要不同在于步骤(4)中用来对用户密码信息进行加密处理的MD5 challenge是由设备端生成(而不是由RADIUS服务器生成),之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起送给RADIUS服务器,进行相关的认证处理


3.MAC旁路认证

在802.1x认证过程中,设备端会首先触发用户采用802.1x认证方式,但若用户长时间内没有进行802.1x认证(如图18-5所示),则以用户的MAC地址作为用户名和密码上送认证服务器进行认证。MAC旁路认证可使802.1x认证系统中无法安装和使用802.1x客户端软件的终端,例如打印机等,以自身MAC地址作为用户名和密码进行认证。

在这里插入图片描述
应用实例:
在这里插入图片描述

  1. 添加一个RADIUS客户端

/radius
add address=10.1.2.3 secret=radiussecret service=dot1x

  1. 添加dot1x服务器

/interface dot1x server
add interface=ether2 interim-update=30s comment=accounted
add interface=ether12 accounting=no comment=notaccounted

  1. 基于端口VLANID的分配设置, 可以使用网桥VLAN过滤将经过身份验证的接口分配给特定的VLAN ID。
    首先,请确保将接口添加到启用了VLAN过滤的网桥。

/interface bridge
add name=bridg

最低0.47元/天 解锁文章
"Blue"
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙802.1x(Dot1X)准入控制配置实战(附H3C模拟器)
悦分享
10-03 718
802.1X协议起源于WLAN的802.11协议,用于控制无线用户的链路层接入和身份认证。经过扩展后,802.1X也可以使用以太网帧作为承载报文,从而可适用于以太网以及其他的有线接入方式。802.1X认证,又称EAPOE( Extensible Authentication Protocol Over Ethernet)认证,可以用于有线环境解决局域网用户的接入认证问题。1. 802.1X认证角色。
交换机dot1x认证配置
nmglwy的博客
11-29 1万+
设备分配IP 12.16.43.250 vlan 分配IP 12.16.43.251华为交换机配置vlan interface vlanif xx vlan xx ip address 16.12.43.251 255.255.255.0 (vlan ip 在认证界面添加交换机参数使用) radius-server radius-server template ra
Dot1x认证配置注意事项
01-08
非常好的华为Dot1x认证配置注意事项配置文档
H3C 华为 思科 802.1x配置
最新发布
normanhere的博客
05-15 607
全局启用基于MAC地址的认证,与之相对应的是port级别的认证,默认是这个,也可以在端口下配置,详见端口配置部分;#端口也需要配置,这个端口连接AP,开启端口Ten-GigabitEthernet1/0/1的802.1X,同时使用基于MAC的认证,而不是Port这是默认的,也不需要配置配置认证前端口的行为,允许所有流量通过(但要结合ACL使用,认证通过之前只允许ACL里面规定的流量通过,)#进入这个认证域进行配置,调用上面配置的认证方式,备用认证方式这里选择本地。
cisco2960dot1x配置
10-23
cisco2960dot1x配置 文档ciscodot1x配置
dot1x典型配置
weixin_33691700的博客
08-15 1799
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后...
Dot1x配置总结
weixin_34246551的博客
06-20 1030
收藏一下!! 转载于:https://blog.51cto.com/72297/336274
华为交换机(802.1X准入配置).txt
04-09
详细描述了802.1x配置步骤,以及每一步的含义。如: 全局下配置dot1x enable //全局下使能802.1x dot1x authentication-method ...dot1x timer tx-period 10 //命令用来配置发送认证请求的时间间隔 domain c
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2....
交换机802.1X配置生成工具
11-17
交换机802.1X配置工具主要用来支持产品涉及交换机802.1x配置的测试实施中,生成相应交换机的802.1x配置。在工具Dot1xTool.exe当前目录,生成xxx.ini文件,如华为_传统模式.ini,该文件属于文本格式,双击打开可直接...
H3C交换机802.1x配置步骤详细说明
01-30
"H3C交换机802.1x配置步骤详细说明" 802.1x是IEEE制定的基于网络的身份验证协议,用于确保网络的安全性。H3C交换机支持802.1x身份验证协议,该协议可以在网络中实现身份验证、授权和计费。 配置802.1x需要在交换机...
华为dot1x常用命令
03-17
介绍华为dot1x常用命令使用,更多参数请查看华为网站
RouterOS中文教程系列 windows_IAS 802.1X认证
03-06
RouterOS中文教程系列 windows_IAS 802.1X认证
DOT1X(IEEE 802.1x认证)
weixin_34326558的博客
04-19 1056
简介: 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X...
华为dot1x认证测试配置
weixin_34335458的博客
12-28 4671
[NW_HJ_NACC_5F-3_S3700]d cu#!Software Version V100R006C03sysname NW_HJ_NACC_5F-3_S3700#info-center source default channel 0 trap state off level warning#vlan batch 9 to 11 999#domain radiu...
华为交换机dot1x配置认证方式
Richardlygo的博客
07-28 5474
802.1x
802.1x(dot1x)
wsy的浮生
08-04 943
802.1x学习
【网络安全】802.1X技术基础
错位竞争,单点突破。
11-29 8324
1 前言 802.1X作为一种基于端口的用户访问控制安全机制,因其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准以来便迅速受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。 那么802.1X从何而来?有什么作用?体系结构是怎么样的?用到什么协议?并且又是如何实现的?这些都将是我们本文讨论的内容。 2 802.1X起源
802.1X(Dot1x)认证原理
热门推荐
曹世宏的博客
05-31 4万+
802.1X(dot1x)技术简介 802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。 802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。 802.1x简介: IEEE802 LAN/WAN委员...
FREERADIUS dOT1x配置步骤
06-12
下面是在Linux系统中使用FREERADIUS配置DOT1x的基本步骤: 1. 安装FREERADIUS软件包 ``` sudo apt-get update sudo apt-get install freeradius ``` 2. 配置FREERADIUS服务器 在`/etc/freeradius/`目录下,编辑`/etc/freeradius/users`文件,添加用户信息。例如: ``` bob Cleartext-Password := "password" ``` 这将创建一个名为“bob”的用户,密码为“password”。此外,还需要在`/etc/freeradius/clients.conf`文件中添加客户端信息。例如: ``` client 192.168.1.0/24 { secret = testing123 shortname = localnet } ``` 这将创建一个名为“localnet”的客户端,IP地址为“192.168.1.0/24”,共享密钥为“testing123”。 3. 配置DOT1x认证 在`/etc/freeradius/eap.conf`文件中,配置EAP认证协议,例如: ``` eap { default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = 4096 tls { private_key_password = password private_key_file = /etc/freeradius/certs/server.pem certificate_file = /etc/freeradius/certs/server.pem ca_file = /etc/freeradius/certs/ca.pem dh_file = /etc/freeradius/certs/dh } peap { default_eap_type = mschapv2 copy_request_to_tunnel = no use_tunneled_reply = no proxy_tunneled_request_as_eap = yes virtual_server = "inner-tunnel" } } ``` 这将启用PEAP认证协议,并将其配置为使用MSCHAPv2作为默认EAP类型。 4. 配置网络接入设备 在网络接入设备(例如交换机或无线接入点)上,配置DOT1x认证。根据设备型号和厂商不同,具体配置方式可能会有所不同。 5. 测试认证 使用以下命令测试认证: ``` radtest bob password localhost 0 testing123 ``` 这将使用用户名“bob”和密码“password”对本地FREERADIUS服务器进行认证。 以上就是使用FREERADIUS配置DOT1x认证的基本步骤。具体的配置方式可能会因环境和需求的不同而有所变化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值