802.1X认证配置及命令解析(含华为和华三设备)

已于 2024-02-29 13:56:37 修改
阅读量4.4k 收藏 53
点赞数 9
分类专栏: 计算机网络 文章标签: 华为 计算机网络 网络 运维
于 2024-02-29 09:40:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47402139/article/details/136349716
版权

前言:

802.1X认证是网络接入控制方案(NAC)中的一种,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。

802.1X认证安全性较高,但是却需要客户终端安装802.1X客户端,网络部署不灵活。相较而言,NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理复杂;而Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。

所以,802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。

场景:

华为Agile Controller-Campus对接入用户进行802.1X认证(认证点部署在接入交换机)

HUAWEI/H3C设备——对接HUAWEI AG(RADIUS服务器)

NAC为统一模式,可基于VPN实例

终端用户(支持802.1x认证)采用802.1x认证方式接入的组网环境

一、华为设备:

1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)

#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致

2、配置全网路由可达

3、(可选)配置二层交换机透传802.1x认证报文

l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 
interface Ethernet接口/GE接口/Eth-Trunk接口
l2protocol-tunnel user-defined-protocol 802.1X enable
 bpdu enable

4、创建RADIUS服务器模板(指定RADIUS服务器IP地址及共享密钥)

radius-server template radius_temp                                 #创建radius server模板
radius-server shared-key cipher Radius@Auth                        #定义共享秘钥
radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100   #ip-address为需要修改的地址,每个局点不同
radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100       #ip-address为需要修改的地址,每个局点不同
radius-server testuser username AuthTest password cipher Huayun@123                                           #创建测试用户AuthTest,用户密码Huayun@123

radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth                        #定义授权秘钥

5、创建AAA认证方案,认证方式为RADIUS

aaa                                             #进入aaa模式
authentication-scheme radius_auth               #创建认证方案
authentication-mode radius                      #指定认证方案的认证模式radius

6、创建AAA计费方案,认证方式为RADIUS

accounting-scheme radius_acc                     #创建审计方案
accounting-mode radius                           #指定审计方案的审计模式为radius
accounting realtime 15                           #指定实时审计周期为15分钟
accounting start-fail online                     #指定开始计费失败策略为:如果开始计费失败,允许用户上线 (缺省情况下,如果开始计费失败,用户不能上线,即采用offline方式)
                                                  该命令仅在执行accouting-mode命令配置计费模式为HWTACACS或RADIUS模式下生效;
                                                  应用场景:应用了计费方案后,如果有用户上线,设备将向计费服务器发送开始计费请求。
                                                  正常情况下,计费服务器响应设备的请求,由于网络故障的影响,可能造成设备没有收到计费服务器的响应而造成计费失败。
                                                  计费失败后,需要执行响应的策略:

7、创建接入用户默认认证域,并将RADIUS服务器模板、认证方案、计费方案绑定至该域;

aaa                                                #进入aaa模式
domain video.gov                                   #创建video.gov的域并进入域的视图
authentication-scheme radius_auth                  #配置域下应用的认证方案
accounting-scheme radius_acc                       #配置域下应用的计费方案
radius-server radius_temp                          #配置域下应用radius-server模板

8、定义触发逃生通道后用户所能访问的资源,以下配置以能够访问所有资源为例(即配置RADIUS服务器状态探测功能)

#设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态,在RADIUS服务器状态为Down时,使用户能够获得逃生权限;在RADIUS服务器状态UP后,用户退出逃生权限,进行重认证
#服务器DOWN后,每60S测试一次,3S内只要收到回复(无论认证成功与否都会有回复),服务器状态变为UP.
radius-server template radius_temp
radius-server detect-server interval 60 
radius-server detect-server timeout 3
#RADIUS请求5S秒内无回复再次请求(以下为缺省值)
radius-server retransmit 3 timeout 5 

#5S内出现两次Radius请求无响应,循环技术两次则服务器被判定为Down.
#两次Radius请求无响应时间大于300S时,判定服务器Down. 默认 5 2 2 
radius-server dead-interval 5
radius-server dead-count 1
radius-server detect-cycle 2

radius-server max-unresponsive-interval 300

#配置RADIUS认证服务器和计费服务器的状态同步
radius-server dead-detect-condition by-server   #配置基于IP地址对RADIUS服务器进行自动探测
                                                 缺省情况下,RADIUS服务器和计费服务器是分开进行探测的。
                                                 配置该功能后,相同VPN实例下,相同IP地址的RADIUS认证服务器和计费服务器同步探测,状态同步更新;


#配置授权参数
用户在预连接、认证失败或认证服务器Down时,支持通过VLAN、UCL组和业务方案授权
#业务方案

acl  number 3000                  #定义acl,service-scheme需调用
description For_Video
rule 1 permit ip                  #放行所有IP流量

aaa
service-scheme AuthServer_Down    #创建一个业务方案,并进入业务方案视图。缺省情况下,设备没有创建业务方案
acl-id  3000                      #业务方案下绑定ACL

9、创建并配置802.1x接入模板

dot1x-access-profile name dot1x_access_profile    //缺省情况下,设备自带1个名称为dot1x_access_profile的802.1X接入模板
dot1x authentication-method { chap | pap | eap }  //配置802.1x用户的认证方式
                                                    缺省情况下,802.1X用户认证方式为eap,即采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式
                                                    注释:如果802.1X客户端采用PEAP认证方式,则设备端用户的认证方式可配置为EAP

10、创建并配置802.1x认证模板

authentication-profile name dot1x_authen_profile
dot1x-access-profile dot1x_access_profile        //配置认证模板绑定的802.1X接入模板
access-domain video.gov  force                   //指定强制认证域
authentication mode multi-authen max-user 100     #指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100
authentication event authen-server-down action authorize service-scheme AuthServer_Down         #配置用户在认证服务器Down时的网络访问权限
authentication event authen-server-up action re-authen                                          #使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。
                                                                                                 缺省情况下,当认证服务器状态由Down或强制UP转变为真正UP时,设备不会对处于逃生状态的用户进行重认证。
                                                                                                 缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60S
说明:设备将RADIUS服务器的状态设置为Down,执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间,当dead-time超时后,设备会将服务器的状态设置为Up,此状态为强制Up。
      服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时,设备会对用户进行重认证。

11、接口下绑定认证模板

interface GigabitEthernet0/0/17
 authentication-profile dot1x_authen_profile

附:

相关查看命令

#display access-user access-type dot1x#                                  #查看在线802.1X用户信息
#display radius-server { dead-interval | dead-count | detect-cycle }     #查看RADIUS服务器的探测周期、每个探测周期连续响应的最大次数和探测周期循环的配置信息
#display radius-server configuration                  #查看RADIUS服务器模板下自动探测用户、探测周期以及探测报文超时等待时间的配置信息
#display radius-server max-unresponsive-interval      #查看RADIUS服务器无响应的最大时间间隔的配置信息  
#display dot1x-access-profile configuration [ name access-profile-name ]  #查看802.1X接入模板的配置信息

二、H3C

1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)

#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致

2、配置全网路由可达

3、配置RADIUS方案

radius scheme radius_temp                   #创建RADIUS方案,并进入RADIUS方案视图
primary authentication X.X.X.X  vpn-instance Video key simple  Radius@Auth weight 100   #配置主RADIUS认证服务器
primary accounting X.X.X.X vpn-instance Video key simple  Radius@Auth weight 100        #配置主RADIUS计费服务器
user-name-format without-domain             #设置发送给RADIUS服务器的用户名不携带携带ISP域名(缺省情况下,发送给RADIUS服务器的用户名携带ISP域名)                                           
nas-ip X.X.X.X                              #为指定RADIUS方案配置发送RADIUS报文使用的源IP地址(一般为网关)(可选) 
                                            #缺省情况下,未指定发送RADIUS报文使用的源IP地址,设备将使用到达RADIUS服务器的路由出接口的主IPv4地址作为发送RADIUS报文的源IP地址。  
                                            #需要修改的地址,每个局点不同

4、配置ISP域

domain video.gov                                  #创建非缺省ISP域
authentication default radius-scheme radius_temp  #配置802.1x用户使用RADIUS方案"radius_temp"进行认证、授权、计费
authorization default radius-scheme radius_temp
accounting default radius-scheme radius_temp

5、配置802.1x

dot1x                            #开启全局802.1x功能(缺省情况下,全局的802.1X处于关闭状态)
dot1x authentication-method eap  #配置802.1x系统的认证方式(缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法)
                                 #注释:如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效。
dot1x access-user log enable  successful-login  failed-login #开启802.1x认证用户上线成功、失败的日志信息
                                                             #缺省情况下,802.1X接入用户日志信息功能处于关闭状态。
interface interface-type interface-number 
dot1x                            #开启端口的802.1x
dot1x mandatory-domain video.gov #指定接口上接入的802.1x用户使用强制认证域video.gov
                                 #缺省情况下,未指定802.1X用户使用的强制认证域
                                 #功能:1、防止用户通过恶意假冒其它域账号从本端口接入网络
                                        2、通过配置强制认证域对不同端口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性
                                 #只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效

6、配置802.1客户端(略)

附:

相关查看命令

显示802.1X的会话连接信息、相关统计信息或配置信息 
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
显示当前802.1X在线用户的详细信息 
display dot1x connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ]
显示指定类型的VLAN中的802.1X用户的MAC地址信息 
display dot1x mac-address { auth-fail-vlan | critical-vlan | guest-vlan } [ interface interface-type interface-number ]
清除Guest VLAN内802.1X用户 
reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
清除802.1X的统计信息 
reset dot1x statistics [ interface interface-type interface-number ]

FAQ:

802.1x认证时,Radius方案中不配置nas-ip会影响认证?

答:不配置nas-ip,接入设备查询路由表,以出接口的ip作为源地址发送radius报文,即该出接口ip相当于nas-ip。
   不配是否存在影响,这主要看认证服务器存有的接入设备ip与设备发出radius报文的源地址(nas-ip)是否一致,不一致的话,提示没有找到接入设备或者设备的Radius使能未启用

ping通了都一样
关注
  • 9
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
实战华为无线 11.安全认证配置(4)AC内置Portal认证
12-28
实战华为无线 11.安全认证配置(4)AC内置Portal认证(网页认证
802.1X认证配置案列
02-11
华三华为系的交换机上的802.1X认证配置案例
企业网络802.1X认证配置
最新发布
qq_33097163的博客
05-08 334
交换机配置 S5500-28C-EI-V5.2。交换机配置 版本H3C S5120-v5。H3C交换机 端口配置。思科交换机 端口配置
802.1X认证原理
2301_76769137的博客
04-15 661
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。如所示,802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备认证服务器。802.1X认证系统示意图。
华为交换机802.1x认证配置
VEGETA的博客
03-13 7753
华为网络设备802.1x搭配Windows server有线网络认证
802.1X 身份验证:基于端口的网络访问控制协议
网络技术联盟站
02-25 1214
随着数字化时代的到来,网络已经成为组织和个人不可或缺的一部分。然而,随之而来的是网络安全面临的挑战不断增加。数据泄露、未经授权的访问、网络攻击等问题对组织的信息资产构成了严重威胁。为了应对这些威胁,网络安全必须从根本上进行考虑,而身份验证和访问控制就是网络安全的基石之一。在网络安全领域,802.1X被广泛认可为一种有效的网络访问控制协议。该协议最初于2001年由IEEE引入,并成为IEEE 802工作组的一部分。
身份认证——802.1x认证和MAC认证讲解
m0_49864110的博客
03-16 8156
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证
H3C设备-802.1X认证配置
m0_68698993的博客
08-15 3181
5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。1、打开iNode智能客户端,输入用户名:admin,密码:admin123,点击"连接",连接成功则表示认证通过,如下图所示;1、打开WinRadius软件,点击"设置">"系统"配置NAS秘钥:h3c@123,认证端口1812,计费端口1813;2、 端口GE1/0/1 下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络
H3C接入层交换机和AC配置802.1x
zz960226的博客
11-01 861
配置Radius方案。全局配置802.1x。端口802.1x配置
华为配置WLAN 802.1X认证实验
专研计算机网络,数据通信,网络安全,系统集成
03-22 1589
组网图形配置802.1X认证组网图。
H3C 交换机802.1x认证配置
weixin_34067102的博客
06-14 2616
dot1xdot1x authentication-method eap /*默认是chap认证,当时在客户的环境中使用的是默认的chap认证,但是802.1x不通过,改成eap认证就好了*/interface GigabitEthernet1/0/1port access vlan 196dot1xdot1x mandatory-domain aaaradius s...
802.1x 配置
02-10
本文主讲802.1x的安全配置及工作流程
华为802.1X技术白皮书
06-21
802.1X 作为一种基于端口的用户访问控制安全机制,由于其低成本、良好的业务连续 性和扩充性以及较高的安全性和灵活性,自从2001 年6 月正式成为IEEE 802 系列标准开始, 便迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯 定。
使用Windows Server 2008 配置 Radius Server 进行802.1x认证.zip
10-15
使用Windows Server 2008 配置 Radius Server 进行802.1x认证zip,IEEE 802.1X是IEEE制定关于用户接入网络认证标准,全称是“基于端口的网络接入控制”,属于IEEE 802.1网络协议组的一部分。于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。它为想要连接到LAN或WLAN的设备?供了一种认证机制。
华为交换机(802.1X准入配置).txt
04-09
详细描述了802.1x的配置步骤,以及每一步的义。如: 全局下配置: dot1x enable //全局下使能802.1x dot1x authentication-method eap //认证协议为eap dot1x retry 5 //认证最大重尝试数设置为5 dot1x timer...
华为华三通用的802.1X客户端软件
03-30
华为华三(H3C)作为中国领先的网络设备供应商,它们提供了802.1X客户端软件,以便用户在进行网络设备配置和实验时进行802.1X认证。这款通用的802.1X客户端软件可以与eNSP(Enterprise Network Simulation ...
华为802.1x客户端HuaWei 802.1xClient-开源
07-01
不能通过华为 802.1x网络上网?这个项目就是为你而做! Cannot explore the internet through a Huawei 802.1x network? This project is just for you!
802.1X 基于 Windows server 2008 AD RADIUS 认证
09-16
为了实施802.1X认证,需要配置802.1X接入模板,定义未验证时的服务器行为,并创建认证模板,绑定802.1X接入模板和强制认证域。最后,在需要进行802.1X认证的接口上应用配置。 为了优化网络性能,可以调整802.1X的...
华为交换机配置802.1x认证
12-07
华为交换机可以通过以下步骤配置802.1x认证: 1. 首先,确保交换机的固件版本支持802.1x功能。可以通过命令行界面或Web管理界面登录交换机,并查看其版本信息。 2. 确定需要进行802.1x认证的接口。可以选择特定的端口或者VLAN进行配置。 3. 配置认证服务器。在华为交换机上,可以使用本地或远程的认证服务器,如RADIUS服务器。可以通过命令行界面或Web管理界面进行配置,并指定认证服务器的IP地址和共享密钥。 4. 配置交换机端口的认证模式。可以选择适合的认证模式,如“强制认证”、“自动认证”或“光中心认证”。可以通过命令行界面或Web管理界面进行配置。 5. 配置客户端接入方式。可以选择允许特定的认证方式,如基于用户名和密码的认证、MAC地址认证或证书认证。可以通过命令行界面或Web管理界面进行配置,并指定相关的认证参数。 6. 配置认证过程。可以选择具体的认证顺序和算法,如EAP-TLS、PEAP或EAP-MD5。可以通过命令行界面或Web管理界面进行配置,并确定认证过程中的超时时间和重试次数。 7. 验证和监控。配置完成后,可以通过命令行界面或Web管理界面验证和监控802.1x认证的状态和日志信息。可以查看已认证和未认证的客户端列表,并进行必要的调整和排查问题。 以上是使用华为交换机配置802.1x认证的基本步骤。具体配置过程可能会因交换机型号和固件版本的不同而有所差异,请参考华为官方文档或咨询华为技术支持获取更详细的配置指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值