802.1x认证的具体配置过程
来源:互联网 发布:linux top nic 编辑:程序博客网 时间:2024/06/10 03:22
802.1X具体配置
『配置环境参数』
1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/24
2. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/24
3. 交换机vlan100包含端口G1/1接口地址192.168.0.1/24
4. RADIUS server地址为192.168.0.100/24
5. 本例中交换机为三层交换机
『组网需求』
1. PC1和PC2能够通过交换机本地认证上网
2. PC1和PC2能够通过RADIUS认证上网
2 数据配置步骤
『802.1X本地认证流程』
用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证,如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息,端口仍然为非授权状态。
【SwitchA相关配置】
1.创建(进入)vlan10
[SwitchA]vlan 10
2.将E0/1-E0/10加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
3.创建(进入)vlan10的虚接口
[SwitchA]interface Vlan-interface 10
4.给vlan10的虚接口配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
5.创建(进入)vlan20
[SwitchA-vlan10]vlan 20
6.将E0/11-E0/20加入到vlan20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
7.创建(进入)vlan20虚接口
[SwitchA]interface Vlan-interface 20
8.给vlan20虚接口配置IP地址
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
9.创建(进入)vlan100
[SwitchA]vlan 100
10.将G1/1加入到vlan100
[SwitchA-vlan100]port GigabitEthernet 1/1
11.创建进入vlan100虚接口
[SwitchA]interface Vlan-interface 100
12.给vlan100虚接口配置IP地址
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
【802.1X本地认证缺省域相关配置】
1.在系统视图下开启802.1X功能,默认为基于MAC的认证方式
[SwitchA]dot1x
2.在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3.这里采用缺省域system,并且缺省域引用缺省radius方案system。
[SwitchA]local-user test
4.设置该用户密码(明文)
[SwitchA-user-test]password simple test
5.设置该用户接入类型为802.1X
[SwitchA-user-test]service-type lan-access
6. 激活该用户
[SwitchA-user-test]state active
【802.1X本地认证自建域相关配置】
1.在系统视图下开启802.1X功能,默认为基于MAC的认证方式
[SwitchA]dot1x
2.在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3.设置认证方式为radius
[SwitchA]radius scheme radius1
4.设置主认证服务器为本地,端口号1645
[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645
5.设置主计费服务器为本地,端口号1646
[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646
6.这里本地用户认证采用自建域huawei
[SwitchA]domain Huawei
7.在域中引用认证方案radius1
[SwitchA-isp-huawei]radius-scheme radius1
8.设置本地用户名test@huawei
[SwitchA]local-user test@huawei
9.设置用户密码(明文)
[SwitchA-user-test@huawei]password simple test
10. 设置用户接入类型为802.1X
[SwitchA-user-test@huawei]service-type lan-access
11. 激活该用户
[SwitchA-user-test@huawei]state active
『802.1X RADIUS认证流程』
用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果该域配置了radius认证方式,那么交换机就把该报文转为radius报文送给相应的认证和计费服务器,认证和计费服务器如果存在相应的用户名和密码,就返回认证成功消息给交换机,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息给交换机,端口仍然为非授权状态。
【802.1X RADIUS认证相关配置】
1.在系统视图下开启802.1X功能,默认为基于MAC的方式
[SwitchA]dot1x
2.在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3.设置认证方式为radius,radius认证不成功取本地认证
[SwitchA]radius scheme radius1
4.设置主认证服务器
[SwitchA-radius-radius1]primary authentication 192.168.0.100
5.设置主计费服务器
[SwitchA-radius-radius1]primary accounting 192.168.0.100
6.设置交换机与认证服务器的密钥,二者应保持一致
[SwitchA-radius-radius1]key authentication test
7.设置交换机与计费服务器的密钥,二者应保持一致
[SwitchA-radius-radius1]key accounting test
8.交换机送给radius的报文不带域名
[SwitchA-radius-radius1]user-name-format without-domain
9.这里用户认证采用自建域huawei
[SwitchA]domain Huawei
10. 在域中引用认证方案radius1
[SwitchA-isp-huawei]radius-scheme radius1
【802.1X 代理检测相关配置】
l检测到用户使用代理强制用户下线
[SwitchA]dot1x supp-proxy-check logoff
l在指定的端口上检测到用户使用代理强制用户下线
[SwitchA]dot1x supp-proxy-check logoff inter eth 0/1 to eth 0/10
l检测到用户使用代理交换机输出trap信息
[SwitchA]dot1x supp-proxy-check trap
上述几个配置不要求全配,可以选择任意一个或者组合使用
【二层交换机作isolate-user-vlan radius认证】
l由于交换机送往radius的报文要进行源地址替换,报文源地址被替换成相应的网关或者管理地址,本地认证不存在此问题
l如果是三层交换机为例,配置了各个vlan的相应接口地址,由于交换机送往radius的报文要进行源地址替换,报文源地址被替换成相应的网关地址
l如果是二层交换机作isolate-user-vlan,那么要求isolate-user-vlan上配置IP地址,而且保证此地址能够与radius服务器互通
l如果是二层交换机开启802.1X,上行口作vlan透传,远端接radius服务器,要求二层交换机配置管理IP地址,保证此地址能够与radius服务器互通
【补充说明】
l 一般情况下接入端用户名需要加上域,本例客户端认证的时候输入用户名时就需要加上域名;
l 可以在系统视图下通过命令domain default enable domain-name 来指定缺省的域名,这样如果用户进行认证的时候没有输入域名,则采用缺省指定域名来进行认证和计费;
l新的版本也将支持多种认证方式(PAP、CHAP、EAP-MAD5),请在系统视图下通过命令dot1x authentication-method xxx来配置(如果命令行没有这条命令,这说明当前版本不支持多种认证方式,只支持缺省的CHAP认证方式。)
3 测试验证
1.本地认证缺省域用户上线,需要输入用户名test,密码test
2.采用自建域的用户上线,需要输入用户名test@huawei,密码test
3.如果用户为固定分配IP地址,那么属性里不要选择“在连接后自动刷新IP地址”4.用户认证通过以后,能够与相应的网关或者radius服务器正常通信
- 802.1x认证的具体配置过程
- 双向认证 SSL 协议的具体过程
- 802.1x EAP 认证过程
- 802.1x EAP认证过程
- 802.1x认证过程 TTLS
- 802.1x认证过程 TTLS
- CDH5.X安装配置kerberos认证过程
- CDH5.X安装配置kerberos认证过程
- CDH5.X安装配置kerberos认证过程
- HTTPS 中双向认证SSL 协议的具体过程
- HTTPS 中双向认证SSL 协议的具体过程
- Radius认证服务器的配置与应用(802.1x)
- Radius认证服务器的配置与应用(802.1x)
- Cocos2d-X 3.x的具体配置详解
- Ubuntu14.04配置校园网认证(802.1x认证)
- Kubuntu11.10配置校园网802.1X认证
- 802.1X认证的问题
- 802.1X的wpa认证流程-------4-way handshake过程分析
- 字符串和指针
- QQ验证码识别源代码(DOT NET1.1)
- Android 语音识别学习小记--暑期大学生博客分享大赛 - 2011 Android 成长篇
- 关于通过php获取mysql表里的字段名的方法的整理
- design的根本原因
- 802.1x认证的具体配置过程
- gcc对C语言扩展
- Flex实现页面跳转的功能可用性分析
- Linux下另类内存缓冲池设计(CBufferPool)
- asmlinkage
- QT牛刀小试(2)——如何更改程序的图标
- 开博客宣言
- ajax 学习总结
- asp.net中报错”OCIEnvCreate 失败,返回代码为 -1“
