dot1x
前言:
802.1X认证是网络接入控制方案(NAC)中的一种,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。
802.1X认证安全性较高,但是却需要客户终端安装802.1X客户端,网络部署不灵活。相较而言,NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理复杂;而Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。
所以,802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。
场景:
华为Agile Controller-Campus对接入用户进行802.1X认证(认证点部署在接入交换机)
HUAWEI/H3C设备——对接HUAWEI AG(RADIUS服务器)
NAC为统一模式,可基于VPN实例
终端用户(支持802.1x认证)采用802.1x认证方式接入的组网环境
一、华为设备:
1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)
#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致
2、配置全网路由可达
3、(可选)配置二层交换机透传802.1x认证报文
-
l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
-
interface Ethernet接口/GE接口/Eth-Trunk接口
-
l2protocol-tunnel user-defined-protocol 802.1X enable
-
bpdu enable
4、创建RADIUS服务器模板(指定RADIUS服务器IP地址及共享密钥)
-
radius-server template radius_temp #创建radius server模板
-
radius-server shared-key cipher Radius@Auth #定义共享秘钥
-
radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址,每个局点不同
-
radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址,每个局点不同
-
radius-server testuser username AuthTest password cipher Huayun@123 #创建测试用户AuthTest,用户密码Huayun@123
-
-
radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth #定义授权秘钥
5、创建AAA认证方案,认证方式为RADIUS
-
aaa
-
authentication-scheme radius_auth
-
authentication-mode radius
6、创建AAA计费方案,认证方式为RADIUS
-
accounting-scheme radius_acc
-
accounting-mode radius
-
accounting realtime 15
-
accounting start-fail online
-
该命令仅在执行accouting-mode命令配置计费模式为HWTACACS或RADIUS模式下生效;
-
应用场景:应用了计费方案后,如果有用户上线,设备将向计费服务器发送开始计费请求。
-
正常情况下,计费服务器响应设备的请求,由于网络故障的影响,可能造成设备没有收到计费服务器的响应而造成计费失败。
-
计费失败后,需要执行响应的策略:
7、创建接入用户默认认证域,并将RADIUS服务器模板、认证方案、计费方案绑定至该域;
-
aaa
-
domain video.gov
-
authentication-scheme radius_auth
-
accounting-scheme radius_acc
-
radius-server radius_temp
8、定义触发逃生通道后用户所能访问的资源,以下配置以能够访问所有资源为例(即配置RADIUS服务器状态探测功能)
-
#设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态,在RADIUS服务器状态为Down时,使用户能够获得逃生权限;在RADIUS服务器状态UP后,用户退出逃生权限,进行重认证
-
#服务器DOWN后,每60S测试一次,3S内只要收到回复(无论认证成功与否都会有回复),服务器状态变为UP.
-
radius-server template radius_temp
-
radius-server detect-server interval 60
-
radius-server detect-server timeout 3
-
#RADIUS请求5S秒内无回复再次请求(以下为缺省值)
-
radius-server retransmit 3 timeout 5
-
-
#5S内出现两次Radius请求无响应,循环技术两次则服务器被判定为Down.
-
#两次Radius请求无响应时间大于300S时,判定服务器Down. 默认 5 2 2
-
radius-server dead-interval 5
-
radius-server dead-count 1
-
radius-server detect-cycle 2
-
-
radius-server max-unresponsive-interval 300
-
-
#配置RADIUS认证服务器和计费服务器的状态同步
-
radius-server dead-detect-condition by-server #配置基于IP地址对RADIUS服务器进行自动探测
-
缺省情况下,RADIUS服务器和计费服务器是分开进行探测的。
-
配置该功能后,相同VPN实例下,相同IP地址的RADIUS认证服务器和计费服务器同步探测,状态同步更新;
-
-
-
#配置授权参数
-
用户在预连接、认证失败或认证服务器Down时,支持通过VLAN、UCL组和业务方案授权
-
#业务方案
-
-
acl number 3000 #定义acl,service-scheme需调用
-
description For_Video
-
rule 1 permit ip #放行所有IP流量
-
-
aaa
-
service-scheme AuthServer_Down #创建一个业务方案,并进入业务方案视图。缺省情况下,设备没有创建业务方案
-
acl-id 3000 #业务方案下绑定ACL
9、创建并配置802.1x接入模板
-
dot1x-access-profile name dot1x_access_profile //缺省情况下,设备自带1个名称为dot1x_access_profile的802.1X接入模板
-
dot1x authentication-method { chap | pap | eap } //配置802.1x用户的认证方式
-
缺省情况下,802.1X用户认证方式为eap,即采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式
-
注释:如果802.1X客户端采用PEAP认证方式,则设备端用户的认证方式可配置为EAP
10、创建并配置802.1x认证模板
-
authentication-profile name dot1x_authen_profile
-
dot1x-access-profile dot1x_access_profile //配置认证模板绑定的802.1X接入模板
-
access-domain video.gov force //指定强制认证域
-
authentication mode multi-authen max-user 100 #指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100
-
authentication event authen-server-down action authorize service-scheme AuthServer_Down #配置用户在认证服务器Down时的网络访问权限
-
authentication event authen-server-up action re-authen #使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。
-
缺省情况下,当认证服务器状态由Down或强制UP转变为真正UP时,设备不会对处于逃生状态的用户进行重认证。
-
缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60S
-
说明:设备将RADIUS服务器的状态设置为Down,执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间,当dead-time超时后,设备会将服务器的状态设置为Up,此状态为强制Up。
-
服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时,设备会对用户进行重认证。
-
11、接口下绑定认证模板
-
interface GigabitEthernet0/0/17
-
authentication-profile dot1x_authen_profile
附:
相关查看命令
-
#display access-user access-type dot1x# #查看在线802.1X用户信息
-
#display radius-server { dead-interval | dead-count | detect-cycle } #查看RADIUS服务器的探测周期、每个探测周期连续响应的最大次数和探测周期循环的配置信息
-
#display radius-server configuration #查看RADIUS服务器模板下自动探测用户、探测周期以及探测报文超时等待时间的配置信息
-
#display radius-server max-unresponsive-interval #查看RADIUS服务器无响应的最大时间间隔的配置信息
-
#display dot1x-access-profile configuration [ name access-profile-name ] #查看802.1X接入模板的配置信息
二、H3C
1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)
#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致
2、配置全网路由可达
3、配置RADIUS方案
-
radius scheme radius_temp #创建RADIUS方案,并进入RADIUS方案视图
-
primary authentication X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS认证服务器
-
primary accounting X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS计费服务器
-
user-name-format without-domain #设置发送给RADIUS服务器的用户名不携带携带ISP域名(缺省情况下,发送给RADIUS服务器的用户名携带ISP域名)
-
nas-ip X.X.X.X #为指定RADIUS方案配置发送RADIUS报文使用的源IP地址(一般为网关)(可选)
-
#缺省情况下,未指定发送RADIUS报文使用的源IP地址,设备将使用到达RADIUS服务器的路由出接口的主IPv4地址作为发送RADIUS报文的源IP地址。
-
#需要修改的地址,每个局点不同
4、配置ISP域
-
domain video.gov
-
authentication default radius-scheme radius_temp
-
authorization default radius-scheme radius_temp
-
accounting default radius-scheme radius_temp
5、配置802.1x
-
dot1x #开启全局802.1x功能(缺省情况下,全局的802.1X处于关闭状态)
-
dot1x authentication-method eap #配置802.1x系统的认证方式(缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法)
-
#注释:如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效。
-
dot1x access-user log enable successful-login failed-login #开启802.1x认证用户上线成功、失败的日志信息
-
#缺省情况下,802.1X接入用户日志信息功能处于关闭状态。
-
interface interface-type interface-number
-
dot1x #开启端口的802.1x
-
dot1x mandatory-domain video.gov #指定接口上接入的802.1x用户使用强制认证域video.gov
-
#缺省情况下,未指定802.1X用户使用的强制认证域
-
#功能:1、防止用户通过恶意假冒其它域账号从本端口接入网络
-
2、通过配置强制认证域对不同端口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性
-
#只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效
6、配置802.1客户端(略)
附:
相关查看命令
-
显示802.1X的会话连接信息、相关统计信息或配置信息
-
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
-
显示当前802.1X在线用户的详细信息
-
display dot1x connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ]
-
显示指定类型的VLAN中的802.1X用户的MAC地址信息
-
display dot1x mac-address { auth-fail-vlan | critical-vlan | guest-vlan } [ interface interface-type interface-number ]
-
清除Guest VLAN内802.1X用户
-
reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
-
清除802.1X的统计信息
-
reset dot1x statistics [ interface interface-type interface-number ]
FAQ:
802.1x认证时,Radius方案中不配置nas-ip会影响认证?
-
答:不配置nas-ip,接入设备查询路由表,以出接口的ip作为源地址发送radius报文,即该出接口ip相当于nas-ip。
-
不配是否存在影响,这主要看认证服务器存有的接入设备ip与设备发出radius报文的源地址(nas-ip)是否一致,不一致的话,提示没有找到接入设备或者设备的Radius使能未启用
版权声明:
作者:SE_Gao
链接:https://www.cnesa.cn/2155.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论