dot1x

前言：

802.1X认证是网络接入控制方案（NAC）中的一种，是一种基于端口的网络接入控制协议，通过它能够实现保护企业内网的安全性的目的。

802.1X认证安全性较高，但是却需要客户终端安装802.1X客户端，网络部署不灵活。相较而言，NAC中的MAC认证方式不需要安装客户端，但是需要在认证服务器上登记MAC地址，管理复杂；而Portal认证方式同样不需要客户端并且部署灵活，但是安全性不高。

所以，802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。

场景：

华为Agile Controller-Campus对接入用户进行802.1X认证（认证点部署在接入交换机）

HUAWEI/H3C设备——对接HUAWEI AG（RADIUS服务器）

NAC为统一模式，可基于VPN实例

终端用户（支持802.1x认证）采用802.1x认证方式接入的组网环境

一、华为设备：

1、配置RADIUS服务器，添加用户账户，保证用户的认证/授权/计费功能正常运行（略）

#配置过程中有两个个共享密钥（RADIUS认证和计费密钥）交换机侧与服务器侧必须要配置一致

2、配置全网路由可达

3、（可选）配置二层交换机透传802.1x认证报文

1. l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
2. interface Ethernet接口/GE接口/Eth-Trunk接口
3. l2protocol-tunnel user-defined-protocol 802.1X enable
4. bpdu enable

4、创建RADIUS服务器模板（指定RADIUS服务器IP地址及共享密钥）

1. radius-server template radius_temp #创建radius server模板
2. radius-server shared-key cipher Radius@Auth #定义共享秘钥
3. radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址，每个局点不同
4. radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址，每个局点不同
5. radius-server testuser username AuthTest password cipher Huayun@123 #创建测试用户AuthTest，用户密码Huayun@123
7. radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth #定义授权秘钥

5、创建AAA认证方案，认证方式为RADIUS

1. aaa #进入aaa模式
2. authentication-scheme radius_auth #创建认证方案
3. authentication-mode radius #指定认证方案的认证模式radius

6、创建AAA计费方案，认证方式为RADIUS

1. accounting-scheme radius_acc #创建审计方案
2. accounting-mode radius #指定审计方案的审计模式为radius
3. accounting realtime 15 #指定实时审计周期为15分钟
4. accounting start-fail online #指定开始计费失败策略为：如果开始计费失败，允许用户上线 （缺省情况下，如果开始计费失败，用户不能上线，即采用offline方式）
5. 该命令仅在执行accouting-mode命令配置计费模式为HWTACACS或RADIUS模式下生效；
6. 应用场景：应用了计费方案后，如果有用户上线，设备将向计费服务器发送开始计费请求。
7. 正常情况下，计费服务器响应设备的请求，由于网络故障的影响，可能造成设备没有收到计费服务器的响应而造成计费失败。
8. 计费失败后，需要执行响应的策略:

7、创建接入用户默认认证域，并将RADIUS服务器模板、认证方案、计费方案绑定至该域；

1. aaa #进入aaa模式
2. domain video.gov #创建video.gov的域并进入域的视图
3. authentication-scheme radius_auth #配置域下应用的认证方案
4. accounting-scheme radius_acc #配置域下应用的计费方案
5. radius-server radius_temp #配置域下应用radius-server模板

8、定义触发逃生通道后用户所能访问的资源，以下配置以能够访问所有资源为例（即配置RADIUS服务器状态探测功能）

1. #设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态，在RADIUS服务器状态为Down时，使用户能够获得逃生权限；在RADIUS服务器状态UP后，用户退出逃生权限，进行重认证
2. #服务器DOWN后，每60S测试一次，3S内只要收到回复（无论认证成功与否都会有回复），服务器状态变为UP.
3. radius-server template radius_temp
4. radius-server detect-server interval 60
5. radius-server detect-server timeout 3
6. #RADIUS请求5S秒内无回复再次请求（以下为缺省值）
7. radius-server retransmit 3 timeout 5
9. #5S内出现两次Radius请求无响应，循环技术两次则服务器被判定为Down.
10. #两次Radius请求无响应时间大于300S时，判定服务器Down. 默认 5 2 2
11. radius-server dead-interval 5
12. radius-server dead-count 1
13. radius-server detect-cycle 2
15. radius-server max-unresponsive-interval 300
17. #配置RADIUS认证服务器和计费服务器的状态同步
18. radius-server dead-detect-condition by-server #配置基于IP地址对RADIUS服务器进行自动探测
19. 缺省情况下，RADIUS服务器和计费服务器是分开进行探测的。
20. 配置该功能后，相同VPN实例下，相同IP地址的RADIUS认证服务器和计费服务器同步探测，状态同步更新；
23. #配置授权参数
24. 用户在预连接、认证失败或认证服务器Down时，支持通过VLAN、UCL组和业务方案授权
25. #业务方案
27. acl number 3000 #定义acl，service-scheme需调用
28. description For_Video
29. rule 1 permit ip #放行所有IP流量
31. aaa
32. service-scheme AuthServer_Down #创建一个业务方案，并进入业务方案视图。缺省情况下，设备没有创建业务方案
33. acl-id 3000 #业务方案下绑定ACL

9、创建并配置802.1x接入模板

1. dot1x-access-profile name dot1x_access_profile //缺省情况下，设备自带1个名称为dot1x_access_profile的802.1X接入模板
2. dot1x authentication-method { chap | pap | eap } //配置802.1x用户的认证方式
3. 缺省情况下，802.1X用户认证方式为eap，即采用可扩展的认证协议EAP（Extensible Authentication Protocol）中继认证方式
4. 注释：如果802.1X客户端采用PEAP认证方式，则设备端用户的认证方式可配置为EAP

10、创建并配置802.1x认证模板

1. authentication-profile name dot1x_authen_profile
2. dot1x-access-profile dot1x_access_profile //配置认证模板绑定的802.1X接入模板
3. access-domain video.gov force //指定强制认证域
4. authentication mode multi-authen max-user 100 #指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100
5. authentication event authen-server-down action authorize service-scheme AuthServer_Down #配置用户在认证服务器Down时的网络访问权限
6. authentication event authen-server-up action re-authen #使能当认证服务器状态由Down或强制Up转变为真正Up时，设备对处于逃生状态的用户进行重认证。
7. 缺省情况下，当认证服务器状态由Down或强制UP转变为真正UP时，设备不会对处于逃生状态的用户进行重认证。
8. 缺省情况下，对预连接用户或认证失败用户进行重认证的周期为60S
9. 说明：设备将RADIUS服务器的状态设置为Down，执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间，当dead-time超时后，设备会将服务器的状态设置为Up，此状态为强制Up。
10. 服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时，设备会对用户进行重认证。

11、接口下绑定认证模板

1. interface GigabitEthernet0/0/17
2. authentication-profile dot1x_authen_profile

附：

相关查看命令

1. #display access-user access-type dot1x# #查看在线802.1X用户信息
2. #display radius-server { dead-interval | dead-count | detect-cycle } #查看RADIUS服务器的探测周期、每个探测周期连续响应的最大次数和探测周期循环的配置信息
3. #display radius-server configuration #查看RADIUS服务器模板下自动探测用户、探测周期以及探测报文超时等待时间的配置信息
4. #display radius-server max-unresponsive-interval #查看RADIUS服务器无响应的最大时间间隔的配置信息
5. #display dot1x-access-profile configuration [ name access-profile-name ] #查看802.1X接入模板的配置信息

二、H3C

1、配置RADIUS服务器，添加用户账户，保证用户的认证/授权/计费功能正常运行（略）

#配置过程中有两个个共享密钥（RADIUS认证和计费密钥）交换机侧与服务器侧必须要配置一致

2、配置全网路由可达

3、配置RADIUS方案

1. radius scheme radius_temp #创建RADIUS方案，并进入RADIUS方案视图
2. primary authentication X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS认证服务器
3. primary accounting X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS计费服务器
4. user-name-format without-domain #设置发送给RADIUS服务器的用户名不携带携带ISP域名（缺省情况下，发送给RADIUS服务器的用户名携带ISP域名）
5. nas-ip X.X.X.X #为指定RADIUS方案配置发送RADIUS报文使用的源IP地址（一般为网关）（可选）
6. #缺省情况下，未指定发送RADIUS报文使用的源IP地址，设备将使用到达RADIUS服务器的路由出接口的主IPv4地址作为发送RADIUS报文的源IP地址。
7. #需要修改的地址，每个局点不同

4、配置ISP域

1. domain video.gov #创建非缺省ISP域
2. authentication default radius-scheme radius_temp #配置802.1x用户使用RADIUS方案"radius_temp"进行认证、授权、计费
3. authorization default radius-scheme radius_temp
4. accounting default radius-scheme radius_temp

5、配置802.1x

1. dot1x #开启全局802.1x功能（缺省情况下，全局的802.1X处于关闭状态）
2. dot1x authentication-method eap #配置802.1x系统的认证方式（缺省情况下，设备启用EAP终结方式，并采用CHAP认证方法）
3. #注释：如果采用EAP中继认证方式，则设备会把客户端输入的内容直接封装后发给服务器，这种情况下user-name-format命令的设置无效。
4. dot1x access-user log enable successful-login failed-login #开启802.1x认证用户上线成功、失败的日志信息
5. #缺省情况下，802.1X接入用户日志信息功能处于关闭状态。

1. interface interface-type interface-number
2. dot1x #开启端口的802.1x
3. dot1x mandatory-domain video.gov #指定接口上接入的802.1x用户使用强制认证域video.gov
4. #缺省情况下，未指定802.1X用户使用的强制认证域
5. #功能：1、防止用户通过恶意假冒其它域账号从本端口接入网络
6. 2、通过配置强制认证域对不同端口接入的用户指定不同的认证域，从而增加了管理员部署802.1X接入策略的灵活性
7. #只有同时开启全局和端口的802.1X后，802.1X的配置才能在端口上生效

6、配置802.1客户端（略）

附：

相关查看命令

1. 显示802.1X的会话连接信息、相关统计信息或配置信息
2. display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
3. 显示当前802.1X在线用户的详细信息
4. display dot1x connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ]
5. 显示指定类型的VLAN中的802.1X用户的MAC地址信息
6. display dot1x mac-address { auth-fail-vlan | critical-vlan | guest-vlan } [ interface interface-type interface-number ]
7. 清除Guest VLAN内802.1X用户
8. reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
9. 清除802.1X的统计信息
10. reset dot1x statistics [ interface interface-type interface-number ]

FAQ：

802.1x认证时，Radius方案中不配置nas-ip会影响认证？

1. 答：不配置nas-ip，接入设备查询路由表，以出接口的ip作为源地址发送radius报文，即该出接口ip相当于nas-ip。
2. 不配是否存在影响，这主要看认证服务器存有的接入设备ip与设备发出radius报文的源地址（nas-ip）是否一致，不一致的话，提示没有找到接入设备或者设备的Radius使能未启用