dot1x

前言:

802.1X认证是网络接入控制方案(NAC)中的一种,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。

802.1X认证安全性较高,但是却需要客户终端安装802.1X客户端,网络部署不灵活。相较而言,NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理复杂;而Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。

所以,802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。

场景:

华为Agile Controller-Campus对接入用户进行802.1X认证(认证点部署在接入交换机)

HUAWEI/H3C设备——对接HUAWEI AG(RADIUS服务器)

NAC为统一模式,可基于VPN实例

终端用户(支持802.1x认证)采用802.1x认证方式接入的组网环境

一、华为设备:

1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)

#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致

2、配置全网路由可达

3、(可选)配置二层交换机透传802.1x认证报文

  1. l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
  2. interface Ethernet接口/GE接口/Eth-Trunk接口
  3. l2protocol-tunnel user-defined-protocol 802.1X enable
  4. bpdu enable

4、创建RADIUS服务器模板(指定RADIUS服务器IP地址及共享密钥)

  1. radius-server template radius_temp #创建radius server模板
  2. radius-server shared-key cipher Radius@Auth #定义共享秘钥
  3. radius-server authentication X.X.X.X 1812 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址,每个局点不同
  4. radius-server accounting X.X.X.X 1813 vpn-instance Video source ip-address X.X.X.X weight 100 #ip-address为需要修改的地址,每个局点不同
  5. radius-server testuser username AuthTest password cipher Huayun@123 #创建测试用户AuthTest,用户密码Huayun@123
  6. radius-server authorization X.X.X.X vpn-instance Video shared-key cip Radius@Auth #定义授权秘钥

5、创建AAA认证方案,认证方式为RADIUS

  1. aaa #进入aaa模式
  2. authentication-scheme radius_auth #创建认证方案
  3. authentication-mode radius #指定认证方案的认证模式radius

6、创建AAA计费方案,认证方式为RADIUS

  1. accounting-scheme radius_acc #创建审计方案
  2. accounting-mode radius #指定审计方案的审计模式为radius
  3. accounting realtime 15 #指定实时审计周期为15分钟
  4. accounting start-fail online #指定开始计费失败策略为:如果开始计费失败,允许用户上线 (缺省情况下,如果开始计费失败,用户不能上线,即采用offline方式)
  5. 该命令仅在执行accouting-mode命令配置计费模式为HWTACACS或RADIUS模式下生效;
  6. 应用场景:应用了计费方案后,如果有用户上线,设备将向计费服务器发送开始计费请求。
  7. 正常情况下,计费服务器响应设备的请求,由于网络故障的影响,可能造成设备没有收到计费服务器的响应而造成计费失败。
  8. 计费失败后,需要执行响应的策略:

7、创建接入用户默认认证域,并将RADIUS服务器模板、认证方案、计费方案绑定至该域;

  1. aaa #进入aaa模式
  2. domain video.gov #创建video.gov的域并进入域的视图
  3. authentication-scheme radius_auth #配置域下应用的认证方案
  4. accounting-scheme radius_acc #配置域下应用的计费方案
  5. radius-server radius_temp #配置域下应用radius-server模板

8、定义触发逃生通道后用户所能访问的资源,以下配置以能够访问所有资源为例(即配置RADIUS服务器状态探测功能)

  1. #设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态,在RADIUS服务器状态为Down时,使用户能够获得逃生权限;在RADIUS服务器状态UP后,用户退出逃生权限,进行重认证
  2. #服务器DOWN后,每60S测试一次,3S内只要收到回复(无论认证成功与否都会有回复),服务器状态变为UP.
  3. radius-server template radius_temp
  4. radius-server detect-server interval 60
  5. radius-server detect-server timeout 3
  6. #RADIUS请求5S秒内无回复再次请求(以下为缺省值)
  7. radius-server retransmit 3 timeout 5
  8. #5S内出现两次Radius请求无响应,循环技术两次则服务器被判定为Down.
  9. #两次Radius请求无响应时间大于300S时,判定服务器Down. 默认 5 2 2
  10. radius-server dead-interval 5
  11. radius-server dead-count 1
  12. radius-server detect-cycle 2
  13. radius-server max-unresponsive-interval 300
  14. #配置RADIUS认证服务器和计费服务器的状态同步
  15. radius-server dead-detect-condition by-server #配置基于IP地址对RADIUS服务器进行自动探测
  16. 缺省情况下,RADIUS服务器和计费服务器是分开进行探测的。
  17. 配置该功能后,相同VPN实例下,相同IP地址的RADIUS认证服务器和计费服务器同步探测,状态同步更新;
  18. #配置授权参数
  19. 用户在预连接、认证失败或认证服务器Down时,支持通过VLAN、UCL组和业务方案授权
  20. #业务方案
  21. acl number 3000 #定义acl,service-scheme需调用
  22. description For_Video
  23. rule 1 permit ip #放行所有IP流量
  24. aaa
  25. service-scheme AuthServer_Down #创建一个业务方案,并进入业务方案视图。缺省情况下,设备没有创建业务方案
  26. acl-id 3000 #业务方案下绑定ACL

9、创建并配置802.1x接入模板

  1. dot1x-access-profile name dot1x_access_profile //缺省情况下,设备自带1个名称为dot1x_access_profile的802.1X接入模板
  2. dot1x authentication-method { chap | pap | eap } //配置802.1x用户的认证方式
  3. 缺省情况下,802.1X用户认证方式为eap,即采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式
  4. 注释:如果802.1X客户端采用PEAP认证方式,则设备端用户的认证方式可配置为EAP

10、创建并配置802.1x认证模板

  1. authentication-profile name dot1x_authen_profile
  2. dot1x-access-profile dot1x_access_profile //配置认证模板绑定的802.1X接入模板
  3. access-domain video.gov force //指定强制认证域
  4. authentication mode multi-authen max-user 100 #指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100
  5. authentication event authen-server-down action authorize service-scheme AuthServer_Down #配置用户在认证服务器Down时的网络访问权限
  6. authentication event authen-server-up action re-authen #使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。
  7. 缺省情况下,当认证服务器状态由Down或强制UP转变为真正UP时,设备不会对处于逃生状态的用户进行重认证。
  8. 缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60S
  9. 说明:设备将RADIUS服务器的状态设置为Down,执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间,当dead-time超时后,设备会将服务器的状态设置为Up,此状态为强制Up
  10. 服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时,设备会对用户进行重认证。

11、接口下绑定认证模板

  1. interface GigabitEthernet0/0/17
  2. authentication-profile dot1x_authen_profile

附:

相关查看命令

  1. #display access-user access-type dot1x# #查看在线802.1X用户信息
  2. #display radius-server { dead-interval | dead-count | detect-cycle } #查看RADIUS服务器的探测周期、每个探测周期连续响应的最大次数和探测周期循环的配置信息
  3. #display radius-server configuration #查看RADIUS服务器模板下自动探测用户、探测周期以及探测报文超时等待时间的配置信息
  4. #display radius-server max-unresponsive-interval #查看RADIUS服务器无响应的最大时间间隔的配置信息
  5. #display dot1x-access-profile configuration [ name access-profile-name ] #查看802.1X接入模板的配置信息

二、H3C

1、配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)

#配置过程中有两个个共享密钥(RADIUS认证和计费密钥)交换机侧与服务器侧必须要配置一致

2、配置全网路由可达

3、配置RADIUS方案

  1. radius scheme radius_temp #创建RADIUS方案,并进入RADIUS方案视图
  2. primary authentication X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS认证服务器
  3. primary accounting X.X.X.X vpn-instance Video key simple Radius@Auth weight 100 #配置主RADIUS计费服务器
  4. user-name-format without-domain #设置发送给RADIUS服务器的用户名不携带携带ISP域名(缺省情况下,发送给RADIUS服务器的用户名携带ISP域名)
  5. nas-ip X.X.X.X #为指定RADIUS方案配置发送RADIUS报文使用的源IP地址(一般为网关)(可选)
  6. #缺省情况下,未指定发送RADIUS报文使用的源IP地址,设备将使用到达RADIUS服务器的路由出接口的主IPv4地址作为发送RADIUS报文的源IP地址。
  7. #需要修改的地址,每个局点不同

4、配置ISP域

  1. domain video.gov #创建非缺省ISP域
  2. authentication default radius-scheme radius_temp #配置802.1x用户使用RADIUS方案"radius_temp"进行认证、授权、计费
  3. authorization default radius-scheme radius_temp
  4. accounting default radius-scheme radius_temp

5、配置802.1x

  1. dot1x #开启全局802.1x功能(缺省情况下,全局的802.1X处于关闭状态)
  2. dot1x authentication-method eap #配置802.1x系统的认证方式(缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法)
  3. #注释:如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效。
  4. dot1x access-user log enable successful-login failed-login #开启802.1x认证用户上线成功、失败的日志信息
  5. #缺省情况下,802.1X接入用户日志信息功能处于关闭状态。
  1. interface interface-type interface-number
  2. dot1x #开启端口的802.1x
  3. dot1x mandatory-domain video.gov #指定接口上接入的802.1x用户使用强制认证域video.gov
  4. #缺省情况下,未指定802.1X用户使用的强制认证域
  5. #功能:1、防止用户通过恶意假冒其它域账号从本端口接入网络
  6. 2、通过配置强制认证域对不同端口接入的用户指定不同的认证域,从而增加了管理员部署802.1X接入策略的灵活性
  7. #只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效

6、配置802.1客户端(略)

附:

相关查看命令

  1. 显示802.1X的会话连接信息、相关统计信息或配置信息
  2. display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
  3. 显示当前802.1X在线用户的详细信息
  4. display dot1x connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ]
  5. 显示指定类型的VLAN中的802.1X用户的MAC地址信息
  6. display dot1x mac-address { auth-fail-vlan | critical-vlan | guest-vlan } [ interface interface-type interface-number ]
  7. 清除Guest VLAN内802.1X用户
  8. reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
  9. 清除802.1X的统计信息
  10. reset dot1x statistics [ interface interface-type interface-number ]

FAQ:

802.1x认证时,Radius方案中不配置nas-ip会影响认证?

  1. 答:不配置nas-ip,接入设备查询路由表,以出接口的ip作为源地址发送radius报文,即该出接口ip相当于nas-ip。
  2. 不配是否存在影响,这主要看认证服务器存有的接入设备ip与设备发出radius报文的源地址(nas-ip)是否一致,不一致的话,提示没有找到接入设备或者设备的Radius使能未启用

 

版权声明:
作者:SE_Gao
链接:https://www.cnesa.cn/2155.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
dot1x
前言: 802.1X认证是网络接入控制方案(NAC)中的一种,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。 802.1X认证安全性……
<<上一篇
下一篇>>