H3C-802.1X配置.doc

《H3C-802.1X配置.doc》由会员分享，可在线阅读，更多相关《H3C-802.1X配置.doc（25页珍藏版）》请在金锄头文库上搜索。

1、目 录1 802.1x配置. 1-11.1 802.1x简介. 1-11.1.1 802.1x的体系结构. 1-11.1.2 802.1x的基本概念. 1-21.1.3 EAPOL消息的封装. 1-31.1.4 EAP属性的封装. 1-41.1.5 802.1x的认证触发方式. 1-51.1.6 802.1x的认证过程. 1-51.1.7 802.1x的定时器. 1-81.1.8 802.1x在设备中的实现. 1-91.1.9 和802.1x配合使用的特性. 1-91.2 配置802.1x. 1-101.2.1 配置准备. 1-101.2.2 配置全局802.1x. 1-111.2.3 配置端

2、口的802.1x. 1-121.3 配置802.1x的Guest VLAN. 1-131.3.1 配置准备. 1-131.3.2 配置Guest VLAN. 1-131.4 802.1x显示和维护. 1-141.5 802.1x典型配置举例. 1-141.6 Guest VLAN、VLAN下发典型配置举例. 1-161 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口

3、的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。1.1.1 802.1x的体系结构802.1x系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。图1-1 802.1x认证系统的体系结构l 客户端是位于局域网段一端的一个实体，由该链路另一端的

4、设备端对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。l 设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。l 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In Use

5、r Service，远程认证拨号用户服务）服务器。802.1x认证系统使用EAP（Extensible Authentication Protocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。l 在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。l 在设备端与RADIUS服务器之间，可以使用两种方式来交换信息。一种是EAP协议报文使用EAPOR（EAP over RADIUS）封装格式承载于RADIUS协议中；另一种是EAP协议报文由设备端进行终结，采用包含PAP（Password Authentication Protocol，

6、密码验证协议）或CHAP（Challenge Handshake Authentication Protocal，质询握手验证协议）属性的报文与RADIUS服务器进行认证交互。1.1.2 802.1x的基本概念图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1x认证系统的端口状态。系统1的受控端口处于非授权状态（相当于端口开关打开），系统2的受控端口处于授权状态（相当于端口开关关闭）。图1-2 受控端口上授权状态的影响1. 受控/非受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。任何到达该端口的帧，在受控端口与

7、非受控端口上均可见。l 非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接收认证报文。l 受控端口在授权状态下处于双向连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。2. 授权/非授权状态设备端利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果（Accept或Reject）对受控端口的授权/非授权状态进行相应地控制。用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式：l 强制授权模式（authorized-force）：表示端口始终处于授权状态，允许用户不经认证授权即可访问网络资源。l

8、 强制非授权模式（unauthorized-force）：表示端口始终处于非授权状态，不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。l 自动识别模式（auto）：表示端口初始状态为非授权状态，仅允许EAPOL报文收发，不允许用户访问网络资源；如果认证通过，则端口切换到授权状态，允许用户访问网络资源。这也是最常见的情况。3. 受控方向在非授权状态下，受控端口可以被设置成单向受控和双向受控。l 实行双向受控时，禁止帧的发送和接收；l 实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。目前，设备只支持单向受控。1.1.3 EAPOL消息的封装1. EAPOL数据包的格式E

9、APOL是802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图1-3所示。图1-3 EAPOL数据包格式PAE Ethernet Type：表示协议类型，为0x888E。Protocol Version：表示EAPOL帧的发送方所支持的协议版本号。Type：表示EAPOL数据帧类型，目前设备上支持的数据类型见表1-1。表1-1 EAPOL数据类型类型说明EAP-Packet（值为0x00）：认证信息帧，用于承载认证信息该帧在设备端和认证服务器之间存在，重新封装并承载于RADIUS协议上，便于穿越复

10、杂的网络到达认证服务器EAPOL-Start（值为0x01）：认证发起帧这两种类型的帧仅在客户端和设备端之间存在EAPOL-Logoff（值为0x02）：退出请求帧Length：表示数据长度，也就是“Packet Body”字段的长度，单位为字节。如果为0，则表示没有后面的数据域。Packet Body：表示数据内容，根据不同的Type有不同的格式。2. EAP数据包的格式当EAPOL数据包格式Type域为EAP-Packet时，Packet Body为EAP数据包结构，如图1-4所示。图1-4 EAP数据包格式Code：指明EAP包的类型，共有4种：Request、Response、Succ

11、ess、Failure。l Success和Failure类型的包没有Data域，相应的Length域的值为4。l Request和Response类型数据包的Data域的格式如图1-5所示。Type为EAP的认证类型，Type data的内容由类型决定。例如，Type值为1时代表Identity，用来查询对方的身份；Type值为4时，代表MD5-Challenge，类似于PPP CHAP协议，包含质询消息。图1-5 Request和Response类型数据包的Data域的格式Identifier：辅助进行Request和Response消息的匹配。Length：EAP包的长度，包含Code、

12、Identifier、Length和Data域，单位为字节。Data：EAP包的内容，由Code类型决定。1.1.4 EAP属性的封装RADIUS为支持EAP认证增加了两个属性：EAP-Message（EAP消息）和Message-Authenticator（消息认证码）。RADIUS协议的报文格式请参见“安全分册”中的“AAA配置”的RADIUS协议简介部分。1. EAP-Message如图1-6所示，这个属性用来封装EAP数据包，类型代码为79，String域最长253字节，如果EAP数据包长度大于253字节，可以对其进行分片，依次封装在多个EAP-Message属性中。图1-6 EAP-

13、Message属性封装2. Message-Authenticator如图1-7所示，这个属性用于在使用EAP、CHAP等认证方法的过程中，避免接入请求包被窃听。在含有EAP-Message属性的数据包中，必须同时也包含Message-Authenticator，否则该数据包会被认为无效而被丢弃。图1-7 Message-Authenticator属性1.1.5 802.1x的认证触发方式802.1x的认证过程可以由客户端主动发起，也可以由设备端发起。设备支持的认证触发方式包括以下两种：1. 标准EAP触发方式客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE

14、 802.1x协议分配的一个组播MAC地址：01-80-C2-00-00-03。另外，由于网络中有些设备不支持上述的组播报文，使得认证设备无法收到客户端的认证请求，因此设备端还支持广播触发方式，即，可以接收客户端发送的目的地址为广播MAC地址的EAPOL-Start报文。这种触发方式需要H3C iNode的802.1x客户端的配合。2. 设备主动触发方式设备会每隔N秒（缺省为30秒）主动向客户端发送EAP-Request/Identity报文来触发认证，这种触发方式用于支持不能主动发送EAPOL-Start报文的客户端，例如Windows XP自带的802.1x客户端。1.1.6 802.1x

15、的认证过程802.1x系统支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。以下关于两种认证方式的过程描述，都以客户端主动发起认证为例。1. EAP中继方式这种方式是IEEE 802.1x标准规定的，将EAP（可扩展认证协议）承载在其它高层协议中，如EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说，EAP中继方式需要RADIUS服务器支持EAP属性：EAP-Message和Message-Authenticator，分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。下面以EAP-MD5方式为例介绍基本业务流程，如图1-8所示。图1-8 IEEE 802.1x认证系统的EAP中继方式业务流程