- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-802.1x及System-Guard操作
本章節下載 (370.59 KB)
目 錄
IEEE802 LAN/WAN委員會為解決無線局域網網絡安全問題,提出了802.1x協議。後來,802.1x協議作為局域網端口的一個普通接入控製機製應用於以太網中,主要解決以太網內認證和安全方麵的問題。
802.1x協議是一種基於端口的網絡接入控製(Port Based Network Access Control)協議。“基於端口的網絡接入控製”是指在局域網接入設備的端口這一級對所接入的設備進行認證和控製。連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源——相當於連接被物理斷開。
使用802.1x的係統為典型的Client/Server體係結構,包括三個實體:Supplicant System(客戶端)、Authenticator System(設備端)以及Authentication Server System(認證服務器),如下圖所示。
圖1-1 802.1x認證係統的體係結構
l
客戶端是位於局域網段一端的一個實體,由連接到該鏈接另一端的設備端對其進行認證。客戶端一般為一個用戶終端設備,用戶通過啟動客戶端軟件發起802.1x認證。客戶端軟件必須支持EAPOL(EAP over LANs,局域網上的EAP)協議。
l
設備端是位於局域網段一端的一個實體,用於對連接到該鏈接另一端的實體進行認證。設備端通常為支持802.1x協議的網絡設備(如H3C係列交換機),它為客戶端提供接入局域網的端口,該端口可以是物理端口,也可以是邏輯端口。
l
認證服務器是為設備端提供認證服務的實體。認證服務器用於實現用戶的認證、授權和計費,通常為RADIUS服務器。該服務器可以存儲用戶的相關信息,例如用戶的賬號、密碼以及用戶所屬的VLAN、優先級、用戶的訪問控製列表等。
三個實體涉及如下四個基本概念:端口PAE、受控端口、受控方向和端口受控方式。
PAE是認證機製中負責執行算法和協議操作的實體。
l
設備端PAE利用認證服務器對需要接入局域網的客戶端執行認證,並根據認證結果相應地控製受控端口的授權/非授權狀態。
l
客戶端PAE負責響應設備端的認證請求,向設備端提交用戶的認證信息。客戶端PAE也可以主動向設備端發送認證請求和下線請求。
設備端為客戶端提供接入局域網的端口,這個端口被劃分為兩個虛端口:受控端口和非受控端口。
l
非受控端口始終處於雙向連通狀態,主要用來傳遞EAPOL協議幀,保證客戶端始終能夠發出或接受認證。
l
受控端口在授權狀態下處於連通狀態,用於傳遞業務報文;在非授權狀態下處於斷開狀態,禁止傳遞任何報文。
l
受控端口和非受控端口是同一端口的兩個部分;任何到達該端口的幀,在受控端口與非受控端口上均可見。
在非授權狀態下,受控端口可以被設置成單向受控:實行單向受控時,禁止從客戶端接收幀,但允許向客戶端發送幀。
缺省情況下,受控端口實行單向受控。
H3C係列交換機支持以下兩種端口受控方式:
l
基於端口的認證:隻要該物理端口下的第一個用戶認證成功後,其他接入用戶無須認證就可使用網絡資源,當第一個用戶下線後,其他用戶也會被拒絕使用網絡。
l
基於MAC地址認證:該物理端口下的所有接入用戶都需要單獨認證,當某個用戶下線時,也隻有該用戶無法使用網絡,不會影響其他用戶使用網絡資源。
IEEE 802.1x認證係統利用EAP(Extensible Authentication Protocol,可擴展認證協議)協議,作為在客戶端和認證服務器之間交換認證信息的手段。
圖1-2 802.1x認證係統的工作機製
l
在客戶端PAE與設備端PAE之間,EAP協議報文使用EAPOL封裝格式,直接承載於LAN環境中。
l
在設備端PAE與RADIUS服務器之間,EAP協議報文可以使用EAPOR封裝格式(EAP over RADIUS),承載於RADIUS協議中;也可以由設備端PAE進行終結,而在設備端PAE與RADIUS服務器之間傳送PAP協議報文或CHAP協議報文。
l
當用戶通過認證後,認證服務器會把用戶的相關信息傳遞給設備端,設備端PAE根據RADIUS服務器的指示(Accept或Reject)決定受控端口的授權/非授權狀態。
EAPOL是802.1x協議定義的一種報文封裝格式,主要用於在客戶端和設備端之間傳送EAP協議報文,以允許EAP協議報文在LAN上傳送。格式如圖1-3所示。
圖1-3 EAPOL數據包格式
PAE Ethernet Type:表示協議類型,802.1x分配的協議類型為0x888E。
Protocol Version:表示EAPOL幀的發送方所支持的協議版本號。
Type:
l
EAP-Packet(值為00),認證信息幀,用於承載認證信息;
l
EAPOL-Start(值為01),認證發起幀;
l
EAPOL-Logoff(值為02),退出請求幀;
l
EAPOL-Key(值為03),密鑰信息幀;
l
EAPOL-Encapsulated-ASF-Alert(值為04),用於支持ASF(Alerting Standards Forum)的Alerting消息。
Length:表示數據長度,也就是“Packet Body”字段的長度。如果為0,則表示沒有後麵的數據域。
Packet Body:根據不同的Type有不同的格式。
其中,EAPOL-Start,EAPOL-Logoff和EAPOL-Key僅在客戶端和設備端之間存在;在設備端和認證服務器之間,EAP-Packet報文重新封裝承載於RADIUS協議上,以便穿越複雜的網絡到達認證服務器;EAPOL-Encapsulated-ASF-Alert封裝與網管相關的信息,例如各種警告信息,由設備端終結。
當EAPOL數據包格式Type域為EAP-Packet時,Packet Body為EAP數據包結構,如圖1-4所示。
圖1-4 EAP數據包格式
Code:指明EAP包的類型,一共有4種:Request,Response,Success,Failure。
Identifier:輔助進行Response和Request消息的匹配。
Length:EAP包的長度,包含Code、Identifier、Length和Data的全部內容。
Data:由Code決定。
Success和Failure類型的包沒有Data域,相應的Length域的值為4。
Request和Response類型的Data域的格式如下。
圖1-5 Request和Response類型的Data域的格式
Type:指出EAP的認證類型。其中,值為1時,代表Identity,用來查詢對方的身份;值為4時,代表MD5-Challenge,類似於PPP CHAP協議,包含質詢消息。
Type Data:Type Data域的內容隨不同類型的Request和Response而不同。
RADIUS為支持EAP認證增加了兩個屬性:EAP-Message(EAP消息)和Message-Authenticator(消息認證碼)。RADIUS協議的報文格式請參見“AAA操作手冊”中的RADIUS協議簡介部分。
EAP-Message屬性用來封裝EAP數據包,如圖1-6所示,類型代碼為79,string域最長為253字節,如果EAP數據包長度大於253字節,可以對其進行分片,依次封裝在多個EAP-Message屬性中。
圖1-6 EAP-Message屬性封裝
Message-Authenticator可以用於在使用CHAP、EAP等認證方法的過程中,避免接入請求包被竊聽。在含有EAP-Message屬性的數據包中,必須同時包含Message-Authenticator,否則該數據包會被認為無效而被丟棄。格式如圖1-7所示。
H3C S5100係列交換機支持EAP終結方式和EAP中繼方式進行認證。
這種方式是IEEE 802.1x標準規定的,將EAP協議承載在其他高層協議中,如EAP over RADIUS,以便擴展認證協議報文穿越複雜的網絡到達認證服務器。一般來說,EAP中繼方式需要RADIUS服務器支持EAP屬性:EAP-Message(值為79)和Message-Authenticator(值為80)。
EAP中繼方式有四種認證方法:EAP-MD5、EAP-TLS(Transport Layer Security,傳輸層安全)、EAP-TTLS和PEAP(Protected Extensible Authentication Protocol,受保護的擴展認證協議):
l
EAP-MD5:驗證客戶端的身份,RADIUS服務器發送MD5加密字(EAP-Request/MD5 Challenge報文)給客戶端,客戶端用該加密字對口令部分進行加密處理。
l
EAP-TLS:驗證客戶端和RADIUS服務器端雙方的身份,通過EAP-TLS認證方法檢查彼此的安全證書,保證雙方的正確性,防止網絡數據被竊聽。
l
EAP-TTLS:是對EAP-TLS的一種擴展。在EAP TLS中,實現對客戶端和認證服務器的雙向認證。EAP-TTLS擴展了這種實現,它使用TLS建立起來的安全隧道傳遞信息。
l
PEAP:首先創建和使用TLS安全通道來進行完整性保護,然後進行新的EAP協商,從而完成對客戶端的身份驗證。
以下以EAP-MD5方式為例介紹基本業務流程,如圖1-8所示。
圖1-8 IEEE 802.1x認證係統的EAP中繼方式業務流程
認證過程如下:
l
當用戶有上網需求時打開802.1x客戶端,輸入已經申請、登記過的用戶名和口令,發起連接請求(EAPOL-Start報文)。此時,客戶端程序將發出請求認證的報文給交換機,開始啟動一次認證過程。
l
交換機收到請求認證的數據幀後,將發出一個請求幀(EAP-Request/Identity報文)要求用戶的客戶端程序發送輸入的用戶名。
l
客戶端程序響應交換機發出的請求,將用戶名信息通過數據幀(EAP-Response/Identity報文)送給交換機。交換機將客戶端送上來的數據幀經過封包處理後(RADIUS Access-Request報文)送給RADIUS服務器進行處理。
l
RADIUS服務器收到交換機轉發的用戶名信息後,將該信息與數據庫中的用戶名表相比對,找到該用戶名對應的口令信息,用隨機生成的一個加密字對它進行加密處理,同時也將此加密字通過RADIUS Access-Challenge報文傳送給交換機,由交換機傳給客戶端程序。
l
客戶端程序收到由交換機傳來的加密字(EAP-Request/MD5 Challenge報文)後,用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge報文),並通過交換機傳給RADIUS服務器。
l
RADIUS服務器將加密後的口令信息(RADIUS Access-Request報文)和自己經過加密運算後的口令信息進行對比,如果相同,則認為該用戶為合法用戶,反饋認證通過的消息(RADIUS Access-Accept報文和EAP-Success報文)。
l
交換機將端口狀態改為授權狀態,允許用戶通過該端口訪問網絡。
l
客戶端也可以發送EAPoL-Logoff報文給交換機,主動終止已認證狀態,交換機將端口狀態從授權狀態改變成未授權狀態。
& 說明:
由於EAP中繼方式對報文的內容不做改動,如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5這四種認證方法之一,需要在客戶端和RADIUS服務器上選擇一致的認證方法,而在交換機上,隻需要通過dot1x authentication-method eap命令啟動EAP中繼方式即可。
這種方式將EAP報文在設備端終結並映射到RADIUS報文中,利用標準RADIUS協議完成認證和計費。
對於EAP終結方式,交換機與RADIUS服務器之間可以采用PAP或者CHAP認證方法。以下以CHAP認證方法為例介紹基本業務流程,如下圖所示。
圖1-9 IEEE 802.1x認證係統的EAP終結方式業務流程
EAP終結方式與EAP中繼方式的認證流程相比,不同之處在於用來對用戶口令信息進行加密處理的隨機加密字由交換機生成,之後交換機會把用戶名、隨機加密字和客戶端加密後的口令信息一起送給RADIUS服務器,進行相關的認證處理。
802.1x認證過程中會啟動多個定時器以控製接入用戶、交換機以及RADIUS服務器之間進行合理、有序的交互。802.1x的定時器主要有以下幾種:
l
握手定時器(handshake-period):此定時器是在用戶認證成功後啟動的,交換機以此間隔為周期發送握手請求報文,以定期檢測用戶的在線情況。如果dot1x retry命令配置重試次數為N,則如果交換機連續N次沒有收到客戶端的響應報文,就認為用戶已經下線。
l
靜默定時器(quiet-period):對用戶認證失敗以後,交換機需要靜默一段時間(該時間由靜默定時器設置)後,用戶可以再重新發起認證,在靜默期間,交換機不進行該用戶的802.1x認證相關處理。
l
重認證超時定時器(reauth-period):在該定時器設置的時長內,交換機會發起802.1x重認證。
l
RADIUS服務器超時定時器(server-timeout):若在該定時器設置的時長內,RADIUS服務器未成功響應,交換機將重發認證請求報文。
l
客戶端認證超時定時器(supp-timeout):當交換機向客戶端發送了Request/Challenge請求報文後,交換機啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,交換機將重發該報文。
l
傳送超時定時器(tx-period):以下兩種情況交換機啟動tx-period定時器:其一是在客戶端主動發起認證的情況下,當交換機向客戶端發送單播Request/Identity請求報文後,交換機啟動該定時器,若在該定時器設置的時長內,交換機沒有收到客戶端的響應,則交換機將重發認證請求報文;其二是為了對不支持主動發起認證的802.1x客戶端進行認證,交換機會在啟動802.1x功能的端口不停地發送組播Request/Identity報文,發送的間隔為tx-period。
l
ver-period:客戶端版本請求超時定時器。若在該定時器設置的時長內,客戶端設備未成功發送版本應答報文,則交換機將重發版本請求報文。
S5100交換機除了支持前麵所述的802.1x特性外,還支持如下特性:
l
與CAMS服務器配合,實現檢測客戶端功能(檢測使用代理登陸、用戶使用多網卡等);
l
客戶端版本檢測功能;
l
Guest VLAN功能。
& 說明:
CAMS服務器是H3C公司提供的業務管理係統,支持與交換機等網絡產品共同組網,完成終端用戶的認證、授權、計費和權限管理等功能,實現網絡的可管理、可運營,保證網絡和用戶信息的安全。
交換機的802.1x代理用戶檢測特性包括:
l
檢測使用代理服務器登錄的用戶;
l
檢測使用IE代理服務器登錄的用戶;
l
檢測用戶是否使用多網卡(即用戶登錄時,其PC上處於激活狀態的網卡超過一個)。
當交換機發現以上任意一種情況時,可以采取以下控製措施:
l
隻切斷用戶連接,不發送Trap報文(使用命令dot1x supp-proxy-check logoff配置);
l
隻發送Trap報文,不切斷用戶連接(使用命令dot1x supp-proxy-check trap配置)。
此功能的實現需要802.1x客戶端和CAMS的配合:
l
802.1x客戶端需要具備檢測用戶是否使用多網卡、代理服務器或者IE代理服務器功能;
l
CAMS上開啟認證客戶端禁用多網卡、禁用代理服務器或者禁用IE代理服務器功能。
802.1x客戶端默認關閉防止使用多網卡、代理服務器或IE代理服務器功能,如果CAMS打開防多網卡、代理或IE代理功能,則在用戶認證成功時,CAMS會下發屬性通知802.1x客戶端打開防多網卡、代理或IE代理功能。
& 說明:
l
該功能的實現需要H3C 802.1x客戶端程序(iNode)的配合。
l
對於檢測通過代理登錄的用戶功能,需要在CAMS上也啟用該功能,同時需要在交換機上啟用客戶端版本檢測功能(通過命令dot1x version-check配置)。
在交換機上啟動了對802.1x客戶端的版本驗證功能後,交換機會對接入用戶的802.1x客戶端軟件的版本和合法性進行驗證,以防止使用有缺陷的老版本客戶端或者非法客戶端的用戶上網。
啟用客戶端版本檢測功能後,如果在客戶端版本檢測定時器設置的時長內,客戶端未成功發送版本應答報文,則交換機將重發版本請求報文。
& 說明:
該功能的實現需要H3C 802.1x客戶端程序(iNode)的配合。
Guest VLAN功能用來允許未認證用戶訪問某些特定資源。
在實際應用中,如果用戶在沒有安裝802.1x客戶端的情況下,需要訪問某些資源;或者在用戶未認證的情況下升級802.1x客戶端,這些情況可以通過開啟Guest VLAN功能來解決。
Guest VLAN的功能開啟後:
l
交換機將在所有開啟802.1x功能的端口發送多播觸發報文;
l
如果達到最大發送次數後,仍有端口尚未返回響應報文,則交換機將該端口加入到Guest VLAN中;
l
之後屬於該Guest VLAN中的用戶訪問該Guest VLAN中的資源時,不需要進行802.1x認證,但訪問外部的資源時仍需要進行認證。
通常,Guest VLAN功能與動態VLAN下發功能配合使用。
動態VLAN下發功能的具體介紹,請參見“AAA操作手冊”中的配置部分。
802.1x提供了一個用戶身份認證的實現方案,為了實現此方案,除了配置802.1x相關命令外,還需要在交換機上配置AAA方案,選擇使用RADIUS、HWTACACS或本地認證方案,以配合802.1x完成用戶身份認證。
圖1-10 802.1x配置示意圖
l
802.1x用戶通過域名和交換機上配置的ISP域相關聯。
l
配置ISP域使用的AAA方案,包括本地認證方案、RADIUS方案或者HWTACACS方案。
l
如果采用RADIUS方案,通過遠端的RADIUS服務器進行認證,則需要在RADIUS服務器上配置相應的用戶名和密碼,然後在交換機上進行RADIUS客戶端的相關設置。
l
如果采用HWTACACS方案,通過遠端的TACACS服務器進行認證,則需要在TACACS服務器上配置相應的用戶名和密碼,然後在交換機上進行HWTACACS客戶端的相關設置。
l
如果是需要本地認證,則需要在交換機上手動添加認證的用戶名和密碼,當用戶使用和交換機中記錄相同的用戶名和密碼,啟動802.1x客戶端軟件進行認證時,就可以通過認證。
l
也可以配置交換機先采用RADIUS方案或者HWTACACS方案,通過RADIUS服務器或者TACACS服務器進行認證,如果RADIUS服務器無效,則使用本地認證。
AAA方案的具體配置細節,請參見“AAA操作手冊”中的配置部分。
802.1x基本功能的配置任務包括802.1x特性配置中涉及的基本配置,完成本節的配置就可以使用802.1x特性。
以下各項配置除了“開啟802.1x特性”任務外,其餘配置則是可選的,用戶可以根據各自的具體需求決定是否進行這些配置。
l
配置ISP域及其使用的AAA方案,選擇使用RADIUS、HWTACACS或者本地認證方案,以配合802.1x完成用戶的身份認證。
l
配置本地認證時,本地用戶的服務類型(service-type)必須配置為lan-access。
表1-1 配置802.1x基本功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟全局的802.1x特性 |
dot1x |
必選 缺省情況下,全局的802.1x特性為關閉狀態 |
|
開啟端口的802.1x特性 |
係統視圖下 dot1x [ interface interface-list ] |
必選 缺省情況下,端口的802.1x特性均為關閉狀態 |
|
端口視圖下 dot1x |
||
|
設置端口接入控製的模式 |
dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list
] |
可選 缺省情況下,802.1x在端口上進行接入控製的模式為auto |
|
設置端口接入控製方式 |
dot1x port-method { macbased | portbased } [ interface interface-list ] |
可選 缺省情況下,802.1x在端口上進行接入控製方式為macbased,即基於MAC地址進行認證 |
|
設置802.1x用戶的認證方法 |
dot1x authentication-method {
chap | pap | eap } |
可選 缺省情況下,交換機采用EAP終結方式的CHAP認證方法 |
|
開啟在線用戶握手功能 |
dot1x handshake enable |
可選 缺省情況下,開啟在線用戶握手功能 |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
開啟握手報文的安全擴展功能 |
dot1x handshake secure |
可選 缺省情況下,關閉握手報文的安全擴展功能。 |
注意:
l 必須同時開啟全局和端口的802.1x特性後,802.1x的配置才能生效。
l 如果端口啟動了802.1x,則不能配置該端口的最大MAC地址學習個數(通過命令mac-address max-mac-count配置);反之,如果端口配置了最大MAC地址學習個數,則禁止在該端口上啟動802.1x。
l 如果端口啟動了802.1x,則不能配置該端口加入彙聚組。反之,如果該端口已經加入到某個彙聚組中,則禁止在該端口上啟動802.1x。
l 當采用設備本身作為認證服務器時,802.1x用戶的認證方法,不可以配置為EAP方式。
l 802.1x的代理檢測功能依賴於在線用戶握手功能。在配置代理檢測功能之前,必須先開啟在線用戶握手功能。
l 握手報文的發送需要H3C私有客戶端的支持,用以探測用戶是否在線。
l 對於非H3C客戶端,由於不支持握手功能,在握手周期內交換機不會收到握手回應報文。因此需要將在線用戶握手功能關閉,以防止錯誤地認為用戶下線。
l 握手報文的安全擴展功能需要支持此功能的客戶端與認證服務器配合才能正常使用,若客戶端或者認證服務器不支持握手報文的安全擴展功能,則需要關閉此功能。
表1-2 配置802.1x的定時器及接入用戶的最大數目
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置端口同時接入用戶數量的最大值 |
係統視圖下 dot1x max-user user-number [ interface interface-list
] |
可選 缺省情況下,所有的端口上都允許同時最多有256個接入用戶 |
|
端口視圖下 dot1x max-user user-number |
||
|
設置允許認證請求幀的最大發送次數 |
dot1x retry max-retry-value |
可選 缺省情況下,max-retry-value為2,即設備最多可向接入用戶發送2次認證請求幀 |
|
配置定時器參數 |
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout
supp-timeout-value | tx-period tx-period-value | ver-period
ver-period-value } |
可選 缺省情況下,handshake-period-value為15秒,quiet-period-value為60秒server-timeout-value為100秒supp-timeout-value為30秒,tx-period-value為30秒,
ver-period-value為30秒 |
|
開啟quiet-period定時器 |
dot1x quiet-period |
可選 缺省情況下,quiet-period定時器處於關閉狀態 |
& 說明:
l dot1x max-user命令還可以在端口視圖下進行配置。在係統視圖下,當沒有指定任何確定的端口時,是對所有端口進行相關配置。在端口視圖下使用此命令時,不能輸入interface-list參數,僅對當前端口進行配置。
l 一般情況下,建議保持802.1x定時器的缺省值。
802.1x的應用特性的各項配置都是可選的,包括如下配置任務:
l
配置802.1x與CAMS配合應用的特性:檢測客戶端使用多網卡、代理等;
l
配置客戶端版本檢測功能;
l
配置允許DHCP觸發認證;
l
配置Guest VLAN功能;
l
配置802.1x重認證功能;
l
配置802.1x重認證的超時定時器。
802.1x基本功能已經配置完成
此功能的實現需要802.1x客戶端和CAMS的配合:
l
802.1x客戶端需要具備檢測用戶是否使用多網卡、代理服務器或者IE代理服務器功能;
l
CAMS上開啟認證客戶端禁用多網卡、禁用代理服務器或者禁用IE代理服務器功能。
802.1x客戶端默認關閉防止使用多網卡、代理服務器或IE代理服務器功能,如果CAMS打開防多網卡、代理或IE代理功能,則在用戶認證成功時,CAMS會下發屬性通知802.1x客戶端打開防多網卡、代理或IE代理功能;
表1-3 配置用戶的代理檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟全局的代理檢測功能 |
dot1x supp-proxy-check { logoff | trap } |
必選 缺省情況下,全局的802.1x代理檢測特性都處於關閉狀態 |
|
開啟端口的代理檢測功能 |
係統視圖下 dot1x supp-proxy-check { logoff | trap } [ interface interface-list ] |
必選 缺省情況下,端口的802.1x代理檢測特性都處於關閉狀態 |
|
端口視圖下 dot1x supp-proxy-check { logoff | trap } |
& 說明:
l 該功能的實現需要H3C 802.1x客戶端程序(iNode)的配合。
l 對於檢測通過代理登錄的用戶功能,需要在CAMS上也啟用該功能,同時需要在交換機上啟用客戶端版本檢測功能(通過命令dot1x version-check配置)。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動對802.1x客戶端的版本驗證功能 |
dot1x version-check [ interface interface-list ] |
必選 缺省情況下,所有端口的802.1x客戶端版本檢測特性都處於關閉狀態 |
|
設置交換機向客戶端發送版本驗證請求幀的最大次數 |
dot1x retry-version-max max-retry-version-value |
可選 缺省情況下,可重複向客戶端發送版本請求幀的最大次數為3次 |
|
配置版本驗證的超時定時器 |
dot1x timer ver-period ver-period-value |
可選 缺省情況下,ver-period-value為30秒 |
& 說明:
dot1x version-check命令還可以在端口視圖下進行配置。在係統視圖下,當沒有指定任何確定的端口時,是對所有端口進行相關配置。在端口視圖下使用此命令時,不能輸入interface-list參數,僅對當前端口進行配置。
通過如下配置,802.1x允許設備在接入用戶運行DHCP、申請動態IP地址時就觸發對其的身份認證。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
允許DHCP觸發認證 |
dot1x dhcp-launch |
可選 缺省情況下,不允許DHCP觸發對接入用戶的身份認證 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置端口接入控製方式 |
dot1x port-method portbased |
必選 缺省情況下,802.1x在端口上進行接入控製方式為基於MAC地址進行認證 |
|
開啟Guest VLAN功能 |
dot1x guest-vlan vlan-id [ interface interface-list ] |
必選 缺省情況下,Guest VLAN功能處於關閉狀態 |
注意:
l 隻有在端口認證方式下,交換機才可以支持Guest VLAN功能。
l 一台交換機隻能配置一個Guest VLAN。
802.1x重認證是通過定時器或報文觸發,對已經認證成功的用戶進行一次重新認證。通過啟用802.1x重認證功能,交換機可以定時檢測用戶的連接狀況。當發現接入用戶在一定時間內未響應重認證報文,則切斷與該用戶的連接。若用戶希望再次連接,則必須通過客戶端軟件重新發起802.1x認證。
圖1-11 802.1x重認證功能示意圖
802.1x重認證流程如圖1-12所示。
圖1-12 802.1x重認證流程
802.1x重認證功能的開啟方式有如下兩種:
l
RADIUS服務器觸發交換機對接入用戶的802.1x重認證:RADIUS服務器向交換機發送Termination-Action屬性字段為1的Access-Accept報文,交換機收到此報文後會對接入的用戶進行周期性的重新認證。
l
交換機上配置對接入用戶的802.1x重認證:用戶在交換機上啟用802.1x重認證功能後,交換機則會對接入的用戶進行周期性的重新認證。
& 說明:
在使用CAMS作為認證服務器時,由於CAMS隻有對認證用戶開始計費時才建立用戶會話,當配置CAMS服務器對用戶隻認證不計費時,802.1x重認證將無法成功。因此,當要啟用802.1x重認證時,不能在domain中配置accounting none。而其他服務器無此限製。
表1-7 啟用802.1x用戶重認證功能
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
開啟全局的802.1x特性 |
dot1x |
必選 缺省情況下,全局的802.1x功能處於關閉狀態 |
|
|
開啟端口的802.1x特性 |
係統視圖下 |
dot1x [ interface interface-list ] |
必選 缺省情況下,端口的802.1x功能均處於關閉狀態 |
|
端口視圖下 |
dot1x |
||
|
啟用802.1x用戶重認證功能 |
係統視圖下 |
dot1x re-authenticate [ interface interface-list ] |
必選 缺省情況下,所有端口的802.1x重認證功能均處於關閉狀態 |
|
端口視圖下 |
dot1x re-authenticate |
||
& 說明:
在啟動端口802.1x重認證功能之前,必須開啟全局802.1x功能和該端口的802.1x功能。
交換機啟用重認證功能後,通過以下兩種方式可以確定重認證周期時間:
(1)
交換機以RADIUS服務器下發的Access-Accept報文中Session-timeout屬性字段的取值,作為重認證周期。
(2)
交換機以dot1x timer reauth-period命令設置的值,作為接入用戶的重認證周期。
需要注意的是:
在重認證過程中,無論采用上述哪種方式確定802.1x重認證周期時間,交換機隻采用最後一次設定的重認證周期。例如,用戶在交換機上配置了重認證的周期後,交換機又收到了Termination-Action屬性字段為1的Access-Accept報文,則交換機將按照Access-Accept報文中的Session-timeout屬性字段的取值作為最終的重認證周期。
表1-8 配置定時器的超時時長
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置定時器的超時時長 |
dot1x timer reauth-period reauth-period-value |
可選 缺省情況下,reauth-period-value為3600秒 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置802.1x後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除802.1x的統計信息。
表1-9 802.1x配置的顯示和維護
|
操作 |
命令 |
說明 |
|
顯示802.1x的配置信息、運行情況和統計信息 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
display命令可以在任意視圖下執行 |
|
清除802.1x的統計信息 |
reset dot1x statistics [ interface interface-list ] |
reset命令在用戶視圖下執行 |
l
要求在各端口上對用戶接入進行認證,以控製其訪問Internet;接入控製模式要求是基於MAC地址的接入控製。
l
所有接入用戶都屬於一個缺省的域:example.com,該域最多可容納30個用戶;認證時,先進行RADIUS認證,如果RADIUS服務器沒有響應再轉而進行本地認證;計費時,如果RADIUS計費失敗則切斷用戶連接使其下線;此外,接入時在用戶名後不添加域名,正常連接時如果用戶有超過20分鍾流量持續小於2000Bytes的情況則切斷其連接。
l
由兩台RADIUS服務器組成的服務器組與交換機相連,其IP地址分別為10.11.1.1和10.11.1.2,前者作為主認證/備份計費服務器,後者作為備份認證/主計費服務器;設置係統與認證RADIUS服務器交互報文時的加密密碼為“name”、與計費RADIUS服務器交互報文時的加密密碼“money”,設置係統在向RADIUS服務器發送報文後5秒種內如果沒有得到響應就向其重新發送報文,重複發送報文的次數總共為5次,設置係統每15分鍾就向RADIUS服務器發送一次實時計費報文,指示係統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
l
本地802.1x接入用戶的用戶名為localuser,密碼為localpass,使用明文輸入,閑置切斷功能處於打開狀態。
圖1-13 啟動802.1x和RADIUS對接入用戶進行AAA操作
& 說明:
下述各配置步驟包含了大部分AAA/RADIUS協議配置命令,對這些命令的介紹,請參見“AAA操作手冊”中的配置部分。此外,客戶端和RADIUS服務器上的配置略。
# 開啟全局802.1x特性。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x
# 開啟指定端口GigabitEthernet 1/0/1的802.1x特性。
[H3C] dot1x interface GigabitEthernet 1/0/1
# 設置接入控製方式(該命令可以不配置,因為端口的接入控製在缺省情況下就是基於MAC地址的)。
[H3C] dot1x port-method macbased interface GigabitEthernet 1/0/1
# 創建RADIUS方案radius1並進入其視圖。
[H3C] radius scheme radius1
# 設置主認證/計費RADIUS服務器的IP地址。
[H3C-radius-radius1] primary authentication 10.11.1.1
[H3C-radius-radius1] primary accounting 10.11.1.2
# 設置備份認證/計費RADIUS服務器的IP地址。
[H3C-radius-radius1] secondary authentication 10.11.1.2
[H3C-radius-radius1] secondary accounting 10.11.1.1
# 設置係統與認證RADIUS服務器交互報文時的加密密碼。
[H3C -radius-radius1] key authentication name
# 設置係統與計費RADIUS服務器交互報文時的加密密碼。
[H3C-radius-radius1] key accounting money
# 設置係統向RADIUS服務器重發報文的時間間隔與次數。
[H3C-radius-radius1] timer 5
[H3C-radius-radius1] retry 5
# 設置係統向RADIUS服務器發送實時計費報文的時間間隔。
[H3C-radius-radius1] timer realtime-accounting 15
# 指示係統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
[H3C-radius-radius1] user-name-format without-domain
[H3C-radius-radius1] quit
# 創建域example.com並進入其視圖。
[H3C] domain example.com
# 指定radius1為該域用戶的RADIUS方案,若RADIUS服務器無效,則使用本地認證方案。
[H3C-isp-example.com] scheme radius-scheme radius1 local
# 設置該域最多可容納30個用戶。
[H3C-isp-example.com] access-limit enable 30
# 啟動閑置切斷功能並設置相關參數。
[H3C-isp-example.com] idle-cut enable 20 2000
[H3C-isp-example.com] quit
# 配置域example.com為缺省用戶域。
[H3C] domain default enable example.com
# 添加本地接入用戶。
[H3C] local-user localuser
[H3C-luser-localuser] service-type lan-access
[H3C-luser-localuser] password simple localpass
EAD(Endpoint Admission Defense,端點準入防禦)方案作為一個整合方案,提升了網絡的整體防禦能力。但是在實際的應用過程中EAD客戶端的部署工作量很大,帶來不便。
H3C S5100係列以太網交換機通過802.1x認證支持EAD客戶端的強製下發功能,實現了EAD客戶端的快速部署。
S5100係列以太網交換機利用以下兩個功能實現EAD客戶端的強製下發功能,解決目前EAD推廣中的客戶端部署難題。
802.1x認證成功之前(包括認證失敗),通過ACL限製終端用戶隻能訪問一個特定的IP地址段或是特定服務器,在特定服務器上提供EAD客戶端的下載升級或者動態地址分配等服務。
終端用戶在未進行802.1x認證前(包括認證失敗),使用IE訪問網絡,交換機會將用戶訪問的URL重定向到設置好的URL(EAD客戶端下載界麵),這樣用戶一打開IE就必須進入管理員預設的界麵。
通過以上兩個功能結合使用,EAD可以在部署時要求所有接入網絡的終端用戶到指定的機器上下載客戶端,並進行安裝,解決了EAD客戶端部署困難和工作量大的難題。
& 說明:
EAD快速部署特性隻在802.1x端口接入控製的模式為auto的情況下生效。
l
設備啟用802.1x。
l
802.1x在指定端口上接入控製的模式為auto。
1. 配置可訪問的受限IP網段
受限IP網段是指802.1x認證成功之前(包括認證失敗),終端用戶可以訪問的IP地址段,也稱為免費IP網段。
表2-1 配置受限IP網段
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置重定向URL |
dot1x url url-string |
必選 |
|
配置免費IP網段 |
dot1x free-ip ip-address { mask-address | mask-length
} |
必選 缺省情況下,係統沒有配置免費IP網段地址 |
2. 配置ACL定時器超時時間
EAD快速部署功能通過ACL來給予未通過認證的終端用戶受限製的網絡訪問權限,在用戶認證成功後,所占用的ACL將被釋放。由於設備支持的ACL數量有限,當大量用戶同時上線時,ACL資源將迅速被占用,如果沒有用戶認證成功,將出現ACL數量不足的情況,這樣會導致一部分用戶無法上線。
管理員可以通過配置ACL定時器超時時間來控製對ACL資源的占用,當用戶訪問網絡時該定時器即開始計時,如果該用戶在超時時間內沒有下載客戶端並進行認證,則刪除其所占用的ACL資源,使其他用戶可以進行接入。在接入用戶數量較多時,可以將超時時間適當縮短,以提高ACL的使用效率。
表2-2 配置ACL定時器超時時間
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置ACL定時器超時時間 |
dot1x timer acl-timeout acl-timeout-value |
可選 缺省情況下ACL定時器超時時間值為30分鍾 |
注意:
l 在配置免費IP網段時必須先配置重定向的URL,此URL必須以“http://”開頭。URL所在網段必須處於免費IP網段,否則不能重定向。
l 配置免費IP網段時不能開啟802.1x特性的dhcp-launch功能。
l 在沒有開啟EAD快速部署功能時,開啟dot1x後,若認證失敗,則不能訪問DHCP服務器。在開啟了EAD快速部署功能後,若DHCP服務器在Free IP網段內,則認證成功前可以動態獲得IP地址。
l EAD快速部署功能隻對接入控製的模式為auto(通過dot1x port-control命令配置)的端口才有效。
l 目前的EAD支持快速部署特性隻是基於802.1x認證方式實現,其他接入方式暫不支持。
l 目前的EAD快速部署特性不支持端口安全,在使能端口安全的情況下,配置的受限IP網段功能失效。
在完成上述配置後,在任意視圖下執行display命令,可以顯示EAD支持快速部署特性的配置情況。
表2-3 顯示dot1x相關信息
|
操作 |
命令 |
說明 |
|
顯示EAD快速部署特性的相關配置 |
display dot1x [ sessions | statistics ] [ interface interface-list ] |
display命令可以在任意視圖下執行 |
用戶直接和交換機相連,交換機和Web服務器、外部網絡相連。用戶在未通過認證前,IE訪問外部網絡會被重定向至Web服務器,下載認證客戶端,升級軟件等。通過認證後,PC可以訪問網絡。
圖2-1 EAD快速部署配置舉例組網圖
# 用戶在使用EAD快速部署功能之前首先必須配置好Web服務器,也就是用戶接入設備後,能夠下載客戶端的重定向服務器。
# 用戶的PC的默認網關配置為與其直連的交換機VLAN所對應的IP地址。
# 配置重定向URL。
<H3C> system-view
[H3C] dot1x url http://192.168.0.111
# 配置一條免費IP網段。
[H3C] dot1x free-ip 192.168.0.111 24
# 配置ACL定時器超時時間為10分鍾。
[H3C] dot1x timer acl-timeout 10
# 啟動全局dot1x。
[H3C] dot1x
# 啟動端口dot1x。
[H3C] dot1x interface GigabitEthernet 1/0/1
故障描述:用戶使用IE瀏覽器輸入任意地址不能正確重定向到指定的URL服務器。
故障排除:
l
如果用戶在自己PC的IE地址欄內輸入了字符串類型的地址,此時會發現不能正確重定向。這和PC使用的操作係統有關,此種情況下PC首先會將這個字符串地址作為名字進行網絡地址解析,如果解析不成功會訪問某個特定的網站,通常這個地址不是X.X.X.X形式的,這樣PC發出的ARP請求就不會收到回應,也就不能進行重定向。故IE內輸入的地址應該為X.X.X.X(點分十進製格式)的非免費IP網段地址才有效。
l
如果用戶在自己PC的IE地址欄內輸入了符合免費IP配置的網段內的任意地址,也不會進行重定向操作,設備此時認為用戶試圖訪問免費IP網段的某台主機,即使這台主機不存在。如果需要進行重定向,則需輸入非免費IP網段的任意地址。
l 是否用戶在配置和組網時沒有將服務器加入免費IP網段,或者配置的URL是個不存在的地址,或者該URL指向的服務器沒有提供Web服務。
如果交換機上啟動了802.1x功能,交換機會對啟動了802.1x的端口進行授權認證,隻允許經過授權的端口轉發報文。此時如果連接交換機的端口沒有進行802.1x的授權和認證,所有的報文將會被過濾,使用戶無法對下掛的交換機進行管理。HABP(Huawei Authentication Bypass Protocol)特性可以解決這個問題。
HABP報文攜帶下掛交換機的MAC地址等信息。交換機上啟動了HABP特性之後,HABP報文將會忽略端口上的802.1x認證,在交換機之間進行通信,從而使管理設備可以獲取下掛交換機的MAC地址,對下掛的交換機進行管理。
HABP包括HABP Server和HABP Client。一般情況下,Server會定期向Client發送HABP請求報文,收集下掛交換機的MAC地址。而Client會對請求報文進行應答,同時向下層交換機轉發HABP請求報文。HABP Server一般應該在管理設備上啟動,HABP Client應該在下掛的交換機上啟動。
如果交換機上啟動了802.1x,建議用戶啟動HABP特性,以便對交換機進行管理。
在管理設備上啟動了HABP Server以後,管理設備就會向下掛的交換機發送HABP請求報文,收集下掛交換機的MAC地址,以方便對下掛交換機的管理。發送HABP請求報文的時間間隔也是在管理設備上進行配置的。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟HABP特性 |
habp enable |
必選 缺省情況下,HABP特性處於開啟狀態 |
|
配置當前交換機為HABP Server |
habp server vlan vlan-id |
必選 缺省情況下,交換機的HABP特性工作在Client模式下,但必須開啟HABP Server才可以對Client進行管理 |
|
配置發送HABP請求報文的時間間隔 |
habp timer interval |
可選 缺省情況下,交換機發送HABP請求報文的時間間隔為20秒 |
HABP Client在下掛的交換機上啟動。交換機上啟動HABP特性後,交換機缺省情況下就運行在HABP Client模式下。因此本配置隻要在交換機上啟動HABP特性即可。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟HABP特性 |
habp enable |
可選 缺省情況下,HABP特性處於開啟狀態。 啟動了HABP特性之後,HABP特性即工作在Client模式下 |
在完成上述配置後,在任意視圖下執行display命令都可以顯示配置後HABP特性的運行情況。用戶可以通過查看顯示信息驗證配置的效果。
|
操作 |
命令 |
說明 |
|
顯示HABP特性的配置信息和狀態 |
display habp |
display命令可以在任意視圖下執行 |
|
顯示HABP的MAC地址表的信息 |
display habp table |
|
|
顯示HABP報文的統計信息 |
display habp traffic |
在CPU防攻擊的處理上,首先對攻擊進行判斷,判斷CPU是否受到攻擊。
不能簡單的從隊列是否發生擁塞來判斷,需要通過如下方式:
l
通過單位時間內上CPU的報文個數來判斷。
l
或者為了處理方便換算成每百個報文需要多長時間來處理。
在攻擊發生後,可以出現某個隊列的上CPU報文速度超出閥值,此時可以判斷出現攻擊。通過對報文的分析,進行攻擊源的特征提取,再根據特征源采取不同的過濾方式,達到防攻擊的目的。
通過本配置,可以完成使能防攻擊特性,設置係統防攻擊檢測報文數量的門限,以及檢測到攻擊時的隔離時間。
表4-1 配置防攻擊
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
使能防攻擊特性 |
system-guard enable |
必選 缺省情況下,關閉係統防攻擊功能 |
|
設置係統防攻擊檢測報文數量的門限 |
system-guard detect-threshold threshold-value |
可選 缺省門限值是200個報文 |
|
設置當檢測到攻擊時的隔離時間 |
system-guard timer-interval isolate-timer |
可選 缺省情況下,隔離時間為10分鍾 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後防攻擊特性的運行情況,通過查看顯示信息驗證配置的效果。
表4-2 防攻擊顯示和維護
|
操作 |
命令 |
|
顯示防攻擊記錄信息 |
display system-guard attack-record |
|
顯示防攻擊狀態信息 |
display system-guard state |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
