锐捷无线802.1x常见问题
无线设备指标参数请参见锐捷官网
1、802.1X功能介绍
IEEE802.1X (Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为LAN 提供点对点式的安全接入。这是IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE 802 LAN 优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。
IEEE 802.1X 标准定义了一种基于“客户端——服务器”(Client-Server )模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。 在客户端通过认证之前,只有EAPOL报文(Extensible Authentication Protocol over LAN )可以在网络上通行。在认证成功之后,正常的数据流便可在网络上通行。
应用802.1X我司的设备提供了Authentication,Authorization ,and Accounting 三种安全功能,简称AAA。
Authentication: 认证,用于判定用户是否可以获得访问权,限制非法用户;
Authorization : 授权,授权用户可以使用哪些服务,控制合法用户的权限;
Accounting : 计账,记录用户使用网络资源的情况,为收费提供依据。
2、无线设备是否支持使用本地账号进行802.1x认证
不支持。
3、AP胖模式是否支持802.1x认证
可以,胖AP模式下无线也可以支持AP作为NAS设备与SAM进行802.1x认证,AP上关于SSID及认证服务器配置方法与瘦AP时AC配置一样。在SAM上,添加设备时选“无线交换机”,型号选“5302”或“5708”都可以。
4、无线802.1X认证中是否支持安全通道,是否支持配置免认证资源?是否支持逃生?
不支持安全通道,不支持配置免认证资源。
因为无线1x认证是空口报文交互,STA去关联无线的时候就开始做1x认证,这个时候访问资源的动作还没有开始,无法实现免认证资源部署 ;所以安全通道在无线中是不可行的。
如果要放通内网的一些资源免认证,那么可以再创建一个SSID,免认证,并在wlansec中应用ACL控制访问范围。
不支持逃生,可以使用1x认证ssid异常后设备开放一个免认证的ssid用于终端接入使用。
5、查看用户认证状态信息,包括用户mac地址、所属vlan、认证状态等
Ruijie#show dot1x summary
ID Username MAC Interface VLAN Auth-State Backend-state Port-Status User-Type Time
--- -------- -------------- --------- ------ ------------ ---------------- ------------- --------- ---------
3 ts-user b048.7a7f.f9f3 wlan 1 1 Authenticated Idle Authed static 0days 0h 0m12s
通过 show aaa user all 查看 aaa 是否有用户表
6、查看Radius Server 的相关配置
Ruijie#show radius server
Server IP: 192.168.33.244
Accounting Port: 1813
Authen Port: 1812
Test Username: <Not Configured>
Test Idle Time: 60 Minutes
Test Ports: Authen and Accounting
Server State: active ------>radius正常
Current duration 35116s, previous duration 0s
Dead: total time 0s, count 0
7、查看802.1X 配置和启用的功能:
Ruijie#show dot1x
802.1X Status: Enabled
Authentication Mode: EAP
Authed User Number: 0
Re-authen Enabled: Disabled
Re-authen Period: 3600 sec
Quiet Timer Period: 10 sec
Tx Timer Period: 3 sec
Supplicant Timeout: 3 sec
Server Timeout: 5 sec
Re-authen Max: 3 times
Maximum Request: 3 times
Filter Non-RG Supp: Disabled
Client Oline Probe: Disabled
Eapol Tag Enable: Disabled
Authorization Mode: Disabled
8、如何查看用户认证类型:show wclient security
AC#show wclient security 9c4e.36cc.f6dc
Security policy finished :TRUE
Security policy type:WPA-802.1X
WPA version:WPA2 (RSN)
Security cipher mode:CCMP
Security EAP type:PEAP
Security NAC status:CLOSE
9、查看1x表项是否存在(在AC上查看)
show dot1x user mac 0001.0001.0001
10、如何查看认证用户的用户名信息?
web认证show web-auth user all,1x认证show dot1x sum;
查看web和1x认证的详细信息包括用户名等:show ac-config debug client
11、AC是否支持同时跟两个radius服务器进行认证,以1x认证为例,两个信号分别跟两个服务器对接做认证?
1)配置 AAA认证和服务器
aaa new-model
aaa group server radius smp1
server 192.168.33.244
exit
aaa group server radius smp2
server 192.168.33.245
exit
aaa authentication dot1x smp1 group smp1
aaa accounting network smp1 start-stop group smp1
aaa authentication dot1x smp2 group smp2
aaa accounting network smp2 start-stop group smp2
2)配置radius服务器
radius-server host 192.168.33.244 key ruijie
radius-server host 192.168.33.245 key ruijie
3)在AC上对wlan开启1x认证功能
wlansec 1
security rsn enable
security rsn ciphers aes enable
security rsn akm 802.1x enable
dot1x authentication smp1
dot1x accounting smp1
exit
wlansec 2
security rsn enable
security rsn ciphers aes enable
security rsn akm 802.1x enable
dot1x authentication smp2
dot1x accounting smp2
exit
4)配置snmp服务器(eportal,SAM)
snmp-server host 192.168.33.244 traps version 2c ruijie
snmp-server host 192.168.33.245 traps version 2c ruijie
snmp-server community ruijie rw
12、AC主备radius服务器认证案例,以1x认证为例?
1)配置 AAA认证和服务器
aaa new-model
aaa group server radius smp
server 192.168.33.244 ----第一个ip地址对应的服务器为主服务器
server 192.168.33.245
exit
aaa authentication dot1x smp group smp
aaa accounting network smp start-stop group smp
2)配置radius服务器
radius-server host 192.168.33.244 key ruijie
radius-server host 192.168.33.245 key ruijie
3)在AC上对wlan开启1x认证功能
wlansec 1
security rsn enable
security rsn ciphers aes enable
security rsn akm 802.1x enable
dot1x authentication smp
dot1x accounting smp
exit
4)配置snmp服务器(eportal,SAM)
snmp-server host 192.168.33.244 traps version 2c ruijie
snmp-server host 192.168.33.245 traps version 2c ruijie
snmp-server community ruijie rw
13、两个radius服务器,选择的机制是什么?
Ruijie(config)#aaa group server radius smp
Ruijie(config-gs-radius)# server 172.18.34.16
Ruijie(config-gs-radius)# server 172.18.34.18
先找主服务器,如果主服务器不通了,判断规则是:发送的保活包如果5s内没有收到服务器的响应就认为超时 超时了会进行重传重传3次 还是不通就认为挂了 时间20s 切换到备机,如果主机恢复了 那么会新用户认证会走主服务器,旧用户走备服务器,认证表项内的用户理解为旧用户,不在认证表项内的为新用户。
14、无线1x认证用户名长度是否有限制?如何查看完整的用户名信息?
show dot11 sum用户名显示最长7位,超过了用...表示
需要看完整的用户名,可以show dot1x user mac xxx查看
15、设备启用了802.1x认证,怎么查看认证成功的用户mac地址
使用show dot1x summary查看,show mac-address-table不能看到
16、AC上 是否有命令清除1x的在线用户?
Ruijie#clear dot1x user ?
all All user
ip Clear user by ip
mac Clear user by mac
name Clear user by name
1x认证场景下,如果用户离开无线网络,在1.8S时间将会把该用户删除。 并同时发出记账更新结束的报文到服务器。
17、MAC地址旁路认证与1X认证是否可以在同一个WLAN上共用
不支持。
18、802.1X是否支持认证流量检测
10.4(1T13)及以上版本中802.1X增加了流量检测功能,同WEB认证的流量检测,不同的地方是,802.1X的流量检测支持全局和wlansec两种模式的配置。
基于wlan配置的优先级高于全局配置,并且基于全局和基于wlan的低流量检测功能都默认打开,时间间隔8小时,流量阈值0Byte。如果需要关闭低流量检测功能,必须同时关闭对应wlan和全局的低流量检测功能。胖AP中因为不支持流量监测,所以低流量检测默认是关闭的。
全局配置参考命令:offline-detect {[interval] | [flow num]}
wlansec下参考命令:dot1x offline-detect {[interval] | [flow num]}
19、802.1x认证时为何必须配置dot1x eap-tag
集中转发时,客户端通过EAPOL发起1X认证,由AP封装成capwap数据报文发给AC,AC解封装时,根据用户的VLAN打上相应的vlan-tag,将报文转到AC的1x处理模块。由于AC的1x处理模块默认会将带tag的EAP报文丢弃,因此需要在config模式下配置dot1x eap-tag。
20、802.1x主动发起认证请求的使用场景
场景一:使用我司的supplicant客户端
建议如下配置:
no dot1x auto-req //关闭主动发起认证请求
场景二:不使用我司的supplicant客户端
建议如下配置:
dot1x auto-req //开启主动发起认证请求
dot1x auto-req packet-num 0 //发出的认证请求包不限制个数
dot1x auto-req req-interval interval //发出认证请求包的间隔
no dot1x auto-req user-detect //当端口有用户的时候也不会停止认证包的发送
21、无线1X和MAB认证环境下如何实现IP地址上传radius,从哪个报文中获取?
IP地址上传是通过AC发送的第一个记账报文,即记账开始报文上传给radius服务器,那么在1X和MAB认证的环境下有可能存在记账开始已经发出用户还未获取到IP地址,为了解决这个问题无线设备上开发一个功能:终端先DHCP后AC发出记账开始。
实现原理如下:
1)、AC开启DHCP snooping功能。用于检测无线用户是否获取到IP地址,并生成DHCP snooping表项;
2)、AC上开启dot1x valid-ip-acct enable,保证在AC上没有生成DHCP snooping表项前不发出记账开始报文。
在开启该功能后如果用户是手动配置IP地址或者因为配置错误导致dhcp snooping表无法生成,那么会导致无线用户在记账更新周期后被AC踢下线。
22、无线1x 和旁路认证MAB是否同时使用
不可以。
23、802.1x无线认证windows系统客户端设置
参见附件《无线802.1x认证windows客户端设置.pdf》,参见一本通章节09无线产品常用show命令和附件里面的附件。
24、802.1x VLAN跳转配置咨询
参考RG-AC系列无线控制器RGOS 10.4(1b19)p2版本配置手册(V4.0),802.1x下发VLAN配置举例 章节。
目前只有802.1x认证支持vlan跳转;web认证和mab无感知认证不支持vlan跳转。
25、801.1X认证,踢用户下线的DM机制使用的是哪个端口?
DM下线机制,要用AC的UDP 3799端口。
26、AC是否支持iphone dot1x无感知认证?
支持,无感知认证为iphone自身行为,不需要设备进行特别的操作。
27、没有测试终端,如何探测radius服务器是否存活?
下面的示例定义一个IPv4环境下的RADIUS安全服务器主机,开启主动探测功能,检测间隔周期默认为60分钟。
Ruijie(config)#radius-server host 192.168.100.1 test username ceshi idle-time 60 key ruijie
关闭对记账UDP口的检测,命令如下:
Ruijie(config)#radius-server host 192.168.100.1 test username ceshi ignore-acct-port idle-time 60 key ruijie
28、终端发生漫游,1x认证,是否会发起重认证?
跟终端行为有关,一般终端会触发发起eap-pol start,所以会重认证。
29、1x认证,AC跟客户端,AC跟Radius服务器的超时时间都是多久?
1x认证三个角色为:1x客户端------AC-----Radius服务器:
1)、客户端跟AC之间交互eap报文,request id,默认4s、6次(1x认证 的第一个报文是 eapol-start报文,请求用户名的);后续其他的request,默认3s、3次 。AC上配置等待终端request超时时间的配置方法为dot1x timeout supp-timeout xx xx单位是秒。
2)、AC跟Radius之间交互radius报文,默认5秒,重传3次,即20s。
30、AC是否支持内置radius服务器的1x认证?
不支持,1x认证时需要有外置的radius服务器,目前我司AC只支持内置portal本地服务器认证,其他认证都需要有外置认证服务器。
31、Win7操作系统1x认证,原生客户端配置示例(请确保认证服务器和AC设备上关于1x配置无误):
1).打开右下角网络连接,点击打开网络和共享中心.
2).点击左侧边栏的管理无线网络
3). 点击添加,创建网络连接.
4). 选择第一个手动创建网络配置文件.
5). 输入网络配置信息,网络名就是搜索到的1x认证的SSID名字HUST_WIRELESS_AUTO,安全类型选择WPA2-企业,加密类型选择AES.
6). 修改其配置信息,点击更改连接设置.
7).选择安全.
8). 点击设置.
9). 去掉验证服务器证书前面的勾,再点击该页面的配置
10).查看是否有勾上,如有勾上去掉,点击确定.
11).点击确定.
12).在此界面点击高级设置.
13).在802.1x设置选项卡下,勾选指定身份验证模式,选择用户身份验证
14).点击确定,回到前一界面,再确定完成配置.
15).点击电脑右下角无线网络,选择信号HUST_WIRELESS_AUTO
16).输入自己的账号和密码,点击确定就可以上网了.
