802.1x
功能介绍
802.1x概述
在IEEE802局域网中,用户接入网络设备即可直接访问网络资源(无需认证和授权),在早期企业网应用环境下并不存在明显的安全问题。但是随着移动办公及驻地网运营等应用的大规模发展,这种不受控行为带来了较高的安全隐患,为此IEEE制定了802.1x协议来解决局域网安全问题。
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络访问控制标准,用于为局域网提供安全接入服务。它是一种符合AAA安全管理机制的协议规范,通常部署在用户接入网络中,为网络管理员提供基于端口的用户认证、授权和计费(记账)功能。
工作原理
基本概念
用户
用户是指需要访问网络资源的主体,通常为终端设备。在802.1x有线环境下,每个用户的“MAC地址和VLAN ID”属性是唯一的,并以此来区分不同用户,除此之外的所有信息(账号、IP地址等)对于用户来说都是可变的。
RADIUS
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)是一种有着广泛应用的远程认证协议,用于为网络设备和RADIUS服务器间传输认证信息。实际部署802.1x时,借助该协议能实现认证服务器远程部署。
超时
超时是指设备在指定时间内没有接收到终端或服务器的应答。
在认证过程中,设备需要与终端和服务器进行报文交互。由于网络环境可能存在不可达等意外因素,协议会为各个交互环节设置超时时间。认证过程中的各个角色需要在超时时间内作出应答,否则可能会导致认证失败。
EAP
EAP(Extensible Authentication Protocol,可扩展身份协议)用于承载802.1x协议的认证信息。
EAP协议提供一个通用的认证框架,框架允许嵌套多种认证方法,例如MD5认证、CHAP认证、PAP认证、TLS认证等。锐捷的802.1x模块支持MD5、CHAP、PAP、PEAP-MSCHAP、TLS等认证方法。
EAPOL
EAPOL(EAP Over LAN,基于局域网的扩展认证协议)是EAP协议在LAN上的封装。
EAPOL协议基于MAC层封装,类型号为0x888E。802.1x标准为该协议申请了一个组播MAC地址01-80-C2-00-00-03,用于初始认证过程中的报文传递。锐捷认证客户端还有可能将01-D0-F8-00-00-03用于认证开始的报文。
EAPOR
EAPOR(EAP Over RADIUS,基于RADIUS的扩展认证协议)是EAP协议在RADIUS上的封装。
EAP协议报文由网络设备进行中继,设备将EAP报文使用EAPOR协议将EAP报文内容封装在RADIUS报文中,并发送给RADIUS服务器进行认证。
认证
认证是确认用户身份的一个过程,用于判断用户是否拥有访问网络资源的合法权限。
802.1x认证的基本原理为:用户通过接入设备向认证服务器提交账号密码信息,认证服务器对用户的账号密码信息进行核验,只有验证通过的用户才可以获取到相应的网络访问权限。
认证角色
IEEE 802.1x标准认证体系由恳请者(Supplicant)、认证者(Authenticator)和认证服务器(Server)三个角色构成,分别对应实际应用中的终端(Client)、接入设备(NAS,Network Access Server)和认证服务器(常用RADIUS服务器)。
认证角色图
恳请者
恳请者是指需要申请访问网络资源的最终用户,通常为个人PC。
恳请者需要向认证者提交用于认证的信息,并对认证者的请求信息作出应答。802.1x协议要求恳请者必须运行符合IEEE 802.1x客户端标准的软件,由该软件完成认证过程中的账号密码提交等操作。最典型的是使用操作系统自带的IEEE 802.1x客户端,但也可以选择各个厂商开发的客户端软件,例如锐捷推出的符合协议标准的RG Supplicant软件。
认证者
认证者是用于管理恳请者认证状态和网络连接状态的网络接入设备,通常为交换机。
认证者在恳请者与认证服务器中间扮演中介者的角色。认证者从恳请者处获取到用于认证的账号密码等信息,并将其发送给认证服务器。同时,也从认证服务器处获取到认证需要的相关信息,并将其发送给恳请者。
认证服务器
认证服务器是为用户提供认证服务的设备,通常为RADIUS服务器。
认证服务器存放有合法的用户信息以及用户对应的授权信息,通过检验恳请者提交过来的账号密码来验证用户是否合法,同时负责管理认证者提交的记账数据。一台认证服务器可以为多个恳请者提供认证服务,实现对用户的集中管理。
端口类型
扮演认证者角色的设备上存在两种端口类型:受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。
受控端口下的设备只有认证通过后才能访问网络资源,否则只能传递用于认证相关的报文。非受控端口下的设备无须经过认证即可访问网络资源。恳请者需要进行网络资源的访问控制,因此需要连接在受控端口下。认证服务器不需要进行网络权限控制,因此连接在非受控端口上。
认证过程
恳请者和认证者之间使用EAPOL协议交换信息,认证者和认证服务器之间通过EAPOR协议交换信息。
下图是一次典型的802.1x认证过程。
图1-2是一个典型的由用户发起的认证过程。
终端上启动802.1X客户端程序,并输入用户的账户名和密码,通过客户端向接入设备发起认证请求。此时,客户端向接入设备发出认证请求帧EAPOL-Start。
接入设备收到认证请求帧,并向终端发送Identity类型EAP请求帧(EAP-Request/Identity),要求终端提供用于认证的账户名。
终端上的客户端收到接入设备发来的Identity请求帧后,将账户名通过Identity类型的响应帧(EAP-Response/Identity)发给接入设备。
接入设备收到客户端发送的响应帧后,将其中的EAP报文封装在RADIUS报文中(RADIUS Access-Request),并发送给认证服务器进行处理。
认证服务器收到接入设备发送的Access-Request报文后,解析到账户名信息,并用一个随机生成的MD5 Challenge对该账户名对应的密码进行加密得到加密后的密码信息。同时,认证服务器将MD5 Challenge通过RADIUS Access-Request报文发送给接入设备。
接入设备将RADIUS发送的MD5 Challenge转发给终端。
客户端使用收到的MD5 Challenge对本地的密码进行加密,并将加密后的密码信息通过EAP-Response/MD5报文发送给接入设备。
接入设备将收到的EAP-Response/MD5报文封装在RADIUS Access-Request中发送给认证服务器。
认证服务器从RADIUS Access-Request中获取到加密后的密码信息,将本信息与步骤e中得到的加密密码信息进行对比,如果相同则认为该用户合法,并向接入设备回复认证通过报文(RADIUS Access-Accept)。
接入设备收到认证通过报文,向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。
在特殊情形下(例如为了让用户接入网络时就立刻进行认证),接入设备也可能主动发出认证请求,过程相比少了用户主动发起请求这一步。
认证用户状态
非受控端口下的所有用户均可使用网络资源,但是受控端口下的用户需要根据用户认证状态来决定是否能访问网络资源。受控端口下的用户刚发起认证时无法访问网络,处于未认证状态(Unauthorized)。认证通过后,用户状态能够正常访问网络,状态转变为已认证状态(Authorized)。
在支持802.1x的网络设备中,所有端口缺省为非受控端口。通过配置端口为受控端口,可以令此端口下的所有用户访问网络前都需要进行认证。
常见的用户认证状态及行为如下所示:
如果用户认证失败导致仍然处于未认证状态,可以重新发起认证。
如果接入设备与认证服务器之间网络不可达,则用户会处于未认证状态。
当用户发出EAPOL-LOGOFF报文后,该用户的状态由已认证(Authorized)转向未认证状态(Unauthorized)。
当接入设备的某个端口变为LINK-DOWN状态时,该端口上的所有用户均变为未认证(Unauthorized)状态。
当设备重新启动时,该设备上的所有用户均变为未认证状态(Unauthorized)。
终端不支持802.1x,且连接在受控端口下时:终端不支持802.1x则无法对接入设备的请求做出响应,从而无法完成认证。用户会一直处于未认证状态(Unauthorized),不能访问网络资源。
终端支持802.1x,接入设备不支持802.1x时:终端发出的EAPOL-Start帧无人响应,在发送一定数目的EAPOL-Start帧后仍未收到应答,则认为接入端口为非受控端口上,直接访问网络资源。
搭建认证服务器
锐捷802.1x模块兼容标准的RADIUS服务器,在搭建环境时可以选用符合标准的RADIUS服务器,常见的如锐捷的SAM/SMP、微软的IAS/NPS、思科的ACS和Free RADIUS Server等。具体部署步骤请参见对应服务器的说明手册。
配置认证参数
为了使接入设备上的802.1x生效,需要做以下配置:
配置RADIUS服务器参数,保证设备和RADIUS服务器之间网络可达。
保证802.1x的服务器超时时间大于RADIUS服务器的超时时间。
配置并应用AAA方法列表。
在接入端口上开启802.1x认证功能。
Supplicant
Supplicant是指终端上安装的符合IEEE标准的802.1x客户端软件,用户可以在终端上打开Supplicant软件,输入账号并发起认证。
若终端使用操作系统自带的客户端,则网络可用时终端会弹出对话框让用户输入账号密码进行认证。不同客户端软件的实现和界面操作方式可能存在差异,推荐使用锐捷Supplicant软件作为认证客户端,如果使用其他软件,请参见相应的软件说明书。
下线
如果想结束网络访问,用户可以选择下线。常见的下线方式如下:关机、断开网络连接和通过Supplicant进行下线。
授权
授权是指用户认证通过后给用户绑定特定的服务,例如绑定IP地址、绑定VLAN、绑定ACL、绑定QoS、可上网时间段、可用带宽等。用户以MAC+VID为标识,因此授权实际是在MAC+VID的基础上再增加对应权限的相关信息,例如绑定的IP、可访问的VLAN等。
IP授权
802.1x认证标准不支持IP信息识别,锐捷802.1x认证扩展了802.1x应用,支持MAC+IP绑定,称为IP授权。
IP授权有如下四种模式:
Supplicant授权:IP地址由Supplicant提供,需要配合锐捷Supplicant使用。
RADIUS授权:IP地址由RADIUS服务器在认证通过后下发给设备。
DHCP授权:用户终端认证通过后发起DHCP请求,在获取到IP地址后将该IP和终端MAC绑定,适用于动态IP环境。
Mixed授权:认证用户按照Supplicant授权、RADIUS授权和DHCP授权的顺序对用户进行MAC+IP绑定。即优先使用Supplicant提供的IP地址,其实使用RADIUS服务器提供的IP地址,在前两者皆不存在的情况下才使用DHCP提供的IP地址。
ACL授权
ACL授权是指在用户通过认证之后,服务器针对用户下发特定的ACL服务。
ACL授权基于RADIUS属性下发,支持标准属性、锐捷私有属性、思科私有属性,具体请参见所使用的RADIUS服务器的说明手册。
踢线
踢线是指强制用户下线的一种行为。锐捷802.1x和锐捷SAM/SMP配合使用时,支持服务器将在线用户踢下线,踢线后用户将无法访问网络。该功能适用于需要上网时段控制、上网费用实时检查的场景。
计费
计费功能用于审计接入用户的上网行为和上网费用信息(通常包括时间和流量的审计)。
若需要计费功能生效,需要在设备上配置计费功能,且RADIUS服务器支持RFC2869定义的计费审计功能。
在用户上线时,设备向服务器发送计费开始报文,服务器开始计费;在用户下线时,设备向服务器发送计费结束报文,服务器完成一次审计,形成上网费用审计清单。
注意
不同服务器的计费功能可能实现不同,同时也并不是所有的服务器都支持计费功能,因此实际部署时需要参见服务器的使用说明。
计费开始
用户认证通过后,设备会向服务器发送一个计费开始报文,服务器收到报文后开始对用户计费。
计费开始报文中携带有用户的计费属性,例如用户名和计费ID等。
计费更新
设备会周期性地向服务器发送计费更新报文,使服务器的计费实时性得到提高。
计费更新报文的时间间隔可以在设备上配置,也可以由服务器下发。
计费结束
用户下线后,设备向服务器发送计费结束报文。计费报文中携带用户的上网时长、上网流量等信息,服务器根据这些信息形成用户上网记录。
协议规范
IEEE 802.1x:Port-Based Network Access Control
RFC 2869:RADIUS Extensions
配置任务概览
配置802.1x基本功能
(可选)配置802.1x协议参数。以下配置任务均为可选,请根据实际情况选取。
配置重认证功能
配置报文重传参数
配置服务器超时时间
配置认证失败后的静默时间
配置认证模式
配置锐捷客户端检测功能
(可选)配置授权
(可选)配置MAB。以下配置任务请选择其中一项进行配置。
配置单MAB
配置多MAB
(可选)配置MAB参数。以下配置任务均为可选,请根据实际情况选取。
配置MAB用户名格式
配置MAB用户名大小写
配置MAB VLAN
配置MAB超时时间
开启MAB快速认证
(可选)配置服务器失效旁路认证
(可选)配置端口受控模式
(可选)配置802.1x端口动态VLAN自动跳转
(可选)配置Guest VLAN功能
(可选)配置失败VLAN
(可选)配置扩展功能。以下配置任务均为可选,请根据实际情况选取。
配置主动认证
配置可认证主机列表
关闭虚拟源MAC
配置支持多账号认证
配置接口下的可认证用户数
配置获取IP之后发起记账
配置802.1x与MAB优先级顺序
配置记账周期
兼容H3C客户端和服务器
关闭全局802.1x功能
开启将用户转化为TEXT格式
兼容第三方客户端
配置802.1x基本功能
功能简介
开启802.1x功能,提供基本的认证和计费服务。
配置限制与指导
在接口模式下,可以启动或关闭接口上的802.1x认证功能。
注意RADIUS参数的配置准确性,确保基本的RADIUS协议通信正常。需要配置认证服务器的IP和协议通信端口信息以及和服务器间的RADIUS加密密钥。
802.1x使用的认证方法列表和计费方法列表必须在AAA中做好配置,否则会导致认证和计费出错。
802.1x默认使用default方法列表,如果需要选择其他方法列表,需要通过dot1x authentication和dot1x accounting命令应用802.1x使用的方法列表。
计费更新功能可使用全局命令aaa accounting update命令开启。计费更新间隔可以通过aaa accounting update periodic命令配置,也可以在服务器上配置下发。如果服务器有下发,则优先使用服务器下发的参数,如果服务器未下发,则使用本机配置参数。关于计费更新功能的详细介绍,请参见“安全配置指南”中的“AAA”。
如果端口802.1x开启并且认证的用户数大于端口安全的最大用户数,此时无法开启端口安全。关于端口安全的详细介绍,请参见“安全配置指南”中的“端口安全”。
端口安全和802.1x同时开启时,如果安全地址老化,则802.1x对应的用户必须重新认证才能继续通信。
静态地址或者符合IP+MAC绑定的用户无需认证即可访问网络。
配合锐捷SAM/SMP软件使用时,必须配置计费功能,否则服务器无法感知用户下线。
配置准备
需要在认证服务器上完成相应配置(例如账户配置)以完成认证过程,具体请参见对应认证服务器的使用手册。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启AAA安全服务。
aaa new-model
缺省情况下,AAA安全服务处于关闭状态。
创建802.1x认证方法列表和记账方法列表。
创建802.1x认证方法列表。
aaa authentication dot1x { default | list-name } { method }&<1-4>
缺省情况下,未配置802.1x用户认证的方法列表。
创建802.1x记账方法列表。
aaa accounting network { default | list-name } start-stop { method }&<1-4>
缺省情况下,未配置802.1x记账方法列表。
(可选)配置RADIUS服务器参数。
如果认证和记账方法使用RADIUS服务器,则该步骤必选。
配置RADIUS服务器。
radius-server host { ipv4-address | ipv6-address } [ auth-port auth-port-number | acct-port acct-port-number ] * [ test username username [ ignore-acct-port ] [ ignore-auth-port ] [ idle-time idle-time ] ] [ key [ 0 | 7 ] text-string ]
缺省情况下,未配置RADIUS服务器。
配置设备与RADIUS服务器通信的共享口令。
radius-server key [ 0 | 7 ] text-string
缺省情况下,未配置设备与RADIUS服务器通信的共享口令。
应用802.1x认证方法列表和记账方法列表。
应用802.1x认证方法列表。
dot1x authentication { default | list-name }
应用802.1x记账方法列表。
dot1x accounting { default | list-name }
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
进入二层以太网接口批量配置模式。
interface range ethernet-type interface-number
进入二层聚合接口批量配置模式。
interface range aggregateport interface-number
(可选)在接口上应用802.1x认证方法列表和记账方法列表。若接口上未配置,则使用全局模式下的配置。
在接口上应用802.1x认证方法列表。
dot1x authentication { default | list-name }
在接口上应用802.1x记账方法列表。
dot1x accounting { default | list-name }
启用802.1x认证。
dot1x port-control auto
配置802.1x协议参数
功能简介
在完成802.1x基本功能配置后,用户可能需要根据环境实际部署情况和网络状况来调整协议的参数配置。
配置任务简介
以下所有配置任务均为可选配置,请根据实际情况选择配置。
配置重认证功能
配置报文重传参数
配置服务器超时时间
配置认证失败后的静默时间
配置认证模式
配置锐捷客户端检测功能
配置重认证功能
功能简介
重认证是指设备端定时主动要求用户重新认证的功能。
重认证可以防止认证通过的用户被其他用户冒用,还可以用于检测用户是否断线,使计费更准确。
配置限制与指导
开启重认证功能后即可定期对在线用户重认证。重认证功能会给服务器造成压力,在用户量大的环境中,建议关闭该功能。
重认证功能提供开关和重认证间隔的配置。在根据时长计费的场景下,要根据具体的网络规模确定重认证间隔,保证时间间隔合理的同时计费尽可能精确。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启重认证功能。
dot1x re-authentication
缺省情况下,重认证功能处于关闭状态。
(可选)配置重认证间隔。
dot1x timeout re-authperiod interval
缺省情况下,重认证间隔为3600秒。
配置报文重传参数
功能简介
认证过程中,认证者与恳请者之间存在报文交互,有可能存在超时等异常原因,出现需要重传报文的情况。配置报文重传参数功能能够提供重传次数、重传间隔等配置选项,用户可以根据实际网络情况来选择合适的值。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置报文重传参数。请至少选择其中一项进行配置。
配置Request/Identity报文重传间隔。
dot1x timeout tx-period interval
缺省情况下,Request/Identity报文重传间隔为3秒。
配置Request/Identity报文重传次数。
dot1x reauth-max reauth-max-number
缺省情况下,Request/Identity报文重传次数为3。
配置Request/Challenge报文重传间隔。
dot1x timeout supp-timeout interval
缺省情况下,Request/Challenge报文重传间隔为3秒。
配置Request/Challenge报文重传次数。
dot1x max-req max-req-number
缺省情况下,Request/Challenge报文重传次数为3。
配置服务器超时时间
功能简介
用于配置802.1x协议的服务器超时时间。
配置限制与指导
802.1x协议和RADIUS协议都拥有各自的服务器超时参数,需要确保802.1x的服务器超时参数大于RADIUS的服务器超时参数。关于RADIUS服务器超时参数的详细介绍,请参见“安全配置指南”中的“RADIUS”。
在服务器性能较差的环境中,建议将服务器超时时间适当调大。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置服务器超时时间。
dot1x timeout server-timeout server-timeout
缺省情况下,服务器超时时间为5秒。
配置认证失败后的静默时间
功能简介
配置认证失败后的静默时间后,用户认证失败后需要等待一段时间后才能再次发起认证,能够防止恶意用户通过频繁认证来暴力破解密码或实施拒绝服务攻击等。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置认证失败后的静默时间。
dot1x timeout quiet-period quiet-period
缺省情况下,认证失败后的静默时间为10秒。
配置认证模式
功能简介
不同认证服务器和认证客户端支持的认证模式不同,需要根据二者的支持情况来选取合适的认证模式,目前支持chap、eap和pap三种认证模式。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置认证模式。
dot1x auth-mode { chap | eap | pap }
缺省情况下,认证模式为eap模式。
配置锐捷客户端检测功能
功能简介
配置锐捷客户端检测功能,用于检测客户端是否在线。
配置限制与指导
锐捷客户端在线检测功能仅适用于锐捷客户端,使用锐捷客户端时建议打开该功能。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启锐捷客户端在线检测。
dot1x client-probe enable
缺省情况下,锐捷客户端在线检测功能处于关闭状态。
(可选)配置锐捷客户端检测参数。请至少选择其中一项进行配置。
配置锐捷客户端检测周期。
dot1x probe-timer interval interval
缺省情况下,客户端检测周期为20秒。
配置锐捷客户端检测时长。
dot1x probe-timer alive alive-time
缺省情况下,锐捷客户端检测时长为250秒。
配置授权
功能简介
IP授权
限定认证用户必须使用指定的IP地址访问网络,可以防止IP盗用等问题。
过滤非锐捷客户端功能
限定终端必须使用锐捷Supplicant软件认证,以获取锐捷Supplicant提供的防代理、短消息等功能。
二代su部署
二代su部署是指终端先通过网页下载Supplicant软件,再通过Supplicant软件认证。二代su部署有利于在大量用户的环境中实现Supplicant快速部署。
配置限制与指导
如果使用锐捷SAM/SMP软件的实时踢线功能,需要配置正确的SNMP参数。关于SNMP参数配置,请参见“网管与监控配置指南”中的“SNMP”。
环境中存在多种认证客户端软件时,不能开启过滤非锐捷客户端功能。
更改IP授权模式会导致已认证用户全部下线,需要重新认证上网。
使用混合授权模式时,用户在认证上线过程中如果更高优先级的IP授权出现,则使用高优先级的IP授权,例如原来用户使用RADIUS授权,再次认证时,如果Supplicant提供了IP地址,则使用该IP地址进行授权。
二代su部署功能和Web认证无法同时使用。
二代su部署需要配置重定向参数。关于重定向参数的详细介绍,请参见“安全配置指南”中的“Web认证”。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置全局IP授权模式。
aaa authorization ip-auth-mode { disable | supplicant | radius-server | dhcp-server | mixed }
缺省情况下,全局IP授权处于关闭状态。
(可选)开启二代su升级功能。
dot1x redirect
缺省情况下,二代su升级功能处于关闭状态。
配置二代su部署后,受控口下未安装802.1x客户端的用户可以通过Web页面下载802.1x客户端。
(可选)过滤非锐捷客户端。
dot1x private-supplicant-only
缺省情况下,过滤非锐捷客户端功能处于关闭状态。
配置MAB
功能简介
在实际环境中,存在一部分哑终端(例如网络打印机)由于无法安装802.1x客户端而不能完成802.1x认证,但是又需要对其做安全控制,此时可通过MAB功能来完成。
MAB(MAC Authentication Bypass,MAC旁路认证)是一种无需安装客户端,通过使用用户的MAC地址作为用户名和密码进行认证的认证方法,主要用于对部分哑终端设备提供网络访问控制。
配置限制与指导
配置MAB必须先在端口上开启802.1x功能,必须在802.1x的受控口上配置。
配置了MAB的端口,每隔tx-period发出一个认证请求报文,发送reauth-max次之后,如果没有客户端响应,则该端口进入MAB模式。进入MAB模式的端口可以学习MAC地址,并使用这些MAC地址为账号进行认证。
服务器配置MAC账号的用户名和密码时,必须使用不带分隔符的格式,例如终端MAC地址为00-d0-f8-00-01-02,服务器上添加帐号时需要配置为00d0f8000102。
由于802.1x优先级高于MAB,若一个终端MAB认证通过后再进行802.1x认证,则设备会将用户MAB认证的信息清除掉。
MAB仅支持PAP认证模式,需要注意认证服务器参数配置要一致。
MAB功能通过主动认证来发现终端是否可以进行802.1x认证,因此部署MAB的同时必须同时开启主动认证功能。
配置任务简介
配置MAB。以下配置任务请选择其中一项进行配置。
配置单MAB
配置多MAB
配置单MAB
功能简介
单MAB适用于端口下只有一个哑终端或只有一个哑终端需要认证的情况,认证通过后其他终端都可以访问网络。
配置限制与指导
缺省情况下,只要有一个MAC地址通过MAB认证,该端口下的所有设备都允许访问网络。但是在某些安全应用下,管理员会要求单MAB端口下只能有一个MAC地址存在,此时可以在该端口上配置MAB违例。配置了MAB违例后,一旦端口进入MAB模式,如果发现该端口下有超过一个MAC地址,该端口将产生违例。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
开启单MAB认证。
dot1x mac-auth-bypass
缺省情况下,单MAB认证处于关闭状态。
(可选)开启MAB违例功能。
dot1x mac-auth-bypass violation
缺省情况下,MAB违例功能处于关闭状态。
配置多MAB
功能简介
多MAB认证适用于一个端口下有多个哑终端的场景。
配置限制与指导
多MAB支持和802.1x认证混合使用,适用于混合接入环境,例如PC+VOIP菊花链接入的方式。
开启多MAB认证功能时,为了防止接口下的非法用户对设备进行攻击,需要禁止非法用户频繁认证,以减少服务器的压力。在全局下配置多MAB用户的静默时间,即如果一个MAC地址认证失败后,该MAC地址需要等待该时间之后才会重新发起认证,静默时间值应根据网络环境进行配置。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
开启多MAB认证。
dot1x mac-auth-bypass multi-user
缺省情况下,多MAB认证处于关闭状态。
(可选)配置多MAB认证失败后的静默时间。
dot1x multi-mab quiet-period quiet-period
缺省情况下,多MAB认证失败后的静默时间为30秒。
可以通过配置该命令来限制端口哑终端的认证频率。
(可选)配置用户老化需要的认证失败次数。
dot1x multi-mab quiet-user fail-times [ fail-times ]
缺省情况下,用户老化需要的认证失败次数为60。
(可选)配置多MAB静默表项发起认证的速率。
dot1x multi-mab quiet-user authen-num [ authen-num ]
缺省情况下,静默表项发起认证的速率为50个/秒。
(可选)配置服务器删除对应表项时所需要拒绝的次数。
dot1x multi-mab quiet-user reject-times [ reject-times ]
缺省情况下,服务器删除对应表项时所需要拒绝的次数为1。
配置MAB参数
功能简介
配置MAB参数,用于满足认证服务器对MAB认证信息的要求。
配置任务简介
以下所有配置任务均为可选配置,请根据实际情况选择配置。
配置MAB用户名格式
配置MAB用户名大小写
配置MAB VLAN
配置MAB超时时间
开启MAB快速认证
配置MAB用户名格式
配置限制与指导
支持使用以下四种用户名格式:
with-colon:配置用户名格式为xx:xx:xx:xx:xx:xx。
with-dot:配置用户名格式为xxxx.xxxx.xxxx。
with-hyphen:配置用户名格式为xx-xx-xx-xx-xx-xx。
with-3hyphen:配置用户名格式为xxxx-xxxx-xxxx。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置MAB认证用户名格式。
dot1x mab-username format [ with-colon | with-dot | with-hyphen | with-3hyphen ]
缺省情况下,未配置MAB认证用户名格式。
配置MAB用户名大小写
进入特权模式。
enable
进入全局配置模式。
configure terminal
(可选)配置MAB认证用户名使用大写字母。
dot1x mab-username upper
缺省情况下,MAB认证用户名使用小写字母。
该命令用于满足不同服务器对MAB认证用户名大小写的要求。
配置MAB VLAN
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
配置MAB VLAN。
dot1x mac-auth-bypass vlan vlan-id
缺省情况下,MAB VLAN处于关闭状态。
如果希望仅允许接口上部分VLAN内的用户进行MAB认证,可以将对应VLAN配置成MAB VLAN,不在MAB VLAN内的用户不能进行MAB认证。
配置MAB超时时间
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
配置MAB认证超时时间。
dot1x mac-auth-bypass timeout-activity timeout
缺省情况下,MAB认证不超时。
可配置该参数来限制哑终端访问网络的时间。
开启MAB快速认证
功能简介
开启MAB快速认证功能后,设备能够快速收到MAC地址并进行MAB认证,可以实现毫秒级别的认证。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启MAB快速认证功能。
dot1x mac-auth-bypass fast
缺省情况下,MAB快速认证功能处于关闭状态。
配置服务器失效旁路认证
功能简介
IAB(Inaccessible Authentication Bypass,服务器失效旁路认证)是指当设备上配置的所有RADIUS服务器都不可达的时候,提供给新认证用户一种访问网络的途径。在RADIUS服务器恢复可达时,会重新验证服务器不可达期间授权用户身份的合法性。
服务器失效旁路认证VLAN是指当服务器失效的时候,暂时无法对用户身份合法性进行验证,可以配置将该端口加入到指定的VLAN中,仅允许用户访问指定VLAN内的网络资源。
配置限制与指导
当802.1x全局配置的认证方法列表中仅存在RADIUS认证方法,且该方法列表中的RADIUS服务器全部失效时,IAB功能才生效。如果方法列表中还存在其它认证方法(如:local、none),IAB功能不生效。
RADIUS需配置测试服务器可达的测试帐号和服务器不可达的判断标准。关于不可达判断标准的详细介绍,请参见“安全配置指南”中的“RADIUS”。全局开启AAA多域认证功能后,802.1x用户认证时,不再使用全局配置的方法列表。由于IAB功能判断802.1x全局配置方法列表中的RADIUS服务器全部失效后,直接向用户返回认证成功,不需要输入用户名,因此AAA多域认证功能在该端口上失效。
通过IAB方式认证的用户,不再向记账服务器发起计帐请求。
已正常认证通过的用户,不受服务器失效的影响,可以正常访问网络。
接入认证模式下,全局开启802.1x IP授权功能时,如果端口上已经存在认证成功的用户,该端口上的其它用户不能通过IAB方式进行认证;网关认证模式下,只有在能够获取到认证用户IP的情况时,才能对用户进行IP授权。
部分802.1x认证客户端(例:Windows的802.1x认证客户端)需要完整的802.1x认证才会认为端口已经认证通过,对这样的客户端进行服务器失效旁路认证时,用户实际已经进行IAB授权,但是客户端可能会显示未认证通过。
配置的失效VLAN不存在,则在端口进入失效VLAN时会被动态创建,端口退出失效VLAN时会被自动删除。
失效VLAN不支持跳转到以下VLAN:私有VLAN、Remote VLAN、Supervlan(包含Subvlan)。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
开启服务器失效旁路认证。
dot1x critical
缺省情况下,服务器失效旁路认证功能处于关闭状态。
(可选)开启服务器失效旁路认证恢复处理。
dot1x critical recovery action reinitialize
缺省情况下,服务器失效旁路认证恢复处理功能处于关闭状态。
开启该功能后,在服务器恢复可达时,端口下正常认证通过的用户可以继续访问网络,无需重新认证;对于在服务器失效期间通过IAB方式认证的用户,设备会发起主动认证交互。
(可选)配置服务器失效旁路认证跳转VLAN。
dot1x critical vlan vlan-id
缺省情况下,服务器失效旁路认证跳转VLAN功能处于关闭状态。
配置端口受控模式
功能简介
802.1x受控分为基于MAC受控和基于端口受控两种模式。二者控制的粒度不同,应根据实际需要选择配置。
基于MAC受控模式下,接口下的每个终端需要各自认证通过才可访问网络资源;基于端口受控模式下,接口下只要有一个用户认证通过,该接口下所有的用户都能够访问网络资源。缺省情况下,基于MAC受控。
配置任务简介
配置端口受控模式。以下配置任务请选择其中一项进行配置。
配置基于MAC受控
配置基于端口受控
配置基于MAC受控
功能简介
基于MAC受控是指以每个终端MAC作为认证单元,每个不同MAC的用户都需要认证通过才能访问网络,即接口下的每个终端需要各自认证通过才可访问网络资源。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
配置基于MAC受控模式。
dot1x port-control-mode mac-based
缺省情况下,端口基于MAC受控。
配置基于端口受控
功能简介
基于端口受控是指以整个接口作为认证单元,只要有一个用户在该受控口认证通过,该端口就成为认证通过的端口,端口下的所有用户都能够正常访问网络资源。
若希望端口只允许单一用户认证通过,可以在基于端口受控基础上配置端口单用户模式。该模式下若发现端口下有其他用户存在,则会把端口下的所有用户清除,重新认证。
配置限制与指导
基于端口受控模式下,可以允许或者禁止动态用户在不同端口之间迁移。默认情况下,允许动态用户在不同端口之间迁移。
基于端口认证模式的受控口只能有一个认证用户,其他均为动态用户。
端口单用户模式只支持在受控口上有一个用户认证通过和通信,配置端口用户数限制不会影响这种模式下对用户数的限制。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
配置基于端口受控模式。
dot1x port-control-mode port-based
缺省情况下,端口基于MAC受控。
(可选)配置端口单用户受控模式。
dot1x port-control-mode port-based single-host
缺省情况下,未配置端口单用户受控模式。
配置该命令后,只能有一个动态用户在通信。
(可选)配置禁止动态用户可迁移。
dot1x stationarity enable
缺省情况下,动态用户可迁移。
受控口上的动态用户在老化之前不能迁移到其他端口。
配置802.1x端口动态VLAN自动跳转
功能简介
802.1x端口动态VLAN自动跳转用于支持服务器下发跳转VLAN的功能。开启该功能后,当服务器下发跳转VLAN时,对应的用户就会被加入到跳转的VLAN中进行通信。
类型不同的受控口实现跳转的机制不同:
如果要跳转VLAN的受控口是ACCESS口、TRUNK口,HYBRID口(未开启MAC VLAN)时,通过改变这些端口的Native VLAN来实现动态VLAN跳转。
如果要跳转VLAN的受控口是HYBRID口(且开启MAC VLAN),则通过动态创建MAC VLAN表项的方式来将认证用户加入到下发VLAN中。
配置限制与指导
设备支持通过扩展RADIUS属性来下发VLAN。RADIUS服务器使用基于标准扩展的属性下传VLAN给接入设备时,服务器将扩展属性封装在26号RADIUS标准属性中,扩展厂商ID为十六进制数0x00001311,默认情况下该扩展属性类型号为4,可以在设备上配置命令radius attribute 4 vendor-type type来接收扩展属性类型号设置为type的下传VLAN。
设备支持RADIUS服务器使用RADIUS标准属性下传VLAN,包括以下属性组合:
64号属性Tunnel-Type,取值范围:VLAN (13)。
65号属性Tunnel-Medium-Type,取值范围:802(6)。
81号属性Tunnel-Private-Group-ID,取值范围:VLAN ID或VLAN Name。
设备支持在端口模式为ACCESS、TRUNK、HYBRID模式下进行802.1x认证,其他端口模式下启用动态VLAN自动跳转功能将认证失败。
下传VLAN属性作为VLAN名称,查看接入设备上是否配置有相同名称的VLAN,若存在相同名称的VLAN,则用户所在端口自动跳转至该VLAN。若不存在相同名称的VLAN,则将下传VLAN属性作为VLAN ID,若该字符串表达的VLAN ID合法(系统支持的VLAN ID范围),则用户所在端口自动跳转至该VLAN;若该字符串表达的VLAN ID为0,则认为没有下传VLAN信息;其他情况用户将认证失败。
下传要跳转的VLAN,不能是私有VLAN、Remote VLAN和Supervlan(包含Subvlan)。
在ACCESS口进行VLAN跳转时,下发VLAN在设备上没有配置时,若下发VLAN被设备识别为VLAN ID时,设备创建相应的VLAN,并使认证端口跳转到新创建的VLAN中,用户认证成功;若下发VLAN被设备识别为VLAN名称,无法找到对应的VLAN ID,用户认证失败。下发VLAN在设备上已经有配置存在时,若下发VLAN在设备上被配置为ACCESS口不支持跳转的VLAN时,则认证端口下用户将认证失败;若下发VLAN在设备上被配置为ACCESS口支持跳转的VLAN,端口离开配置的VLAN并加入授权下发的VLAN中,用户认证成功。
在TRUNK口跳转VLAN时,下发VLAN在设备上没有配置时,若下发VLAN被识别为VLAN ID,设备创建相应的VLAN,并且修改端口的Native VLAN为下发VLAN,用户认证成功;若下发VLAN被识别为VLAN名称,无法找到对应的VLAN ID,用户认证失败。下发VLAN在设备上已经有配置存在时,若下发VLAN在设备上被配置为TRUNK口不支持跳转的VLAN(见下面描述)时,则认证失败;若下发VLAN在设备上被配置为TRUNK口支持跳转的VLAN,修改端口的Native VLAN为下发VLAN,用户认证成功。
在HYBRID端口未开启MAC VLAN功能时,下发VLAN处理方式如下:下发VLAN在设备上没有配置时,若下发VLAN被识别为VLAN ID,设备自动创建相应的VLAN,允许下发VLAN以不携带TAG的方式通过当前HYBRID端口,并且修改端口的Native VLAN为下发VLAN,用户认证成功;若下发VLAN被识别为VLAN名称,无法找到对应的VLAN ID,用户认证失败。下发VLAN在设备上已经配置存在时,若下发VLAN在设备上被配置为HYBRID口不支持跳转的VLAN,或者指定VLAN已经存在于HYBRID端口携带TAG VLAN列表中,用户认证失败;否则,允许下发VLAN以不携带TAG的方式通过当前HYBRID端口,并且修改端口的Native VLAN为下发VLAN,用户认证成功。
HYBRID端口开启了MAC VLAN功能,下发VLAN处理方式如下:如果认证服务器下发的VLAN在设备上不存在(MAC VLAN要求相应VLAN必须静态配置存在)、下发VLAN已经以携带TAG方式加入到HYBRID端口中、MAC VLAN功能不支持的VLAN类型(请参见“以太网交换配置指南”中的“MAC VLAN”),则用户认证失败;否则,设备根据认证服务器下发的VLAN和用户MAC地址,动态地创建MAC VLAN表项,用户认证成功。用户下线时,MAC VLAN表项被动态删除。
端口上未开启MAC VLAN时,VLAN下发修改了端口的Native VLAN,但是并不改变端口的Native VLAN命令配置。下发VLAN的优先级高于命令配置VLAN,即通过认证后起作用的Native VLAN是下发VLAN,命令配置的Native VLAN在用户下线后生效。
端口上开启MAC VLAN功能并且认证模式是基于MAC的用户认证时,VLAN下发通过动态生成MAC VLAN表项实现,不会修改端口的Native VLAN。
对于HYBRID端口,无论是否开启MAC VLAN功能,如果授权下发的VLAN已经配置为携带TAG的方式加入端口,则VLAN下发失败。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
开启端口动态VLAN自动跳转。
dot1x dynamic-vlan enable
缺省情况下,端口动态VLAN跳转处于关闭状态。
配置Guest VLAN功能
功能简介
Guest VLAN名为访客VLAN,用于为未安装802.1x客户端的终端提供网络访问权限。
配置Guest VLAN功能后,当检测到受控端口下没有802.1x客户端时,会将端口加入到Guest VLAN中,允许终端访问Guest VLAN内的网络资源。
配置限制与指导
端口加入Guest VLAN之后,如果收到了EAPOL报文,则认为该端口出现了802.1x认证客户端,则该端口退出Guest VLAN,进行802.1x认证。
满足以下任意一条即可认为受控口没有802.1x认证客户端。
端口会连续发送3次主动认证报文,发往3次主动认证报文后仍没有收到任何EAPOL响应报文。
90秒内没有收到任何EAPOL响应报文。
MAB模式下的MAC地址认证失败后。
必须开启802.1x端口动态VLAN自动跳转功能。
端口从Linkup切换到Linkdown时,退出Guest VLAN;从Linkdown切换到Linkup时,重新判断端口是否需要加入Guest VLAN。
端口90秒内没有收到EAPOL报文而进入Guest VLAN后,因DHCP Discover报文发送时间递增的机制下联终端可能会等待较长时间才会再发起DHCP请求,造成端口跳转到Guest VLAN后要经过较长时间终端设备才能获取到IP。
在Hybrid端口上配置Guest VLAN时,需要先将VLAN加入接口Untagged VLAN列表中,再将该VLAN配置为Guest VLAN。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
配置受控口的Guest VLAN。
dot1x guest-vlan vlan-id
缺省情况下,受控口的Guest VLAN处于关闭状态。
开启之后判断受控口没有802.1x认证客户端则将端口加入Guest VLAN。
配置失败VLAN
功能简介
失败VLAN用于为认证失败后的终端提供网络访问权限。
配置失败VLAN后,当终端认证失败次数达到设定的次数时,会将端口加入到失败VLAN中,允许终端访问失败VLAN内的网络资源。
配置限制与指导
可以配置认证用户连续失败的次数,达到该次数之后,该端口加入失败VLAN中。
如果配置的失败VLAN不存在,则端口进入失败VLAN时会被动态创建,端口退出失败VLAN时自动删除。
必须开启802.1x端口动态VLAN自动跳转功能。
端口Linkdown,则端口自动退出失败VLAN。
允许失败VLAN和Guest VLAN配置为相同的VLAN。
基于端口受控模式下,受控口进入失败VLAN后,只允许之前认证失败的用户重新进行认证,其它用户的认证请求被丢弃。基于MAC受控模式则无此限制。
失败VLAN不支持Private VLAN,即不能将Private VLAN配置为802.1x的失败VLAN。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
进入接口配置模式。
进入二层以太网接口配置模式。
interface ethernet-type interface-number
进入二层聚合接口配置模式。
interface aggregateport interface-number
配置认证失败VLAN。
dot1x auth-fail vlan vlan-id
缺省情况下,认证失败VLAN处于关闭状态。
(可选)配置认证失败尝试次数。
dot1x auth-fail max-attempt max-attemp-number
缺省情况下,认证失败尝试次数为3。
配置认证用户连续被服务器拒绝的次数,达到该次数之后即可加入失败VLAN。
配置扩展功能
功能简介
用于配置锐捷设备提供的扩展功能。
配置任务简介
配置扩展功能。以下配置任务均为可选,请根据实际情况选取。
配置主动认证
配置可认证主机列表
关闭虚拟源MAC
配置支持多账号认证
配置接口下的可认证用户数
配置获取IP之后发起记账
配置802.1x与MAB优先级顺序
配置记账周期
兼容H3C客户端和服务器
关闭全局802.1x功能
开启将用户转化为TEXT格式
兼容第三方客户端
配置主动认证
功能简介
主动认证是指设备主动发出Request/Identity报文,该报文可触发802.1x终端发起802.1x认证。
配置限制与指导
部分终端采用操作系统自带的认证客户端,在接入网络后未必会立马发起认证,影响用户使用网络。配置主动认证功能后,可以促使这些终端接入网络后及时发起认证。
利用该功能检测终端是否有使用Supplicant软件。
部署MAB时必须配置此功能。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启主动认证功能。
dot1x auto-req
缺省情况下,主动认证功能处于开启状态。
(可选)配置端口进入失败VLAN后发送的Request/Identity报文个数。
dot1x auto-req fail-vlan-pkt-num packet-number
缺省情况下,进入失败VLAN后发送Request/Identity报文的功能处于关闭状态。
同时开启802.1x认证和MAB认证时,可能出现MAB认证失败时进入失败VLAN的情况。由于部分终端无法主动发起802.1x认证,在上述情况下需要配置本功能,向终端发送Request/Identity报文以触发认证。
(可选)配置主动认证发送的报文个数。
dot1x auto-req packet-num packet-number
缺省情况下,设备会一直主动发送认证请求报文。
(可选)配置主动认证发送报文的间隔。
dot1x auto-req req-interval req-interval
缺省情况下,设备主动发起认证请求报文的间隔是30秒。
(可选)开启主动认证检测是否有用户在认证。
dot1x auto-req user-detect
缺省情况下,主动认证检测是否有用户在认证的功能处于开启状态。
配置可认证主机列表
功能简介
配置指定端口下只有特定的MAC地址终端可以进行802.1x认证,用于提高网络安全性。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置可认证主机列表。
dot1x auth-address-table address mac-address interface interface-type interface-number
关闭虚拟源MAC
功能简介
虚拟源MAC功能可以让设备使用虚拟MAC地址来作为802.1x认证时的EAP报文源MAC地址。
该功能主要是用于配合部分锐捷Supplicant来判断接入设备是否为锐捷设备,为Supplicant实施私有特性功能提供基础。缺省情况下,开启虚拟源MAC功能,可以根据实际情况选择是否关闭该功能。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
关闭虚拟源MAC。
dot1x pseudo source-mac
缺省情况下,设备发出的802.1x报文的源MAC地址为虚拟MAC地址。
配置支持多账号认证
功能简介
多账号功能支持一个终端重认证时切换账号,适用于需要变换账号的特殊场景,例如Windows的域认证,存在接入域时多次认证且认证时会变更账号使用。
配置限制与指导
部署计费的环境中,不能开启多帐号功能,否则会影响计费准确性。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启支持一个MAC使用多账号认证功能。
dot1x multi-account enable
缺省情况下,支持一个MAC使用多账号认证功能处于关闭状态。
配置接口下的可认证用户数
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置接口下的可认证用户数。
dot1x default-user-limit limit-number
缺省情况下,不限制接口下的可认证用户数。
配置获取IP之后发起记账
功能简介
用户通过认证后不立马开始发起记账,而是等到获取IP后再发起记账。
该功能可以满足服务器要求用户计费时必须携带IP地址的要求。用户先认证上线,可以从Supplicant或者DHCP Snooping等获取用户IP,获取到IP地址后802.1x才会发起计费请求。为避免设备长时间没有获取到认证客户端的IP导致一直不发起计费,该功能配备了一个IP检测超时时间,如果在超时时间内没有获取到终端的IP地址,则将用户下线。
配置限制与指导
IPv4环境且部署了锐捷Supplicant客户端时,由于Supplicant具备上传终端IPv4地址的能力,因此这种环境下无需开启该功能
部署静态IP的环境中无法使用该功能
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启用户获取IP之后发起记账的功能。
dot1x valid-ip-acct enable
缺省情况下,用户获取IP之后发起记账的功能处于关闭状态。
配置用户认证通过之后,允许等待该用户获取IP的时间。
dot1x valid-ip-acct timeout timeout
缺省情况下,用户认证通过之后,允许等待该用户获取IP的时间为5分钟。
配置802.1x与MAB优先级顺序
功能简介
缺省情况下,802.1x认证优先级比MAB认证高,此处提供修改二者优先级顺序的功能。
在802.1x认证和MAB认证共用的环境中,802.x认证和MAB认证哪一个先触发就优先进行认证,并且802.1x认证优先级高于MAB认证,即用户先进行了MAB认证,之后又收到该用户的EAPOL报文,则原有的MAB用户下线,进行802.1x认证。目前设备支持指定对于每一个用户先进行802.1x认证,如果认证失败再转MAB认证,并且MAB认证优先级高于802.1x认证,即用户MAB认证通过之后忽略其802.1x认证。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置802.1x认证的优先级比MAB认证优先级低。
dot1x auth-with-order
缺省情况下,802.1x的优先级比MAB认证优先级高。
配置记账周期
功能简介
部分服务器在用户重认证时不会下发记账更新周期,但是又要求必须按照用户首次认证时下发的记账更新周期来发送记账更新报文,此时可以使用本功能将首次认证时服务器下发的记账更新周期作为记账更新周期。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
配置记账更新周期为首次认证时服务器下发的记账更新周期。
dot1x acct-update base-on first-time server
缺省情况下,未配置首次认证时服务器下发的记账更新周期作为记账更新周期。
兼容H3C客户端和服务器
功能简介
该功能能够使锐捷设备兼容H3C的802.1x客户端和认证服务器的功能。
H3C的inode客户端在锐捷设备下进行802.1x认证时,因该客户端在提供认证用户名时使用其特殊的方式,导致无法认证成功;H3C的认证服务器对于MAB认证的用户名要求为“xx-xx-xx-xx-xx-xx”形式,与锐捷设备默认的MAB认证用户名形式不符,导致无法认证成功。通过配置本功能,可以实现与H3C设备正确对接。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启兼容H3C的802.1x认证客户端和认证服务器功能。
dot1x user-name compatible
缺省情况下,兼容H3C的802.1x认证客户端和认证服务器功能处于关闭状态。
关闭全局802.1x功能
功能简介
提供802.1x全局开关,允许一次性关闭所有端口的802.1x功能。
关闭全局802.1x功能后,用户不需要认证即可访问网络,已在线用户会全部下线。开启全局802.1x受控后,若存在端口配置802.1x认证,则该端口上的用户需要认证后才能访问网络。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
关闭全局802.1x功能。
dot1x system disable
缺省情况下,全局802.1x功能处于开启状态。
开启将用户转化为TEXT格式
功能简介
该功能将用户名转化为TEXT格式。
当客户端传入的用户名为字符串类型时,用户名的长度可能包含尾部的空格,本功能用于重新计算用户名长度。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启将用户转化为TEXT格式。
dot1x user-name format text
缺省情况下,将用户转化为TEXT格式功能处于关闭状态。
兼容第三方客户端
功能简介
该功能用于兼容采用type(1字节,固定为09),length(1字节,value长度),value(reply-msg字符串部分)的格式来分装reply-msg消息的第三方客户端。
配置步骤
进入特权模式。
enable
进入全局配置模式。
configure terminal
开启兼容第三方客户端。
dot1x not-private-supplicant compatible
缺省情况下,关闭兼容第三方客户端。
监视与维护
可以通过show命令行查看功能配置后的运行情况以验证配置效果。
可以通过dot1x命令恢复全局配置。
可以通过执行clear命令来清除各类信息。
可以通过debug命令来查看调试信息。
注意
在设备运行过程中执行clear命令,可能因为重要信息丢失而导致业务中断。
debug命令会输出调试信息,占用系统资源,使用完请立即关闭。
802.1x监视与维护
作用 |
命令 |
|---|---|
查看RADIUS服务器配置情况 |
show radius server |
查看802.1x协议参数 |
show dot1x |
查看可认证主机列表 |
show dot1x auth-address-table [ address mac-address ] [ interface interface-type interface-number ] |
查看主动认证状态和参数 |
show dot1x auto-req |
查看受控口信息 |
show dot1x port-control [ interface interface-type interface-number ] |
查看客户端探测的参数 |
show dot1x probe-timer |
查看认证用户表项信息 |
show dot1x summary |
查看Request/Challenge报文重传次数 |
show dot1x max-req |
查看过滤非锐捷客户端开关的状态 |
show dot1x private-supplicant-only |
查看重认证开关的状态 |
show dot1x re-authentication |
查看request/id报文重传次数 |
show dot1x reauth-max |
查看认证失败后的静默时间 |
show dot1x timeout quiet-period |
查看重认证间隔 |
show dot1x timeout re-authperiod |
查看服务器超时时间 |
show dot1x timeout server-timeout |
查看Request/Challenge报文重传间隔 |
show dot1x timeout supp-timeout |
查看Request/Identity报文重传间隔 |
show dot1x timeout tx-period |
查看用户ID对应的用户详细信息 |
show dot1x user id user-id |
查看用户MAC对应的用户详细信息 |
show dot1x user mac mac-addr |
查看用户名对应的用户详细信息 |
show dot1x user name user-name |
删除802.1x认证用户 |
clear dot1x user { all | ip ipv4-address | mac mac-address | name user-name } |
恢复802.1x的默认配置 |
dot1x default |
AAA调试信息(详见AAA配置手册) |
debug aaa |
RADIUS调试信息(详见RADIUS配置手册) |
debug radius |
打开802.1x事件相关的调试开关 |
debug dot1x event |
打开802.1x报文处理相关的调试开关 |
debug dot1x packet |
打开802.1x认证状态机相关的调试开关 |
debug dot1x stm |
打开802.1x内部通信相关的调试开关 |
debug dot1x com |
打开802.1x错误相关的调试开关 |
debug dot1x error |
典型配置举例
802.1x认证配置举例
组网需求
在设备端口上开启802.1x基本功能,从该端口上接入设备的终端需要通过802.1x认证才可访问网络。
组网图
802.1x认证组网图
配置要点
配置RADIUS server,在RADIUS server上添加802.1x用户。
开启AAA服务。
配置服务器地址和密钥。
配置认证和记账方法列表。
应用认证和记账方法列表。
在接口上开启802.1x基本功能。
配置步骤
配置RADIUS server,在RADIUS server上添加802.1x用户,用户名为hostname1,密码为password1。(配置略,关于RADIUS server的配置请参考RADIUS server的配置手册)
开启AAA服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
配置AAA server服务器地址和共享密钥(此处以RADIUS服务器为例,地址为192.168.1.3,共享密钥为radiuskey)。
Device(config)# radius-server host 192.168.1.3 key radiuskey
配置认证和记账方法列表。
Device(config)# aaa authentication dot1x auth-method group radius
Device(config)# aaa accounting network account-method start-stop group radius
应用认证和记账方法列表。
Device(config)# dot1x authentication auth-method
Device(config)# dot1x accounting account-method
在接口上开启802.1x基本功能。
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x port-control auto
验证配置结果
# 使用账号认证通过前无法访问网络资源;认证通过后可访问网络资源。
# 使用show dot1x summary查看认证通过的用户。
Device# show dot1x summary
ID Username MAC Interface VLAN Auth-State Backend-State Port-Status User-Type Time
--------- ---------- -------------- --------- ---- --------------- ------------- ----------- --------- ------------------
16778217 hostname1 0023.aeaa.4286 Gi0/1 1 Authenticated Idle Authed static 0days 0h 0m 7s
配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
!
常见错误
RADIUS参数配置错误。
服务器有特殊的接入策略,例如要求RADIUS报文必须携带某些属性等。
AAA方法列表和802.1x方法类表不一致导致无法认证。
IP授权模式配置举例
组网需求
配置IP授权后,只允许指定IP地址的客户端认证通过。
组网图
IP授权模式组网图
配置要点
在端口上开启802.1x认证。
配置IP授权模式。
配置步骤
在端口上开启802.1x基本功能。配置步骤请参见802.1x认证配置举例。
配置Supplicant授权模式。
Device> enable
Device# configure terminal
Device(config)# aaa authorization ip-auth-mode supplicant
验证配置结果
客户端使用非指定的IP地址无法认证通过。
配置文件
!
aaa authorization ip-auth-mode supplicant
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
!
常见错误
网络中可能存在多种认证客户端,在开启过滤非锐捷客户端功能后,导致部分终端无法认证。
使用锐捷SAM/SMP,但是设备未配置SNMP参数导致踢线功能失败。
多MAB认证配置举例
组网需求
多MAB认证适用于一个端口下有多个哑终端的场景。配置多MAB认证后,端口下的每个哑终端需要各自认证通过才可以访问网络。
组网图
多MAB认证组网图
配置要点
在端口上开启802.1x认证。
配置多MAB认证功能。
配置步骤
在端口上开启802.1x基本功能。配置步骤请参见802.1x认证配置举例。
配置多MAB认证功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x mac-auth-bypass multi-user
验证配置结果
端口下接入哑终端设备A和B。
若RADIUS服务器上添加终端A的MAC账号,则设备A能正常接入网络,设备B无法接入网络。
只有RADIUS服务器上同时添加终端A和B的MAC账号时,A和B才都可以正常接入网络。
配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x mac-auth-bypass multi-user
!
常见错误
服务器上的MAC账号格式不准确。
服务器失效旁路认证配置举例
组网需求
配置服务器失效旁路认证后,当设备上配置的所有RADIUS服务器都不可达的时候,允许新接入的认证用户访问网络。
组网图
服务器失效旁路认证组网图
配置要点
在端口上开启802.1x认证。
配置RADIUS服务器可达性检测。
配置服务器失效旁路认证。
配置步骤
在端口上开启802.1x基本功能。配置步骤请参见802.1x认证配置举例。
配置RADIUS服务器可达性检测标准,此处配置服务器不可达的标准为连续超时5次,超时时间为60秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 60 tries 5
配置服务器失效旁路认证。
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x critical
验证配置结果
当所有的RADIUS服务器不可达时,终端发起802.1x认证后可直接访问网络,并不会因为服务器不可达而导致认证失败。
配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 test username testname key 7 $10$3b4$ln0s66i8XfEi$
radius-server dead-criteria time 60 tries 5
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x critical
!
常见错误
存在RADIUS服务器未失效。
802.1x认证方法列表中除了RADIUS方法,还包含了其他方法。
动态VLAN自动跳转配置举例
组网需求
开启动态VLAN自动跳转功能后,当服务器下发跳转VLAN时,对应的用户就会被加入到跳转的VLAN中进行通信。
组网图
动态VLAN自动跳转组网图
配置要点
在端口上开启802.1x认证。
受控口上开启VLAN自动跳转功能。
配置步骤
在端口上开启802.1x基本功能。配置步骤请参见802.1x认证配置举例。
接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable
验证配置结果
# RADIUS服务下发VLAN属性,通过show dot1x summary命令可以查看认证通过的用户信息,所属VLAN由VLAN 2跳转到VLAN 3。
Device# show dot1x summary
ID Username MAC Interface VLAN Auth-State Backend-State Port-Status User-Type Time
--------- ---------- -------------- --------- ---- --------------- ------------- ----------- --------- ------------------
16778217 Hostname1 0023.aeaa.4286 Gi0/1 3 Authenticated Idle Authed static 0days 2h17m29s
配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x dynamic-vlan enable
!
常见错误
认证服务器未正确设置下发VLAN的RADIUS属性。
设备未打开支持下发VLAN属性的RADIUS命令。
HYBRID口上使用MAC VLAN跳转VLAN时,下发的VLAN是带TAG VLAN。
Guest VLAN配置举例
组网需求
设备端口开启802.1x认证,并配置Guest VLAN。若该端口下的终端未安装802.1x客户端,则允许该终端访问Guset VLAN内的网络资源。
组网图
Guest VLAN组网图
配置要点
在端口上开启802.1x认证。
受控口上开启VLAN自动跳转功能。
配置端口加入Guest VLAN。
配置步骤
在端口上开启802.1x基本功能。配置步骤请参见802.1x认证配置举例。
接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable
端口加入Guest VLAN,Guset VLAN为VLAN 1。
Device(config-if-GigabitEthernet 0/1)# dot1x guest-vlan 1
验证配置结果
# 加入Guest VLAN后,设备会打印如下Log:
%DOT1X-5-TRANS_DEFAULT_TO_GUEST: Transformed interface GigabitEthernet 0/1 from default-vlan 1 to guest-vlan 1 OK.
# 终端不存在802.1x客户端时,无需认证即可访问VLAN 1内的网络资源,并且只能访问VLAN 1内的网络资源。
配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x dynamic-vlan enable
dot1x guest-vlan 1
!
常见错误
端口收到了EAPOL报文,导致端口未加入Guest VLAN。
失败VLAN配置举例
组网需求
设备端口开启802.1x认证,并配置失败VLAN。若终端802.1x认证失败,允许访问失败VLAN内的网络资源。
组网图
失败VLAN组网图
配置要点
在端口上开启802.1x认证。
配置端口加入失败VLAN。
配置步骤
在端口上开启802.1x基本功能。配置步骤请参见802.1x认证配置举例。
配置端口加入失败VLAN,失败VLAN为VLAN 1。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x auth-fail vlan 1
验证配置结果
# 终端认证前无法访问网络;终端使用错误账号进行认证,认证失败后可以访问失败VLAN的网络资源。
配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x auth-fail vlan 1
!
常见错误
认证用户由于非服务器拒绝导致的失败不会进入失败VLAN,例如底层资源不足导致无法安装认证用户引起的失败。