802.1.X认证

dot1x认证原理
dot1x（IEEE 802.1X）是一种网络认证协议，用于控制局域网（LAN）端口的访问权限。

它的原理如下：
1. 开机认证：当设备（如计算机）连接到局域网的交换机端口时，交换机会对该端口进行认证过程。

初始状态下，交换机的此端口为“未授权”状态。

2. 通信开始：设备尝试通过端口进行通信，发送一个EAPOL （EAP Over LAN）Start消息给交换机。

EAPOL Start消息用于指示设备准备就绪，请求进行认证。

3. 交换机发起认证：交换机收到EAPOL Start消息后，会发送一个EAPOL Request/Identity消息给设备，要求设备提供身份标识。

4. 设备认证：设备收到EAPOL Request/Identity消息后，会向交换机发送一个EAPOL Response/Identity消息，其中包含设备的身份标识。

5. 认证服务器验证：交换机将EAPOL Response/Identity消息转发到认证服务器，认证服务器接收到设备的身份标识后，会对其进行验证。

6. 认证结果：认证服务器验证设备的身份，并返回一个认证结果给交换机，该结果可以是“通过”或“拒绝”。

7. 端口授权：如果设备通过认证，交换机将该端口标记为“授权”状态，并允许设备进行正常通信。

否则，端口会继续保持
为“未授权”状态，拒绝设备的通信。

8. 会话维持：一旦设备通过认证，交换机会继续监听设备的网络活动，以便在会话超时或其他认证条件变化时重新进行认证。

通过以上的认证过程，dot1x能够有效地控制网络的访问权限，提供更安全的局域网环境。

神洲数码交换机802.1X认证张光明周传金这几天没事，我周传金看了下三层交换机的802.1X认证，看能不能用三层交换机完全取代路由器，通过初步测试，三层交换机的802.1X认证完全可以达到认证的目的，但认证限速最终还是由认证服务器通知交换机，让交换机开启端口限速来达到限速的目的，而交换机的端口限速确存在很大弊端。

这里把交换机的802.1X认证设置写出来，如果你不用限速，完全可以只用交换机而不用路由器。

下边只对802.1X认证作简要说明一、在交换机上开启802.1X认证1、全局模式下设置认证服务器2、全局模式下开启AAA认证3、全局模式下开启1X认证4、全局模式下设置认证前可访问资源5、进入开启1X认证的端口6、开启此端口的1X认证7、开启此端口的认证方式8、设置此端口的1X认证授权状态具体命令如下：Switch(Config)#radius-server authentication host 10.103.117.7 //配置认证服务器IPSwitch(Config)# radius-server accounting host 10.103.117.7 //配置计费服务器IPSwitch(Config)# radius-server key 123 //配置认证服务器的共享密钥Switch(Config)#aaa enable //开启AAA认证Switch(Config)#aaa-accounting enable //开启AAA计费功能Switch(Config)#dot1x enable //开启802.1x认证Switch(Config)#dot1x user free-resource 10.103.117.0 255.255.255.0 //设置认证前可访问资源Switch(Config)#interface Ethernet 0/0/1 //进入端口Switch(Config-Ethernet0/0/1)#dot1x enable //开启端口的1X认证Switch(Config-Ethernet0/0/1)#dot1x port-method userbased //设置认证方式为userbasedSwitch(Config-Ethernet0/0/1)#dot1x port-control auto //设置授权状态为auto说明：802.1X认证方式中的portbased：当此端口下有一台计算机通过认证，其它计算机就可以不认证了，建议不用此方式。

802.1x重认证原理标题：802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要，802.1x协议作为一种可扩展的身份验证协议，被广泛应用于无线网络接入控制。

它能有效防止未经授权的设备访问网络资源，保护网络的安全性。

本文将详细介绍802.1x重认证原理。

二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议，由IEEE（电气电子工程师学会）制定。

它定义了用户接入网络时的身份认证过程，包括用户身份的鉴别、授权和计费等功能。

在802.1x协议中，主要涉及到三个角色：客户端、认证服务器和交换机。

三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后，由于某些原因需要重新进行认证的过程。

这个过程中，客户端会发送一个EAP-Request/Identity给认证服务器，认证服务器接收到请求后，会发送一个EAP-Response/Identity给客户端，然后客户端根据接收到的信息判断是否需要重新认证。

重认证的主要原因是保持用户的在线状态，防止用户的非法使用。

例如，如果用户的账号密码发生了改变，或者用户的权限发生了变化，就需要重新进行认证。

此外，如果用户的设备更换或者移动到另一个位置，也需要重新进行认证。

四、802.1x重认证流程1. 客户端发起重认证请求：客户端向交换机发送一个EAP-Request/Identity消息，表示需要进行重认证。

2. 交换机转发请求：交换机接收到请求后，将其转发给认证服务器。

3. 认证服务器响应：认证服务器接收到请求后，会发送一个EAP-Response/Identity消息给交换机，表明接受重认证请求。

4. 交换机转发响应：交换机接收到响应后，将其转发给客户端。

5. 客户端进行重认证：客户端接收到响应后，会进行重新认证，包括输入新的账号密码等信息。

6. 认证服务器验证：认证服务器接收到客户端的新信息后，会进行验证。

7. 交换机控制端口状态：如果验证成功，交换机会打开相应的端口，允许客户端访问网络；如果验证失败，交换机会关闭相应的端口，阻止客户端访问网络。

实验十一 802.1x本地认证配置
1．实验内容：交换机端口通过本地认证应用
2．实验目的：掌握802.1x交换基本地认证配置
3．实验环境：
1. 组网图
2. 配置步骤
用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

3、相关软件：
客户端用HWSupplicantV2.01
4. 实验步骤：
[SwitchA]local-user test
设置该用户密码（明文）
[SwitchA-user-test]password simple test
设置该用户接入类型为802.1X
[SwitchA-user-test]service-type lan-access
激活该用户
[SwitchA-user-test]state active
3) 全局使能802.1x
[SwitchA]dot1x
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3.这里采用缺省域system，并且缺省域引用缺省radius方案system。

4. 测试：。

802.1x 认证流程下载温馨提示:该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!802.1x 认证是一种基于端口的网络访问控制技术，用于对连接到网络的设备进行身份验证和授权。

802.1X认证原理802.1X(dot1x) 技术简介802.1X认证，又称为EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户接入认证问题。

802.1X认证时采用了RADIUS协议的一种认证方式，典型的C/S结构，包括终端、RADIUS客户端和RADIUS服务器。

802.1x简介：IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802. 1X协议。

后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。

“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。

802.1X认证的特点：o安全性高，认证控制点可部署在网络接入层或汇聚层。

o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。

使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。

o技术成熟，被广泛应用于各类型园区网员工接入。

802.1X认证应用场景：o有线接入层：安全性最高，设备管理复杂。

o有线汇聚层：安全性中高，设备少，管理方便。

o无线接入：安全性高，设备少，管理方便。

802.1X系统架构：802.1X系统为典型的Client/Server结构，包括三个实体：客户端、接入设备和认证服务器。

o客户端是位于局域网段一端的一个实体，由该链路另一端的接入设备对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持局域网上的可扩展认证协议EAPOL（Extensible Authentication Protocol over LAN）。

o接入设备是位于局域网段一端的另一个实体，对所连接的客户端进行认证。

dot1x认证流程IEEE 802.1X 协议定义了认证器（Authenticator）、用户端（Supplicant）和身份验证服务器（Authentication Server）三者之间的通信流程。

认证器通常是网络交换机或接入点，用户端是网络终端设备，如笔记本电脑、智能手机等，而身份验证服务器则通常是一个独立的认证服务器或是集成在网络设备中的认证功能。

下面将介绍 IEEE 802.1X 认证的流程：1. 启动认证过程当用户设备（Supplicant）接入网络时，认证器（Authenticator）将会要求用户进行身份认证。

此时，用户设备会向认证器发送一个 EAPOL-Start 消息，表示启动认证过程。

2. 发送身份认证请求认证器收到用户设备的 EAPOL-Start 消息后，会向用户设备发送身份认证请求（EAP-Request/Identity 消息），要求用户设备提供其身份信息。

3. 提供身份信息用户设备接收到身份认证请求后，会向认证器回复身份信息（EAP-Response/Identity 消息），通常是用户的用户名。

4. 开始身份认证认证器收到用户设备提供的身份信息后，会将该信息转发到身份验证服务器，请求对用户进行身份认证。

5. 身份验证身份验证服务器收到用户身份信息后，会通过内部的身份验证机制对用户进行身份验证，例如使用用户名密码进行验证或者使用证书进行验证。

6. 认证结果返回身份验证服务器完成身份验证后，会将认证结果反馈给认证器，通知认证器用户的身份信息是否有效。

7. 通知用户设备认证器收到身份验证服务器的认证结果后，会通知用户设备认证结果，并告知用户设备是否通过认证。

8. 用户认证成功如果用户设备经过身份验证后被认证通过，认证器将允许用户设备接入网络，并开启对用户设备的网络访问控制。

用户设备可以开始使用网络资源。

9. 用户认证失败如果用户设备未能通过身份验证，认证器将禁止用户设备接入网络，并可能会向管理员发送警报信息，告知用户设备的异常情况。

二层网管交换机应用——802.1x认证（网络安全接入控制）802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x 协议是一种基于端口的网络接入控制协议，“基于端口的网络接入控制”是指在局域网接入设备的端口这一级，对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机，TL-SL5428做为接入交换机，802.1x认证服务器接在TL-SG2224E上。

下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。

1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。

（也可以在Windows Server 上搭建Radius认证服务器。

有关服务器的搭建方法请在网上参考相关资料）认证服务器上的配置：● 服务器IP地址：192.168.1.250● 认证端口：1812● 计费端口：1813● 密钥：fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。

如果不需要进行上网计费，则不需要启用计费功能。

● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证，使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。

ii.配置其它需要认证的端口。

（TL-SL5428可同时支持基于MAC和Port的认证，这里均采用基于MAC的认证方式）注：● 如果端口的“状态”处于禁用，则该端口下的设备不需要进行认证，始终处于接入网络的状态。

● 控制类型中，“基于MAC”意为着该端口下的所有设备必需单独进行认证，认证通过后才能接入网络；“基于Port”意味着该端口下只要有一台设备认证通过，其它设备不再需要认证也能接入网络。

无线802.1x认证标准无线802.1x协议交互逻辑无线PEAP认证分为几个阶段，802.11无线关联阶段、PEAP认证阶段、无线Key 配置阶段、客户端IP地址获取阶段、正常网络访问阶段以及最后的下线阶段，接下来我们就依照下图对认证过程中的各个阶段进行详细描述。

一、802.11无线关联阶段STA(WorkStation，通常指个人PC)上的认证客户端（Supplicant）通过无线开放模式和无线设备之间建立连接。

1）第一对交互过程用于客户端请求希望关联的SSID，无线设备进行请求应答。

2）接下来的一对交互过程使用开放模式进行认证，真正的身份校验放到了PEAP阶段完成。

3）最后一对交互过程是在进行无线关联，通过该对话可以协商出双方所支持的通讯速率、无线数据传输时的密钥传递、管理和加密方式。

客户端和无线设备完成上述交互过程后，无线关联过程也就完成了。

二、PEAP认证阶段A、802.1X认证起始阶段1）客户端向无线设备发送一个EAPoL-Start报文，开始802.1X认证；2）无线设备向客户端发送EAP-Request/ID报文，要求客户端将用户信息送上来；3）客户端回应EAP-Response/ID给无线设备，该报文中包含用户标识，通常为认证用户ID（由于PEAP的TLS安全通道内依然使用EAP协议进行认证，而EAP 认证过程中会再请求一次用户ID，那么方案设计者可以通过本次的Response/ID 来隐藏真实的用户ID，而在TLS安全通道内的EAP交互中携带真实的用户ID，这样可以增强用户认证凭证的保密性）；4）无线设备以EAP Over Radius的形式将EAP-Response/ID传送给Radius服务器。

B、协商PEAP认证并建立TLS安全通道5）Radius服务器收到EAP-Response/ID后根据配置确定使用PEAP认证，并向无线设备发送Radius Access-Challenge报文，报文中包含Radius服务器发送给客户端的PEAP-Start报文，表示希望使用PEAP方法进行接下来的认证；6）无线设备将EAP-Request/PEAP-Start发送给认证客户端；7）客户端收到EAP-Request/PEAP-Start报文后，生成客户端随机数、客户端支持的加密算法列表、TLS协议版本、会话ID等信息，并将这些信息封装到PEAP-Client Hello报文中发送给无线设备；8）无线设备以EAP Over Radius的形式将PEAP-Client Hello发送给Radius服务器；9）Radius服务器收到客户端发来的PEAP-Client Hello报文后，会从PEAP-Client Hello报文的加密算法列表中选择自己支持的一组加密算法并同Radius服务器产生的随机数、Radius服务器证书、证书请求信息、Server_Hello_Done属性形成一个Server Hello报文封装在Access-Challenge报文中，发送给客户端；10）无线设备提取Radius报文中的EAP属性，将其封装成EAP-Request报文并最终发送给客户端；11) 客户端收到来自服务器的EAP-Request报文后，验证Radius服务器的证书是否合法。

802.1x802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

网络访问技术的核心部分是PAE（端口访问实体）。

在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

对受控端口的访问，受限于受控端口的授权状态。

认证者的PAE根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。

处在未授权状态的控制端口将拒绝用户/设备的访问。

1.802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。

实验十二 接入层802.1x 认证【实验名称】接入层802.1x 。

【实验目的】使用交换机的802.1x 功能增强网络接入安全。

【背景描述】某企业的网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。

【需求分析】要实现网络中基于端口的认证，交换机的802.1x 特性可以满足这个要求。

只有用户认证通过后交换机端口才会“打开”，允许用户访问网络资源。

【实验拓扑】192.168.5.x/24802.1X client 192.168.5.x/24【实验设备】交换机 1台PC 机 2台（其中1台需安装802.1x 客户端软件，本实验中使用锐捷802.1x 客户端软件） RADIUS 服务器 1台（支持标准RADIUS 协议的RADIUS 服务器，本例中使用第三方RADIUS 服务器软件WinRadius ，）【实验原理】802.1x 协议是一种基于端口的网络接入控制（Port Based Network Access Control ）协议。

“基于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行认证和控制。

如果连接到端口上的设备能够通过认证，则端口就被开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就相当于被关闭，使终端设备无法访问局域网中的资源。

【实验步骤】步骤1 验证网络连通性。

按照拓扑配置PC机、RADIUS服务器的IP地址，在PC机上ping 其网关地址，应该可以，可以ping通。

步骤2 配置交换机802.1x认证。

Switch#configureSwitch(config)#aaa new-model //开启3A认证Switch(config)#aaa authentication dot1x list100 group radius //选择radius 服务器认证方式Switch(config)#dot1x authentication list100 // 802.1x协议执行list100列表Switch(config)#radius-server host 192.168.5.x auth-port1800acct-port 1801//1、配置RADIUS服务器的IP地址 2、auth-port参数表示配置RADIUS服务器的认证和授权端口号，默认情况下RADIUS服务器的认证和授权端口号为UDP 1812；acct-port参数表示配置RADIUS服务器的计费端口号，默认情况下RADIUS服务器的计费端口号为UDP 1813。

简单的说，IEEE 802.1x是一种认证技术，是对交换机上的2层接口所连接的主机做认证，当主机接到开启了IEEE 802.1x认证的接口上，就有可能被认证，否则就有可能被拒绝访问网络。

在接口上开启IEEE 802.1x认证后，在没有通过认证之前，只有IEEE 802.1x认证消息，CDP，以及STP的数据包能够通过。

因为主机接到开启了IEEE 802.1x认证的接口后，需要通过认证才能访问网络，要通过认证，只要输入合法的用户名和密码即可。

交换机收到用户输入的账户信息后，要判断该账户是否合法，就必须和用户数据库做个较对，如果是数据库中存在的，则认证通过，否则认证失败，最后拒绝该用户访问网络。

交换机提供给IEEE 802.1x认证的数据库可以是交换机本地的，也可以是远程服务器上的，这需要通过AAA来定义，如果AAA指定认证方式为本地用户数据库（Local），则读取本地的账户信息，如果AAA指定的认证方式为远程服务器，则读取远程服务器的账户信息，AAA为IEEE 802.1x提供的远程服务器认证只能是RADIUS服务器，该RADIUS服务器只要运行Access Control Server Version 3.0（ACS 3.0）或更高版本即可。

当开启IEEE 802.1x后,并且连接的主机支持IEEE 802.1x认证时，将得出如下结果：★如果认证通过，交换机将接口放在配置好的VLAN中，并放行主机的流量。

★如果认证超时，交换机则将接口放入guest vlan。

★如果认证不通过，但是定义了失败VLAN，交换机则将接口放入定义好的失败VLAN中。

★如果服务器无响应，定义放行，则放行。

注：不支持IEEE 802.1x认证的主机，也会被放到guest vlan中。

提示：当交换机使用IEEE 802.1x对主机进行认证时，如果主机通过了认证，交换机还可以根据主机输入的不同账户而将接口划入不同的VLAN，此方式称为IEEE 802.1x动态VLAN认证技术，并且需要在RADIUS服务器上做更多的设置。

整个802.1x的认证过程可以描述如下：(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证;(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备;(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证;(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。

如果成功，携带协商参数，以及用户的相关业务属性给用户授权。

如果认证失败，则流程到此结束;(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;(12)RADIUS用户认证服务器回应计费开始请求报文。

用户上线完毕;1.当用户有上网需求时打开802.1X客户端程序，输入用户名和口令，发起连接请求。

802.1x认证的配置一组网需求：1．在交换机上启动802.1x认证，对PC1、PC2进行本地认证上网；2．远程RADIUS服务器开启802.1x认证，对PC1、PC2认证上网。

二组网图：1．进行本地认证2．服务器认证三配置步骤：1作本地认证时交换机相关配置1．创建（进入）VLAN10[H3C]vlan 102．将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[H3C]vlan 204．将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25．分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26．全局使能802.1X认证功能（缺省情况下，802.1X功能处于关闭状态）[H3C]dot1x7．添加本地802.1X用户，用户名为“dot1x”，密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8．补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式，缺省是接入控制方式为macbased。

两种方法的区别是：当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

例如，修改端口E1/0/1的接入控制方式为portbased方式：[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者：[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1．创建（进入）VLAN10[SwitchA]vlan 102．将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[SwitchA]vlan 204．将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25．创建（进入）VLAN100[SwitchA]vlan 1006．将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17．创建（进入）VLAN接口100，并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8．创建一个名为“cams”的RADIUS方案，并进入其视图[SwitchA]radius scheme cams9．配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310．配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11．配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12．创建用户域“huawei”，并进入其视图[SwitchA]domain huawei13．指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14．指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15．分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216．全局使能dot1x认证功能（缺省情况下，dot1x功能处于关闭状态）[SwitchA]dot1x17．补充说明如果RADIUS服务器不是与SwitchA直连，那么需要在SwitchA上增加路由的配置，来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

【转】浅谈802.1X认证⼀、起源802.1x协议起源于802.11协议，后者是标准的⽆线局域⽹协议。

802.1x协议的主要⽬的是为了解决局域⽹⽤户的接⼊认证问题，现在已经开始被应⽤于⼀般的有线LAN的接⼊。

在802.1x出现之前，企业⽹有线LAN应⽤都没有直接控制到端⼝的⽅法，也不需要控制到端⼝。

但是随着⽆线LAN的应⽤以及LAN接⼊到电信⽹上⼤规模开展，有必要对端⼝加以控制，以实现⽤户级的接⼊控制。

802.1x就是IEEE为了解决基于端⼝的接⼊控制⽽定义的⼀个标准。

⼆、作⽤1.802.1x是⼀个认证协议，是⼀种对⽤户进⾏认证的⽅法和策略。

2.802.1x是基于端⼝的认证策略（可以是物理端⼝也可以是VLAN⼀样的逻辑端⼝，相对于⽆线局域⽹“端⼝”就是⼀条信道）3.802.1x的认证的最终⽬的就是确定⼀个端⼝是否可⽤。

对于⼀个端⼝，如果认证成功就“打开”这个端⼝，允许所有报⽂通过；如果认证不成功就使这个端⼝保持“关闭”，此时只允许802.1x的认证报⽂EAPOL（Extensible Authentiaction Protocol over LAN）通过。

三、体系802.1x的认证系统分为三部分结构：Suppliant System 客户端（PC / ⽹络设备）：客户端是⼀个需要接⼊LAN，及享受Switch提供服务的设备，客户端需要⽀持EAPOL协议，客户端必须运⾏802.1x客户端软件。

Authentiactor System 认证系统：switch（边缘交换机或⽆线接⼊设备）是根据客户的认证状态控制物理接⼊的设备，switch在客户和认证服务器之间充当代理⾓⾊（proxy）。

switch与client间通过EAPOL协议进⾏通讯，swith与认证服务器间通过EAPOR（EAP over Radius）s或EAP承载在其他⾼层协议上，以便穿越复杂的⽹络到达认证服务器；switch要求客户端提供identity，接收到后将EAP报⽂承载在Radius格式的报⽂中，再发送到认证服务器，返回等同；switch根据认证结果控制端⼝是否可⽤。

一、引言802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LANS witch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

802.1x的体系结构如图1所示。

它的体系结构中包括三个部分，即请求者系统、认证系统和认证服务器系统三部分：图1802.1x认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。

请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.lx认证，后文的认证请求者和客户端二者表达相同含义。

2.认证系统认证系统对连接到链路对端的认证请求者进行认证。

认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备(如LAN Switch 和AP)上实现802.1x认证。

802.1x认证技术介绍目录1.背景 (1)2.IEEE 802.1x协议技术分析 (1)2.1802.1x认证特点 (2)2.2802.1x应用环境 (2)2.2.1交换式以太网络环境 (2)2.2.2共享式网络环境 (2)2.3802.1x认证的安全性分析 (3)2.4802.1x认证的优势 (4)3.802.1x在电信级IP宽带网络中的应用建议 (4)3.1以WLAN为应用突破口 (4)3.2认证边缘化、分布化 (4)3.3用户管理集中化 (5)3.4多业务接入，兼顾网络技术特点 (5)3.5逐步取代PPPoE (5)4.结论 (5)1. 背景以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术，而且随着10 Gbit/s以太网技术的出现，以太网技术在广域网范围内也将获得一席之地，电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。

对于以太网络中多数业务来说，运营商无法从物理上完全控制客户端设备或者媒介。

运营商要实现对宽带业务的可运营、可管理，就必须从逻辑上对用户或者用户设备进行控制。

该控制过程主要通过对用户和用户设备的认证和授权来实施。

一般来说，需要进行认证和授权的业务种类包括：(1)提供给多用户系统的以太城域网业务。

这些业务包括典型的TLS业务、L2或者L3的VPN业务。

在该业务组网环境中，客户前端交换机由同一建筑物内的多个用户共享。

(2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等)，需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。

(3)基于ATM RFC 1483的DSL业务和IP以太接入网。

(4)基于EFM(Ethernet in the First Mile，IEEE 802.3ah)EPON接入和EoVDSL等业务。

(5)基于以太的cahle的共享RF信道接入方式。