博达交换机802.1x认证配置手册

6
(Chap-Response/MD5 Challenge)
Radius-access--Request Radius-access--Accept
(Chap-Success)
8
7
802.1X---22
802.1x EAP终结认证图示
3. 结合 结合Radius认证 认证
EAP透传方式： 透传方式： 透传方式
802.1X---34
认证过程图
802.1X---35
实验三： 实验三：EAP透传方式 透传方式
Radius Server 博达交换机S3224 博达交换机 客户端
! username bdcom password 0 bdcom //定义用户名和密码 定义用户名和密码 aaa authentication dot1x test radius //定义 定义802.1x的aaa认证方式采用 认证方式采用Radius认证 定义 的 认证方式采用 认证 interface FastEthernet0/2 dot1x authentication type eap //认证类型是 认证类型是eap 认证类型是 dot1x authentication method test //认证方式使用自定义的 认证方式使用自定义的Radius认证 认证方式使用自定义的 认证 dot1x port-control auto //启动 启动802.1X认证方式，默认状态是关闭的 认证方式， 启动 认证方式 radius server 192.168.0.211 auth-port 1812 acct-port 1813 //指定 指定Radius服务器的 地址，以及为认证请求 服务器的IP地址 目的端口和为记录请求UDP目的端口 指定 服务器的 地址，以及为认证请求UDP目的端口和为记录请求 目的端口和为记录请求 目的端口 radius key 12345 //对交换机和 对交换机和Radius服务器之间通信信道进行加密 对交换机和 服务器之间通信信道进行加密 !
802.1X---8
1. 802.1x 的体系结构
802.1x协议包括Supplicant System客户端（PC/网络设备）、Authenticator System认证系统、Authentication Server System认证服务器三部分，它们之间 的关系如上图所示
802.1X---9
起始页面
课程内容
802.1x简介 简介 802.1x认证的基本原理和过程 认证的基本原理和过程 802.1x在博达交换机上的认证方式 在博达交换机上的认证方式 802.1x的配置 的配置 802.1x的认证实例 的认证实例
802.1X---2
一、802.1x 简介
802.1X---3
1. 802.1x 起源
802.1X---25
802.1x的配置任务 的配置任务
dot1x port-control {auto|forceauthorized|force-unauthorized}
配置端口控制方式
802.1X---26
802.1x的配置任务 的配置任务
aaa authentication dot1x method
在其它AAA 上层协议（如RADIUS）的报文中以穿越 复杂的网络到达Authentication Server，这一过程被称 为EAP Relay。
802.1X---10
3. 端口类型
设备端 受控端口 非受控端口
授权/非授权
LAN/WLAN
.设备的每个端口同时有受控和非受控两个通道。
802.1X---11
Radius-access--Challenge
5
6
(EAP-Request/MD5 Challenge)
7
EAP-Response/MD5 Challenge 8 EAP-Success
9
Radius-access--Request
(EAP-Response/MD5 Challenge)
10
Radius-access--Accept
2. System间信息交换 间信息交换
．Authenticator与 Authentication Server 间通过EAP帧
交换信息
．Supplicant 与 Authenticator 间则以IEEE 802.1x 所
定义的EAPoL帧交换信息。
．EAP 帧中封装了认证数据，该认证数据将被封装
监控802.1x认证配置和状态 认证配置和状态 监控
show dot1x {interface ……}
查看802.1x认证配置和状态 认证配置和状态 查看
802.1X---30
五、802.1x 的认证实例
802.1X---31
实验一： 实验一：本地数据库认证
博达交换机S3224 博达交换机 客户端
802.1X---5
3. 前景
世界著名网络厂家都已推出解决方案。 Windows XP 支持客户端。
802.1X---6
二、802.1x 认证的基本原理和过程
802.1X---7
基本原理
802.1X的网络中，一个用户请求访问一个接入点，接入 点强迫用户进入一种未经授权状态，这种状态下用户就 只能发送一个EAP（ Extensible Authentication Protocol） 开始消息。然后接入点返回给用户一个EAP消息请求用户 进行身份验证。用户将身份验证发给接入点，之后接入 点就会将其转发给验证服务器，由它使用一个算法来验 证用户是否合法并且将接受或拒绝消息返还给接入点。 当验证通过即接收到的是接受消息，则接入点将把用户 的状态变为已授权，此时就可以进行正常的通信了。
受控端口和非受控制端口
设备端为客户端提供接入局域网的端口，这个端口被划 分为两个虚端口：受控端口和非受控端口。非受控端口 始终处于双向连通状态，用于传递认证报文。受控端口 在授权状态下处于连通状态，用于传递业务报文；受控 端口在非授权状态下处于断开状态，禁止传递任何报文。 受控端口和非受控端口是同一端口的两个部分；任何到 达该端口的帧，在受控端口与非受控端口上均可见。
802.1X---12
4. 受控端口状态变化
设备端1 受控端口 非受控端口 设备端2 受控端口 非受控端口
非授权
授权
LAN/WLAN
LAN/WLAN
802.1X---13
5. 端口控制方式
小区中心
…
楼栋
…
楼单元
user user user user
…
…
user
user
user
基于物理端口
基于用户设备MAC 基于用户设备
! dot1x enable //启动 启动802.1X 启动 username bdcom password 0 bdcom //定义用户名和密码 定义用户名和密码 aaa authentication dot1x test local //定义 定义802.1x的aaa认证方式采用本地数据库认证 的 认证方式采用本地数据库认证 定义 interface FastEthernet0/1 dot1x authentication type eap //认证类型是 认证类型是eap 认证类型是 dot1x authentication method test //认证方法使用自定义的本地数据库认证 认证方法使用自定义的本地数据库认证 dot1x multiple-hosts //启用多主机端口访问 启用多主机端口访问 dot1x port-control auto //启动 启动802.1X认证方式，默认状态是关闭的 认证方式， 启动 认证方式 dot1x user-permit bdcom //启用端口和用户的绑定 启用端口和用户的绑定 !
802.1X---21
2. 结合 结合Radius认证 续) 认证(续 认证
EAP终结方式： 终结方式： 终结方式
客户端
1 2 3 4 5
博达交换机
Radius Server
EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success
802.1X---32
认证过程图
802.1X---33
实验二： 实验二：EAP终结方式 终结方式
Radius Server 博达交换机S3224 博达交换机 客户端
! username bdcom password 0 bdcom //定义用户名和密码 定义用户名和密码 aaa authentication dot1x test radius //定义 定义802.1x的aaa认证方式采用 的 认证方式采用Radius认证 认证 定义 认证方式采用 interface FastEthernet0/2 dot1x authentication type chap //认证类型是 认证类型是chap 认证类型是 dot1x authentication method test //认证方式使用自定义的 认证方式使用自定义的Radius认证 认证方式使用自定义的 认证 dot1x port-control auto //启动 启动802.1X认证方式，默认状态是关闭的 认证方式， 启动 认证方式 radius server 192.168.0.211 auth-port 1812 acct-port 1813 //指定 指定Radius服务器的 地址，以及为认证请求 服务器的IP地址 目的端口和为记录请求UDP目的端口 指定 服务器的 地址，以及为认证请求UDP目的端口和为记录请求 目的端口和为记录请求 目的端口 radius key 12345 //对交换机和 对交换机和Radius服务器之间通信信道进行加密 对交换机和 服务器之间通信信道进行加密 !
802.1X---15
8. EAP帧结构 帧结构
EAP报文的格式 ：
802.1X---16
9. EAPOL帧结构 帧结构
EAPOL报文的格式 ：
802.1X---17
8. 802.1x 的认证过程
802.1X---18
10. 802.1x 的特点
优点：
建网成本低：是二层协议，对设备要求不高。 通过组播实现，解决其他认证协议广播问题。 采用业务和认证流分离。 IEEE 标准化。
基于全程VLAN 基于全程
802.1X---14
7. 802.1x的协议帧 的协议帧
802.1x 通过EAP 帧承载认证信息。标准中共定义了如下 几种类型的EAP 帧： EAP-Packet：认证信息帧，用于承载认证信息。 EAPoL-Start：认证发起帧，Supplicant 主动发起的认 证发起帧。 EAPoL-Logoff：退出请求帧，主动终止已认证状态。 EAPoL-Key：密钥信息帧，支持对EAP 报文的加密。 EAPoL-Encapsulated-ASF-Alert：用于支持Alert Standard Forum（ASF）的Alerting 消息。
配置802.1x的AAA认证方式 的 配置 认证方式
dot1x max-req count
配置身份认证请求的最大次数
802.1X---27
802.1x的配置任务 的配置任务
dot1x user-permit xxxx
配置端口下绑定的用户
dot1x authentication method yyy
客户端
1 2 3
博达交换机
Radius Server
Radius-access--Request
4
EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge
(EAP-Response/Identity)
配置802.1x端口下的认证方式 端口下的认证方式 配置
wenku.baidu.com
802.1X---28
802.1x的配置任务 的配置任务
dot1x authentication type {chap|eap}
配置802.1x认证类型 认证类型 配置
dot1x default
将所有的全局配置恢复到默认配置
802.1X---29
802.1x，基于端口的网络访问控制，起源 于EAPOW和802.11协议。
802.1X---4
2. 802.1x 作用
802.1x是IEEE为了解决基于端口的接入控制 （Port－Based Network Access Control）而定义 的一个标准，主要目的是为了解决无线局域网用 户的接入认证问题 。 加强了传统园区网安全特性，适用于以太网接入 运营网的安全认证，廉价且易实现。
缺点：
需要特定的客户端软件
802.1X---19
三、802.1x 在博达交换机上 的认证方式
802.1X---20
1. 本地数据库认证
客户端
1 2 3 4 5 6
博达交换机 EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success
(EAP-Success)
802.1X---23
802.1x EAP透传认证图示
四、802.1x 的配置
802.1X---24
802.1x的配置任务 的配置任务
dot1x enable
使能802.1x功能 功能 使能
dot1x multiple-hosts
配置802.1x多主机端口认证 多主机端口认证 配置