博达交换机802.1x认证配置手册
配置802.1x在交换机的端口验证设置
配置802.1x在交换机的端⼝验证设置配置802.1x在交换机的端⼝验证设置⽬标IEEE 802.1x是实现在客户端和服务器之间的访问控制的标准。
在服务可以为客户端提供由局域⽹或交换机前,客户端连接对交换机端⼝必须由运⾏远程验证拨⼊⽤户服务(RADIUS)的认证服务器验证。
802.1x验证限制从连接的未授权的客户端到LAN通过宣传可访问端⼝。
802.1x验证是客户服务器模型。
在此型号中,⽹络设备有以下特定⾓⾊:客户端或请求⽅—客户端或请求⽅是请求对LAN的访问的⽹络设备。
客户端连接对验证器。
验证器—验证器是提供⽹络服务的⽹络设备,并且到哪些请求⽅端⼝连接。
⽀持以下认证⽅法:基于802.1X —⽀持在所有认证模式。
使⽤RADIUS协议,在基于802.1X的验证,验证器解压缩从802.1x消息或EAP over LAN (EAPOL)数据包的可扩展的认证协议(EAP)消息,并且通过他们到认证服务器。
基于MAC的—⽀持在所有认证模式。
当媒体访问控制(MAC) -根据,验证器代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。
基于Web的—仅⽀持在多会话模式。
使⽤基于Web的验证,验证器代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。
认证服务器—认证服务器执⾏客户端的实际验证。
设备的认证服务器是有EAP扩展的⼀个RADIUS验证服务器。
注意:⽹络设备可以是客户端或请求⽅,验证器或者两个每个端⼝。
下⾯的镜像显⽰根据特定⾓⾊配置设备的⽹络。
在本例中,使⽤SG350X交换机。
在配置802.1x的指南:1. 创建虚拟访问⽹络(VLAN)。
使⽤您的对于2. 配置端⼝对在您的交换机的VLAN设置。
使⽤3. 配置在交换机的802.1x属性。
在交换机应该全局启⽤802.1x启⽤802.1x基于端⼝的验证。
如需指导,请点击。
4. (可选)请配置在交换机的时间范围。
要5. 配置802.1x端⼝验证。
此条款提供说明关于怎样配置802.1x端⼝在您的交换机的验证设置。
802.1 x 认证实验参考配置
802.1 x 认证配置交换机上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置VLAN和VLAN虚接口[S3526E]vlan 2[S3526E-vlan2]port ethernet 0/24[S3526E]interface vlan 2[S3526E-Vlan-interface2]ip address 10.110.81.30 255.255.255.0[S3526E]interface vlan 1[S3526E-Vlan-interface1]ip address 10.110.82.1 255.255.255.0[S3526E-Vlan-interface1]ip address 10.110.83.1 255.255.255.0 sub2、配置RADIUS方案[S3526E]radius scheme cams[S3526E-radius-cams]primary authentication 10.110.81.90 1812[S3526E-radius-cams]primary accounting 10.110.81.90 1813[S3526E-radius-cams]server-type huawei[S3526E-radius-cams]key authentication expert[S3526E-radius-cams]key accounting expert[S3526E-radius-cams]user-name-format without-domain[S3526E-radius-cams]data-flow-format data byte packet one-packet3、配置域名和缺省域名[S3526E]domain cams[S3526E-isp-cams]radius-scheme cams[S3526E-isp-cams]access-limit disable[S3526E-isp-cams]state active[S3526E-isp-cams]idle-cut disable[S3526E]domain default enable cams4、启动和设置802.1X认证[S3526E]dot1x[S3526E]interface Ethernet 0/2[S3526E-Ethernet0/2]dot1x[S3526E-Ethernet0/2]dot1x port-method macbased配置MA上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置认证、计费方案[MA5200E]aaa[MA5200E-aaa]authentication-scheme cams[MA5200E-aaa-authen-cams]authentication-mode radius[MA5200E-aaa]accounting-scheme cams[MA5200E-aaa-accounting-cams]accounting-mode radius[MA5200E-aaa-accounting-cams]accounting realtime 3[MA5200E-aaa-accounting-cams]accounting interim-fail online[MA5200E-aaa-accounting-cams]accounting start-fail offline2、配置RADIUS服务器[MA5200E]radius-server group cams[MA5200E-radius-cams]radius-server authentication 10.110.81.90 1812 [MA5200E-radius-cams]radius-server accounting 10.110.81.90 1813[MA5200E-radius-cams]radius-server key expert[MA5200E-radius-cams]radius-server type portal[MA5200E-radius-cams]undo radius-server user-name domain-included [MA5200E-radius-cams]radius-server traffic-unit byte3、配置域名和缺省域名[MA5200E]aaa[MA5200E-aaa]domain cams[MA5200E-aaa-domain-cams]authentication-scheme cams[MA5200E-aaa-domain-cams]accounting-scheme cams[MA5200E-aaa-domain-cams]radius-server group cams[MA5200E-aaa-domain-cams]eap-sim-parameter[MA5200E-aaa-domain-cams]eap-end chap[MA5200E-aaa-domain-cams]ip-pool first cams[MA5200E]aaa[MA5200E-aaa]domain default[MA5200E-aaa-domain-default]authentication-scheme defaut0[MA5200E-aaa-domain- default]accounting-scheme default0[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90 [MA5200E-aaa-domain- default] web-authentication-server urlhttp://10.110.81.90/portal[MA5200E-aaa-domain- default]ucl-group 1[MA5200E-aaa-domain- default]ip-pool first default4、配置上行端口[MA5200E]interface Ethernet 24[MA5200E-Ethernet24]negotiation auto[MA5200E]interface Ethernet 24.0[MA5200E-Ethernet24.0]ip address 10.110.81.12 255.255.255.0[MA5200E]portvlan ethernet 24 0[MA5200E-ethernet-24-vlan0-0]access-type interface5、配置接入端口[MA5200E]portvlan ethernet 2 0 4095[MA5200E-ethernet-2-vlan0-4094]access-typelayer2-subscriber[MA5200E-ethernet-2-vlan0-4094]authentication-method web[MA5200E-ethernet-2-vlan0-4094]default-domainpre-authentication default[MA5200E-ethernet-2-vlan0-4094]default-domainauthentication cams如果是采用Portal方式认证,还需要进行如下配置:6、配置Portal认证[MA5200E]web-auth-server version v2[MA5200E]web-auth-server 10.110.81.90 key expert[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90[MA5200E-aaa-domain- default] web-authentication-serverurl http://10.110.81.90/portal7、配置ACL[MA5200E]acl number 101[MA5200E-acl-adv-101]rule net-user permit ip destination 1source 10.110.81.90 0 [MA5200E-acl-adv-101]rule user-net permit ipdestination 10.110.81.90 0 source 1 [MA5200E-acl-adv-101]rule user-net deny ip source 1[MA5200E]access-group 101。
RG-S21交换机 802.1x认证配置方法
S21交换机 802.1x认证配置方法锐捷网络远程技术支持中心技术热线:4008-111-000福建星网锐捷网络有限公司802.1x 的配置注意事项1)只有支持802.1x 的产品,才能进行以下设置。
2)802.1x 既可以在二层下又可以在三层下的设备运行。
3)要先设置认证服务器的IP 地址,才能打开1X 认证。
4)打开端口安全的端口不允许打开1X 认证。
5)Aggregate Port 不允许打开1X 认证。
802.1x 的默认配置下表列出 802.1x 的一些缺省值认证Authentication 关闭DISABLE 记帐Accounting 关闭DISABLE 认证服务器(Radius Server)*服务器IP 地址(ServerIp) *认证UDP 端口*密码(Key) *无缺省值*1812*无缺省值记帐服务器(Accounting Server) *记帐服务器IP 地址*记帐UDP 端口*无缺省值1813所有端口的类型非受控端口(所有端口均无须认证便可直接通讯定时重认证re-authentication 打开定时重认证周期reauth_period 3600 秒认证失败后允许再次认证的间隔 5重传时间间隔30 秒最大重传次数 2 次客户端超时时间30 秒,在该段时间内没有收到客户端的响应便认为这次通讯失败服务器超时时间30 秒,在该段时间内没有收到服务器的回应,便认为这次通讯失败某端口下可认证主机列表无缺省值福建星网锐捷网络有限公司设置802.1X 认证的开关当打开802.1x 认证时,交换机会主动要求受控端口上的主机进行认证,认证不过的主机不允许访问网络。
例:设置Server Ip 为192.1.1.1、认证Udp 端口为600、以明文方式设置约定密码:Switch#configure terminalSwitch(config)#radius-server host 192.1.1.1Switch(config)#radius-server auth-port 600Switch(config)#radius-server key MsdadShaAdasdj878dajL6g6ga Switch(config)#end打开/关闭一个端口的认证在802.1x 打开的情形下,打开一个端口的认证,则该端口成为受控口,连接在该端口下的用户要通过认证才能访问网络,然而,在非受控端口下的用户可以直接访问网络。
基于802.1X的mac认证配置文档
基于802.1X 的mac 认证配置文档场景:192.168.1.2:acs 服务器服务器192.168.1.1:交换机:交换机192.168.1.150:接入客户端:接入客户端大致步骤:一、一、 ACS 的安装与配置的安装与配置二、二、 交换机的配置交换机的配置三、三、 客户端的配置客户端的配置一、ACS 的安装与配置第一步:安装jre ,这是acs 必须得环境。
必须得环境。
第二步:安装ACS 4.2。
第三步:创建以接入用户的mac 地址的用户名和密码。
(一定要小写)(一定要小写)第四步:首次运行ACS 后需要设置网络,选择network configura on 选项,再选择AAA CLIENTS菜单下的ADD ENTRY 添加AAA 终端(交换机)第五步:设置AAA 设备名(不能有空格),IP ,共享密钥,认证模式选择RADIUS (IETF )设置好后选择界面下的提交和保存置好后选择界面下的提交和保存第六步:再根据实际情况更改AAA SERVER 与交换机通信的端口(默认1645,1646),本次案例使用1812,1813。
第七步:进入interface configura on,设置radius(IETF),添加允许组设置使用的选项。
进行组设置。
第八步:进行组设置。
,点击提交保存即可!注意:081的值是需要的实际VLAN ID,点击提交保存即可!二、交换机配置Int vlan 1Ip add 192.168.1.1 255.255.255.0No shutInt vlan 300Ip add 192.168.2.200 255.255.255.0No shutSwitch#Conf tSwitch(config)#aaa new-modelSwitch(config)#aaa authen ca on dot1x default group radiusdot1x system-auth-controlaaa authorization network default group radius radius-server host radius-server host 192.168.1.2192.168.1.2 auth-port 1812 acct-port 1813 key auth-port 1812 acct-port 1813 key 123456123456设置要使用的认证服务器IP ,端口,密钥(与认证服务器中终端设置相同) radius-server vsa send authen ca on 按标准参数划分VLAN开启端口认证int interface range giga 0/2 - 10 配置要使用的端口switchport mode accessdox1t port-control autoDot1x mac-auth-bypass 若认证服务器不支持EAP 认证,则不输入EAP (IAS 不支持EAP ) Dot1x timeout tx-period 1 认证超时调整,最小值为1 Dot1x timeout auth-period 1 认证时间调整Spanning-tree portfastNo shutEndwriteSwitch#show dot1x int interface 查看端口认证设置三、客户端配置 1、配置IP 地址,不配置网关;地址,不配置网关;2、不要选择802.1x 认证。
交换机802.1x配置
交换机802.1x配置1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X 方式,如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置:Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式,正常的通过认证和授权过程强制授权方式:不通过认证,总是可用状态强制不授权方式:实质上类似关闭了该接口,总是不可用可选配置:Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证,注意:如果会话已经建立,此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2,提供了灵活性注意:1、VLAN2必须是在本交换机激活的,计划分配给游客使用;2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。
03-802.1X认证典型配置举例
802.1X认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (1)3.4 配置步骤 (2)3.4.1 AC的配置 (2)3.4.2 RADIUS服务器的配置 (4)3.5 验证配置 (6)3.6 配置文件 (10)4 相关资料 (12)1 简介本文档介绍无线控制器802.1X 认证典型配置举例。
2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA 、802.1X 、WLAN 特性。
3 配置举例3.1 组网需求如图1所示组网,采用iMC 作为RADIUS 服务器,要求:∙在AC 上启用802.1X 远程认证,实现对Client 的接入控制。
∙802.1X 认证方式采用EAP 中继方式。
∙ 采用加密类型的服务模板,加密套件采用TKIP 。
图1 802.1X 远程认证组网图3.2 配置思路∙由于部分802.1X 客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
∙ 对于无线局域网来说,802.1X 认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X 组播报文的方式来触发。
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X 组播触发功能。
交换机802.1X配置
交换机802.1X配置1功能需求及组网说明802.1X配置『配置环境参数』1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUS server地址为192.168.0.100/245.本例中交换机为三层交换机『组网需求』1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤『802.1X本地认证流程』用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证,如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息,端口仍然为非授权状态。
【SwitchA相关配置】1.创建(进入)vlan10[SwitchA]vlan 102.将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103.创建(进入)vlan10的虚接口[SwitchA]interface Vlan-interface 104.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1255.255.255.05.创建(进入)vlan20[SwitchA-vlan10]vlan 206.将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207.创建(进入)vlan20虚接口[SwitchA]interface Vlan-interface 208.给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1255.255.255.09.创建(进入)vlan100[SwitchA]vlan 10010.将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111.创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012.给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1255.255.255.0【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能,默认为基于MAC的认证方式[SwitchA]dot1x2.在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103.这里采用缺省域system,并且缺省域引用缺省radius方案system。
搭建802.1X接入认证环境配置教程
搭建802.1X接入认证环境配置教程搭建802.1X接入认证环境配置教程目录一、环境介绍 (2)二、Radius服务器安装步骤 (3)2.1、安装前准备 (3)2.2、默认域安全设置 (5)2.3、配置Active Directory 用户和计算机 (6)2.4、设置自动申请证书 (12)2.5、配置Internet验证服务(IAS) (14)2.5.1、配置Radius客户端 (15)2.5.2、配置远程访问记录 (16)2.5.3、配置远程访问策略 (17)2.5.4、配置连接请求策略 (22)2.6、配置Internet信息服务(IIS)管理器 (24)三、测试Radius服务器 (25)3.1、测试 (25)3.2、查看日志 (26)四、配置Radius认证客户端(交换机) (27)五、接入客户端配置 (28)一、环境介绍在真实环境下,802.1x认证的网络拓布结构如下图:为了测试用,搭建Radius服务器测试环境如下图,Radius服务器采用Windows 2003系统,Radius客户端采用思科3550交换机:二、Radius服务器安装步骤2.1、安装前准备1、安装DNS服务(为安装活动目录做准备的,活动目录必须先安装DNS)[步骤]:开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统(DNS)”。
2、配置活动目录[步骤]:(没有特别描述,默认单击“下一步”即可)第一步:开始→运行→输入活动目录安装命令“dcpromo”,进入活动目录安装向导。
第二步:设置新的域名,如本例“”。
第三步:活动目录安装程序会检测系统是否已经安装DNS,若DNS已经安装,请选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设置为这台计算机的首选DNS服务器”。
否则,请先安装DNS服务。
第四步:默认单击“下一步”后,系统开始安装并配置活动目录,这段时间比较长,请耐心等待。
802.1X 使用配置手册
802.1x简介:802.1x协议起源于802.11协议,802.11是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802 LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LAN Switch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
实验所需要的用到设备:认证设备:cisco 3550 交换机一台认证服务器:Cisco ACS 4.0认证客户端环境:Windows xp sp3实验拓扑:实验拓扑简单描述:在cisco 3550上配置802.1X认证,认证请求通过AAA server,AAA server IP地址为:172.16.0.103,认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证,只有认证通过之后方可以进入网络,获得IP地址。
实验目的:通过本实验,你可以掌握在cisco 交换机如何来配置AAA(认证,授权,授权),以及如何配置802.1X,掌握 cisco ACS的调试,以及如何在windows xp 启用认证,如何在cisco 三层交换机上配置DHCP等。
搭建802.1X接入认证环境配置教程
说明:“日志文件”选项卡里格式选择“IAS”,可以每天创建日志文件,
在不用数据库存储日志记录的情况下就不用采用SQL Server的日志记录方法了,所以不配置它。关于日志文件里的格式规则(记录RADIUS证书验证的各种信息),参看另一文档或帮助。
第十一步:选择所有组(为了保险,最好全选),然后单击“确定”、“确定”,“隶属于”设置完毕。
第十二步:在“test属性”窗口中,单击“管理者”选项卡,单击“更改”按钮。
第十三步:采用上述添加组的方式,选择管理者为所建用户guozhihui。
至此,AD这边的账户配置完成。
2.4
目的:如何使用组策略管理单元,在默认组策略对象中创建自动申请证书。
第三步:设置共享密钥,与Radius客户端建立安全通道,此处为测试用,测试密码为000000,务必牢记。客户端供应商保持默认即可。
至此,Radius客户端完成。
2.5.2
目的:记录远程访问的日志信息。
[步骤]:
第一步:单击“远程访问记录”,在日志记录方法中右键单击“本地文件”,单击“属性”,配置本地文件属性。
第三步:活动目录安装程序会检测系统是否已经安装DNS,若DNS已经安装,请选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设置为这台计算机的首选DNS服务器”。否则,请先安装DNS服务。
第四步:默认单击“下一步”后,系统开始安装并配置活动目录,这段时间比较长,请耐心等待。活动目录安装完毕,根据提示,重新启动计算机。
第七步:将新建用户guozhihui添加到test组中。
第八步:选择组时,单击“高级”→单击“立即查找”,选择你想加入的组test,单击“确定”→“确定”即可
配置无线客户端802.1X身份验证应用指南说明书
Configuring a W ireless C lient f or 802.1X AuthenticationApplication NoteTable o f C ontentsIntroduction & K ey C oncepts (3)What i s 802.1X? (3)Why w ould I w ant t o u se 802.1X? (4)Configuring t he S upplicant (5)Configure a W indows S upplicant ............................................. E rror! B ookmark n ot d efined.Disable S erver C ertificate V alidation (7)Automatically l ogin w ith d ifferent c redentials (9)Single s ign o n (10)EAP-‐TLS C onfiguration (11)Configure a M ac O S S upplicant ................................................. E rror! B ookmark n ot d efined.EAP-‐TLS C onfiguration (14)802.1X (15)Digital C ertificates a nd C ertificate A uthorities (15)Microsoft N etwork P olicy S erver (15)April-2012-1Introduction& Key ConceptsWhat is 802.1X?802.1X is an IEEE security standard for network access. Authentication is a key part of the 802.1X standard. Three devices participate in every 802.1X authentication:Supplicant – the client deviceAuthenticator – the device that controls network access (port) and passes authentication messages to the authentication serverAuthentication Server – AAA-compliant authentication serverFigure 1 - 802.1X Authentication Phase 1The supplicant responds to an authentication challenge from the authenticator and transmits its credentials. The goal of the first phase is to establish the protected tunnel (TLS) to encrypt the user credentials so they aren’t sent in the clear.April-2012-1Figure 2 - 802.1X Authentication Phase 2Once the user credentials are transmitted, the authenticator (AP) sends this information to the ZoneDirector. The ZoneDirector then submits it to the AAA server. If the authentication is successful, the authentication server notifies the authenticator, which opens the network port.These stringent requirements create very secure network access – other than authentication attempts, no traffic of any kind will be allowed onto the network - including DHCP and DNS.Why would I want to use 802.1X?802.1X is a very secure authentication and encryption standard. Unlike pre-shared key (PSK) networks, 802.1X requires a user name and password that is checked against an authentication server for every authentication. PSKs rely on a single, shared secret for all machines. 802.1X is also well suited for single sign-on, in which 802.1X authentication occurs at the same time a user signs on to a computer.April-2012-1Configuring a Windows SupplicantMost modern operating systems include an 802.1X supplicant. Although the details change from client to client, the process is the same.In this example, we will use a Microsoft Windows 7 client using Microsoft’s WLAN AutoConfig supplicant. This process is very similar for other versions of Windows when you use the built-in Microsoft supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.From the Control Panel, go to Administrative Tools and open the Services.Confirm the Microsoft WLAN AutoConfig service is running1. If it is not, start it and set it to start up automatically.2From the Control Panel, go to Network and Internet -> Manage Wireless Networks1 On Windows XP this is called Wireless Zero Config, on Windows 7 it is WLAN AutoConfig2 Starting Microsoft’s supplicant will automatically stop any other supplicants running on the machine.April-2012-1Click AddIn the next screen, select Manually create a network profileApril-2012-1Enter your SSID name, security and encryption typeClick Next to create the profileAt this point, it’s a good idea to review some of the more common options that may also be needed for this supplicant.3Disable Server Certificate ValidationIf you RADIUS server is not using a certificate from a known CA, you might want to temporarily disable the Validate server certificate box. This will prevent the client from validating the server’s certificate – although it will still require a certificate.1.From the list of profiles, right-click the 802.1X profile and Properties3 If you’ve done everything right and followed every step, you can probably skip the rest of this section. Or you could read it anyway – just in case.April-2012-1Click the Security tabClick the Settings buttonThis opens the PEAP configuration dialogueApril-2012-1Unselecting the Validate server certificate option will cause the client to accept any correctly formatted certificate from the server.Security best practices dictate the client should always validate the server certificate. This step is only recommended for troubleshooting certificate problems. Once they are resolved, the client should be configured to validate certificates again.Automatically login with different credentialsThe default behavior for a Microsoft client is to attempt to authenticate with the user credentials that were used to log onto the machine itself. If you want to use a different set of credentials you can disable this behavior. If you do this you will be presented with a pop-up dialogue box asking for the user name and password.April-2012-1Single sign onIt’s often useful to allow domain computers to authenticate to the wireless before a user logs on. This allows domain users to log onto the wireless from any domain machine, regardless of whether the user has ever used the machine before (i.e. has cached credentials).1.From the wireless network properties window, click the Advanced settingsbuttonThe following dialogue box offers the ability to specify several behaviors: Authentication mode – determines what entities can login to the wireless: users, machines, or user and machineApril-2012-1Enable single sign on – allows the machine to log onto the wireless network when a user is not logged on, this allows users with non-cached credentials to login to the wireless at the same time that they log onto the machineEAP-TLS ConfigurationIf you are using EAP-TLS, the configuration is very similar to PEAP with the following exceptions:1. A client certificate (user or machine) must be loaded on the machine orinstalled as part of auto-enrollment prior to the first connectionDuring the wireless network setup, go to the Security tab and select Microsoft: Smart Card or other certificate as the authentication methodApril-2012-1After choosing the authentication method, select Settings and make sure the checkbox next to Use a certificate on this computer is selectedThese are the only changes required to configure a client for EAP-TLS instead of PEAP.April-2012-1Configuring a Mac OS SupplicantIn this example, we will use an Apple Mac OS 10.7 (Lion) client using Apple’s built-in supplicant. This process is very similar for other versions of Mac OS when you use the built-in supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.Install any certificates, if required2.From the Settings application, go to Network and select Wi-Fi from the list ofnetwork interfaces on the left3.Click the Advanced button4.Click the plus (+) sign under Preferred Networks to define a new networkApril-2012-15.In the network profile dialogue, make sure the correct SSID, security type andcredentials are entered46.Click OK7.Click OK in the next dialogue box to save your changes8.The new SSID should appear in the dropdown box of Network Names9.Select the new SSID and connect. Enter your credentials if promptedEAP-TLS ConfigurationIf you are using EAP-TLS instead of PEAP there is no change to the configuration. Simply make sure the client certificate is installed in the Keychain Access before connecting. If prompted, select the correct certificate from the TLS Certificate dropdown menu.4 User credentials are not required, however if not entered here you will be prompted for your credentials when you connectApril-2012-1Appendix A–Fur ther Reading802.1XAn Introduction to 802.1X for Wireless Local Area Networks/media/pdf_autogen/802_1X_for_Wireless_LAN.pdfDigital Certificates and Certificate AuthoritiesMicrosoft – Understanding Digital Certificates and Public Key Cryptography /en-us/library/bb123848(v=exchg.65).aspx Installing a Certificate Server with Microsoft Windows Server 2008Application note available from Ruckus WirelessMicrosoft Network Policy ServerNetwork Policy and Access Services/en-us/library/cc754521(WS.10).aspxApril-2012-1Introduction & Key Concepts dffdfdApril-2012-1。
802.1x协议认证过程
802.1X协议的认证过程具体认证过程如下:1.认证客户端启动后每隔2分钟会向整个网络发起一次Start认证请求报文,认证请求报文的源地址是客户端的MAC地址,目的地址是组播地址(01-80-c2-00-00-03),认证开始时认证客户端发起认证开始包(EAPOL Start报文)。
2.当认证交换机收到Start认证开始包后,将向入网认证客户端发出一个认证请求包(EAP Request/Identify报文)。
报文的源地址是交换机的MAC地址,目的地址是组播地址(01-80-c2-00-00-03)。
如果网络中没有认证交换机或没有开启认证,则认证客户端不会收到认证请求包(EAP Request/Identify报文)。
3.客户端程序响应交换机发出的请求,将用户名信息通过认证回应包(EAP Response/Identity报文)送给交换机。
报文的源地址是客户端MAC地址,目的地址是组播地址(01-80-c2-00-00-03)。
4.交换机将认证客户端发过来的普通Response报文经过封装后,转换为普通的数据包(RADIUS Access-Request报文)发送给RADIUS服务器进行处理。
报文的源地址是交换机的地址,目的地址是RADIUS服务器的地址。
5.RADIUS服务器收到交换机发过来的普通Access-Request报文后,用MD5对用户信息进行加密处理并通过RADIUS Access-Challenge报文传送给交换机。
报文的源地址是RADIUS服务器的地址,目的地址是交换机的地址。
6.交换机将RADIUS服务器发过来的Access-Chanllenge报文转换为MD5 Request报文发给入网认证客户端。
报文的源地址是交换机的MAC地址,目的地址是组播地址(01-80-c2-00-00-03)。
7.入网认证客户端收到由交换机传来的加密信息(EAP Request/MD5 Challenge报文)后,用该加密信息进行回应(EAP Response/MD5 Challenge报文)。
802.1x详解及配置共41页文档
03-802.1x配置目录1 802.1X配置1.1 802.1X简介1.1.1 802.1X的体系结构1.1.2 802.1X的认证方式1.1.3 802.1X的基本概念1.1.4 EAPOL消息的封装1.1.5 EAP属性的封装1.1.6 802.1X的认证触发方式1.1.7 802.1X的认证过程1.1.8 802.1X的接入控制方式1.1.9 802.1X的定时器1.1.10 和802.1X配合使用的特性1.2 802.1X配置任务简介1.3 802.1X基本配置1.3.1 配置准备1.3.2 配置全局802.1X1.3.3 配置端口的802.1X1.4 开启在线用户握手功能1.5 配置代理检测功能1.6 开启组播触发功能1.7 配置端口的强制认证域1.8 配置静默定时器功能1.9 配置重认证功能1.10 配置Guest VLAN1.10.1 配置准备1.10.2 配置Guest VLAN1.11 配置Auth-Fail VLAN1.11.1 配置准备1.11.2 配置Auth-Fail VLAN1.12 802.1X显示和维护1.13 802.1X典型配置举例(WX系列无线控制产品适用)1.14 下发ACL典型配置举例(WX系列无线控制产品适用)l 本手册中标有“请以设备实际情况为准”的特性描述,表示WX系列无线控制产品的各型号对于此特性的支持情况不同,具体差异请参见“特性差异化列表”的“特性支持情况”章节。
l 无线控制产品支持的接口类型和编号与设备的实际情况相关,实际使用中请根据具体设备的接口类型和编号进行配置。
1802.1X配置1.1 802.1X简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。
后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于端口的网络接入控制协议(port based network access control protocol)。
802.1X用户手册-配置指导
第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议,起源于802.11协议--标准的无线局域网协议。
IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题,但其在IEEE 802 LAN所定义的有线局域网中的应用,为LAN提供了接入认证的手段。
在IEEE 802 LAN所定义的局域网中,只要用户接入局域网控制设备,如LanSwitch,用户就可以访问局域网中的设备或资源。
但是对于如电信接入、写字楼LAN 以及移动办公等应用,设备提供者希望能对用户的接入进行控制,为此产生了基于端口的网络接入控制(Port Based network access control)需求。
基于端口的网络接入控制(Port Based network access control)是在 LAN设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LAN设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问LAN内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
IEEE 802.1x定义了基于端口的网络接入控制协议,而且仅定义了接入设备与接入端口间点到点的连接方式。
其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station(基于物理端口);IEEE 802.11定义的无线LAN 接入(基于逻辑端口)等。
Quidway S3526在802.1X的实现中,不仅支持协议所规定的端口接入认证方式,还对其进行了优化,接入控制方式可以基于端口,也可以基于MAC地址,极大地提高了安全性和可管理性。
1.1.2 802.1X体系结构802.1X系统包括三个实体:客户端、认证系统、认证服务器,图1中与之相应的各部分为: Supplicant System(用户接入);Authenticator System(接入认证);Authentication Sever System(认证服务器)。
802.1x认证的配置
802.1x认证的配置一组网需求:1.在交换机上启动802.1x认证,对PC1、PC2进行本地认证上网;2.远程RADIUS服务器开启802.1x认证,对PC1、PC2认证上网。
二组网图:1.进行本地认证2.服务器认证三配置步骤:1作本地认证时交换机相关配置1.创建(进入)VLAN10[H3C]vlan 102.将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13.创建(进入)VLAN20[H3C]vlan 204.将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25.分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26.全局使能802.1X认证功能(缺省情况下,802.1X功能处于关闭状态)[H3C]dot1x7.添加本地802.1X用户,用户名为“dot1x”,密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8.补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式,缺省是接入控制方式为macbased。
两种方法的区别是:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
例如,修改端口E1/0/1的接入控制方式为portbased方式:[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者:[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1.创建(进入)VLAN10[SwitchA]vlan 102.将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13.创建(进入)VLAN20[SwitchA]vlan 204.将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25.创建(进入)VLAN100[SwitchA]vlan 1006.将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17.创建(进入)VLAN接口100,并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8.创建一个名为“cams”的RADIUS方案,并进入其视图[SwitchA]radius scheme cams9.配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310.配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11.配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12.创建用户域“huawei”,并进入其视图[SwitchA]domain huawei13.指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14.指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15.分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216.全局使能dot1x认证功能(缺省情况下,dot1x功能处于关闭状态)[SwitchA]dot1x17.补充说明如果RADIUS服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。
802.1x认证客户端使用说明
802.1X 认证客户端软件安装使用说明一、设置要求对于 Windows 用户,在保证计算机系统没问题的情况下,请在使用 802.1X 认证客户端之前进行如下设置:如下图所示,点击桌面的“开始”菜单,选择“设置”里面的“控制面板”,在“控制面板”窗口里,双击“网络连接”图标。
在打开的窗口中,右键点击“本地连接”图标,在弹出菜单中选择“属性”,打开本地连接“属性”的对话框。
如下图所示,选择“Internet 协议(TCP/IP)”点击“属性”按钮,选择“自动获得IP地址”和“自动获得DNS服务器地址”,点“确定”按钮。
二、客户端安装执行桌面“认证客户端.exe”,启动安装程序,如下图所示:在安装过程中,若出现“Mircrosoft Visual C++2005”则属于正常需求安装,如下图所示:注意:若用户系统装有诺顿、瑞星、360等杀毒软件或者防火墙,在安装本软件过程中,会提示用户是否允许继续安装等提示信息,则用户必须点允许安装,否则安装失败,用户不能正常认证上网。
认证客户端软件安装完成时,则显示如下图所示:可以选择“是”立即重新启动计算机或者“否”稍后重新启动计算机,点击“完成”。
三、连接网络认证双击“INode智能客户端”,如下图所示:选中“1x预设连接”按钮,点击“连接”按钮,如下图所示:然后点击1x预设连接的“属性”,打开属性对话框,若多网卡,则选择上网所用的网卡,点击“确定”,如下图所示:用户名填写的格式如下图说明:注意:技术中心的域为:tech // 公共教学的域为:teach // 宿舍的域为:dorm // 食堂的域为:mess // 机房的域为:jifang // 辅导员的域为:coach1.部门在技术中心楼的人员,用户名:自己的教工号后6位@tech2.部门在公共教学楼的人员,用户名:自己的教工号后6位@teach3.部门在食堂楼的人员,用户名:自己的教工号后6位@mess4.辅导员的用户名:自己的教工号后6位@coach5.宿舍学生的用户名:学生号@dorm举例:若部门在技术中心楼里的人员,教工号是test,则技术中心规定的域为tech,如下图所示:点击“连接”按钮,则显示连接认证信息的内容,显示连接成功,如下图所示:四、密码修改选中“1x预设按钮”,点击“操作”,选择“在线修改密码”,如下图所示:按提示输入密码信息,然后点击“确定”,显示用户密码修改成功,则如下图所示:五、断开网络认证选中“1x预设连接”,点击“断开”按钮,如上图所示,认证信息显示连接已经断开。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6
(Chap-Response/MD5 Challenge)
Radius-access--Request Radius-access--Accept
(Chap-Success)
8
7
802.1X---22
802.1x EAP终结认证图示
3. 结合 结合Radius认证 认证
EAP透传方式: 透传方式: 透传方式
2. System间信息交换 间信息交换
.Authenticator与 Authentication Server 间通过EAP帧
交换信息
.Supplicant 与 Authenticator 间则以IEEE 802.1x 所
定义的EAPoL帧交换信息。
.EAP 帧中封装了认证数据,该认证数据将被封装
缺点:
需要特定的客户端软件
802.1X---19
三、802.1x 在博达交换机上 的认证方式
802.1X---20
1. 本地数据库认证
客户端
1 2 3 4 5 6
博达交换机 EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success
配置802.1x的AAA认证方式 的 配置 认证方式
dot1x max-req count
配置身份认证请求的最大次数
802.1X---27
802.1x的配置任务 的配置任务
dot1x user-permit xxxx
配置端口下绑定的用户
dot1x authentication method yyy
802.1X---12
4. 受控端口状态变化
设备端1 受控端口 非受控端口 设备端2 受控端口 非受控端口
非授权
授权
LAN/WLAN
LAN/WLAN
802.1X---13
5. 端口控制方式
小区中心
…
楼栋
…
楼单元
user user user user
…
…
user
user
user
基于物理端口
基于用户设备MAC 基于用户设备
在其它AAA 上层协议(如RADIUS)的报文中以穿越 复杂的网络到达Authentication Server,这一过程被称 为EAP Relay。
802.1X---10
3. 端口类型
设备端 受控端口 非受控端口
授权/非授权
LAN/WLAN
.设备的每个端口同时有受控和非受控两个通道。
802.1X---11
Radius-access--Challenge
5
6
(EAP-Request/MD5 Challenge)
7
EAP-Response/MD5 Challenge 8 EAP-Success
9
Radius-access--Request
(EAP-Response/MD5 Challenge)
10
Radius-access--Accept
(EAP-Success)
802.1X---23
802.1x EAP透传认证图示
四、802.1x 的配置
802.1X---24
802.1x的配置任务 的配置任务
dot1x enable
使能802.1x功能 功能 使能
dot1x multiple-hosts
配置802.1x多主机端口认证 多主机端口认证 配置
802.1X---15
8. EAP帧结构 帧结构
EAP报文的格式 :
802.1X---16
9. EAPOL帧结构 帧结构
EAPOL报文的格式 :
802.1X---17
8. 802.1x 的认证过程
802.1X---18
10. 802.1x 的特点
优点:
建网成本低:是二层协议,对设备要求不高。 通过组播实现,解决其他认证协议广播问题。 采用业务和认证流分离。 IEEE 标准化。
配置802.1x端口下的认证方式 端口下的认证方式 配置
802.1X---28
802.1x的配置任务 的配置任务
dot1x authentication type {chap|eap}
配置802.1x认证类型 认证类型 配置
dot1x default
将所有的全局配置恢复到默认配置
802.1X---29
起始页面
课程内容
802.1x简介 简介 802.1x认证的基本原理和过程 认证的基本原理和过程 802.1x在博达交换机上的认证方式 在博达交换机上的认证方式 802.1x的配置 的配置 802.1x的认证实例 的认证实例
802.1X---2
一、802.1x 简介
802.1X---3
1. 802.1x 起源
802.1X---21
2. 结合 结合Radius认证 续) 认证(续 认证
EAP终结方式: 终结方式: 终结方式
客户端
1 2 3 4 5
博达交换机
Radius Server
EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success
802.1X---8
1. 802.1x 的体系结构
802.1x协议包括Supplicant System客户端(PC/网络设备)、Authenticator System认证系统、Authentication Server System认证服务器三部分,它们之间 的关系如上图所示
802.1X---9
受控端口和非受控制端口
设备端为客户端提供接入局域网的端口,这个端口被划 分为两个虚端口:受控端口和非受控端口。非受控端口 始终处于双向连通状态,用于传递认证报文。受控端口 在授权状态下处于连通状态,用于传递业务报文;受控 端口在非授权状态下处于断开状态,禁止传递任何报文。 受控端口和非受控端口是同一端口的两个部分;任何到 达该端口的帧,在受控端口与非受控端口上均可见。
802.1X---32
认证过程图
802.1X---33
实验二: 实验二:EAP终结方式 终结方式
Radius Server 博达交换机S3224 博达交换机 客户端
! username bdcom password 0 bdcom //定义用户名和密码 定义用户名和密码 aaa authentication dot1x test radius //定义 定义802.1x的aaa认证方式采用 的 认证方式采用Radius认证 认证 定义 认证方式采用 interface FastEthernet0/2 dot1x authentication type chap //认证类型是 认证类型是chap 认证类型是 dot1x authentication method test //认证方式使用自定义的 认证方式使用自定义的Radius认证 认证方式使用自定义的 认证 dot1x port-control auto //启动 启动802.1X认证方式,默认状态是关闭的 认证方式, 启动 认证方式 radius server 192.168.0.211 auth-port 1812 acct-port 1813 //指定 指定Radius服务器的 地址,以及为认证请求 服务器的IP地址 目的端口和为记录请求UDP目的端口 指定 服务器的 地址,以及为认证请求UDP目的端口和为记录请求 目的端口和为记录请求 目的端口 radius key 12345 //对交换机和 对交换机和Radius服务器之间通信信道进行加密 对交换机和 服务器之间通信信道进行加密 !
! dot1x enable //启动 启动802.1X 启动 username bdcom password 0 bdcom //定义用户名和密码 定义用户名和密码 aaa authentication dot1x test local //定义 定义802.1x的aaa认证方式采用本地数据库认证 的 认证方式采用本地数据库认证 定义 interface FastEthernet0/1 dot1x authentication type eap //认证类型是 认证类型是eap 认证类型是 dot1x authentication method test //认证方法使用自定义的本地数据库认证 认证方法使用自定义的本地数据库认证 dot1x multiple-hosts //启用多主机端口访问 启用多主机端口访问 dot1x port-control auto //启动 启动802.1X认证方式,默认状态是关闭的 认证方式, 启动 认证方式 dot1x user-permit bdcom //启用端口和用户的绑定 启用端口和用户的绑定 !
802.1X---25
802.1x的配置任务 的配置任务
dot1x port-control {auto|forceauthorized|force-unauthorized}
配置端口控制方式
802.1X---26
802.1x的配置任务 的配置任务
aaa authentication dot1x method
802.1x,基于端口的网络访问控制,起源 于EAPOW和802.11协议。
802.1X---4
2. 802.1x 作用
802.1x是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Control)而定义 的一个标准,主要目的是为了解决无线局域网用 户的接入认证问题 。 加强了传统园区网安全特性,适用于以太网接入 运营网的安全认证,廉价且易实现。