迈普路由器 第22章 802.1x配置

第22章802.1X配置

本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。

章节主要内容：

●802.1X介绍

●802.1X配置

●802.1X应用举例

●监控与维护

22.1802.1X介绍

22.1.1802.1X简介

802.1X是IEEE在2001年6月提出的宽带接入认证方案，它定义了基于物理端口的网络接入控制协议（Port-Based Network Access Control）。802.1X利用IEEE 802架构局域网的物理访问特性，提供了一套对以点对点方式（point-to-point）连接到局域网端口（Port）上的设备进行认证、授权的方法。

802.1X具有如下特点：

1.方案简洁。80

2.1X 仅仅关注端口的打开与关闭。对于合法用户（根据帐号和密码）接入时该端

口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，是各种认证技术中最简化的实现方案。

2.802.1X所使用的EAP协议只定义了认证消息的通信方式（the means of communication

authentication information），而没有定义具体的认证机制（authentication mechanism）。因此可以灵活地选择认证机制，(包括：Smart Card、Kerberos、Public Key Encryption、One Time Password等)。

3.IEEE 802.1X协议为二层协议，不需要到达三层。也就是说，客户端系统在认证中，不需IP地

址。认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址，使用发送者的MAC 地址作为源MAC地址。

4.采用纯以太网技术，通过认证之后的数据包不存在封装与解封装的问题，因而效率高，消除了

网络瓶颈。

5.用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很

灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。同

时，计费方式可以灵活选择，支持根据用户时长的计费方式。

6.802.1X实现了分散的访问控制（由靠近用户并支持802.1X协议的以太网交换机实现）与集中的

认证管理（支持RADIUS和TACACS+服务器），因此整个认证结构比较协调。

22.1.2对标准802.1X的扩展

迈普系列交换机不仅支持标准802.1X协议还对其进行了扩展和优化以适应各种不同的应用需求。

1.支持在一个端口下接入多个用户。标准80

2.1X协议是基于端口实现的，即只要该端口下某一个

用户认证成功后，其他用户无需认证就可以使用网络资源，但是当该用户下线后，其他用户也会被拒绝使用网络。迈普系列交换机支持基于用户的认证（基于MAC地址），当端口配置为基于用户的认证时，该端口下的每个用户都需要单独认证，只有认证成功的用户才能使用网络资源，某个用户下线后，也只有该用户无法使用网络，并不影响其他已认证用户的网络的使用。

2.支持EAP终结。标准802.1X协议规定客户端和认证服务器之间通过EAP报文进行交互，设备

在此交互中充当着“EAP中继”的角色，设备将客户端发送来的EAP数据封装在其他协议中，例如Radius协议，然后发送给认证服务器，同样地，设备也将认证服务器发送过来的EAP数据封装在EAPOL报文中转发给客户端，这种交互方式我们称之为EAP中继。EAP中继要求认证服务器支持EAP协议，否则认证服务器将无法与客户端使用EAP进行交互。考虑到实际应用环境中，部署较早的认证服务器可能并不支持EAP协议，迈普系列交换机对此进行扩展，支持EAP终结方式，客户端的EAP数据不会被直接发送到认证服务器，而是由设备完成与客户端的EAP交互，设备从中提取用户的认证信息然后发送到认证服务器进行认证。

22.1.3Auto Vlan

802.1X用户在服务器上通过认证时，服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能，则授权信息中含有授权下发的VLAN信息，设备会将端口加入到下发VLAN 中。我们称这个下发的VLAN为Auto VLAN。

（1）如果RADIUS server授权信息中没有下发VLAN信息，那么认证成功之后，端口的VLAN属性保持不变。

（2）如果RADIUS server授权信息中含有下发VLAN信息，那么认证成功之后，判断这个下发的Auto VLAN是否存在，如果存在的话，将端口以untag方式加入到这个Auto VLAN，并且端口的缺省VID为Auto VLAN的VID；如果Auto VLAN不存在的话，这个端口的VLAN属性保持不变，认证失败。

（3）用户下线之后，端口恢复为“未认证”状态，端口从这个Auto VLAN中删除，端口的缺省VID也恢复为原来配置的VID。

授权下发的Auto VLAN并不改变端口的配置，也不影响端口的配置。但是，授权下发的Auto VLAN 的优先级高于用户配置的VLAN（即Config VLAN），即通过认证后起作用的VLAN是授权下发的Auto VLAN，用户配置的Config VLAN在用户下线后生效。

VLAN下发特性所关联的三个Radius属性为：

– [64] Tunnel-Type = VLAN

– [65] Tunnel-Medium-Type = 802

– [81] Tunnel-Private-Group-ID = VLAN ID

注：

1、auto vlan不能应用到动态vlan上，比如auto vlan所指定的vlan id是由gvrp自动创建的vlan，那802.1x用户将会认证失败。

2、为保证各种功能可以正常使用，请为voice vlan、private vlan以及802.1X的auto vlan等分配不同的vlan id。

22.1.4Guest Vlan

Guest VLAN功能用来允许未认证用户访问某些特定资源。用户认证端口在通过802.1X认证之前属于一个缺省VLAN（即Guest VLAN），用户访问该VLAN内的资源不需要认证，但此时不能够访问其他网络资源；认证成功后，端口离开Guest VLAN，用户可以访问其他的网络资源。

用户在Guest VLAN 中可以获取802.1X客户端软件，升级客户端，或执行其他一些应用升级程序（例如防病毒软件、操作系统补丁程序等）。端口上配置Guest Vlan成功后，设备会把该端口加入到Guest VLAN。

开启802.1X特性并正确配置Guest VLAN后，该端口将以untagged方式加入到Guest VLAN内。此时Guest VLAN中端口下的用户发起认证，如果认证失败，该端口将会仍然处在Guest VLAN内；如果认证成功，分为以下两种情况：

（1）如果认证服务器下发一个VLAN，这时端口离开Guest VLAN，加入下发的VLAN中。用户下线后，端口会回到Guest VLAN 中。

（2）如果认证服务器不下发VLAN，这时端口离开Guest VLAN，加入Config VLAN 中。用户下线后，端口加入到Guest VLAN 中。