配置 802.1X
本章节描述基于 AAA 服务配置的相关内容。802.1x用于控制用户对网络访问的认证,并对其提供授权与记帐功能。
本节包含如下内容:
z 概述
z 配置 802.1x
z 查看 802.1x 的配置及当前的统计值
z 配置 802.1x 其它注意事项
本节包含如下内容:
z 概述
z 配置 802.1x
z 查看 802.1x 的配置及当前的统计值
z 配置 802.1x 其它注意事项
概述
IEEE 802 LAN 中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局
域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的基础上,提供用户对网络或设备访问合法性认证,已经成为业界关注的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为 LAN 提供点对点式的安全接入。这是 IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用 IEEE 802 LAN 优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。
IEEE 802.1x 标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。 在客户端通过认证之前,只有 EAPOL 报文(Extensible Authentication Protocol over LAN)可以在网络上通行。在认证成功之后,正常的数据流便可在网络上通行。
应用 802.1x 我司的设备提供了 Authentication,Authorization,and Accounting三种安全功能,简称 AAA。
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为 LAN 提供点对点式的安全接入。这是 IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用 IEEE 802 LAN 优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。
IEEE 802.1x 标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。 在客户端通过认证之前,只有 EAPOL 报文(Extensible Authentication Protocol over LAN)可以在网络上通行。在认证成功之后,正常的数据流便可在网络上通行。
应用 802.1x 我司的设备提供了 Authentication,Authorization,and Accounting三种安全功能,简称 AAA。
z Authentication: 认证,用于判定用户是否可以获得访问权,限制非法用户
z Authorization: 授权,授权用户可以使用哪些服务,控制合法用户的权限
z Authorization: 授权,授权用户可以使用哪些服务,控制合法用户的权限
z Accounting: 计账,记录用户使用网络资源的情况,为收费提供依据
我们将从以下几个方面阐述 802.1x
z 设备的角
z 认证的发起及认证过程中的报文交互
z 已认证用户及未认证用户的状态
z 典型应用的拓扑结构
我们将从以下几个方面阐述 802.1x
z 设备的角
z 认证的发起及认证过程中的报文交互
z 已认证用户及未认证用户的状态
z 典型应用的拓扑结构
设备的角
IEEE802.1x 标准认证体系由恳请者、认证者、认证服务器三个角构成,在实际
应用中,三者分别对应为:工作站(Client) 、设备(network access server,NAS)、
Radius-Server。
IEEE802.1x 标准认证体系由恳请者、认证者、认证服务器三个角构成,在实际
应用中,三者分别对应为:工作站(Client) 、设备(network access server,NAS)、
Radius-Server。
z 恳请者
恳请者是最终用户所扮演的角,一般是个人 PC。它请求对网络服务的访问,并对认证者的请求报文进行应答。恳请者必须运行符合 IEEE 802.1x 客户端标准的软件,目前最典型的就是 WindowsXP 操作系统自带的EE802.1x 客户端支持,另外,我司也已推出符合该客户端标准的 STAR Supplicant 软件。
z 认证者
认证者一般为交换机等接入设备。该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间,该设备扮演着中介者的角:从客户端要求用户名,
恳请者是最终用户所扮演的角,一般是个人 PC。它请求对网络服务的访问,并对认证者的请求报文进行应答。恳请者必须运行符合 IEEE 802.1x 客户端标准的软件,目前最典型的就是 WindowsXP 操作系统自带的EE802.1x 客户端支持,另外,我司也已推出符合该客户端标准的 STAR Supplicant 软件。
z 认证者
认证者一般为交换机等接入设备。该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间,该设备扮演着中介者的角:从客户端要求用户名,
核实从服务器端的认证信息,并且转发给客户端。因此,设备除了扮演 IEEE802.1x 的认证者的角,还扮演 RADIUS Client 角,因此我们把设备称作 network access server(NAS),它要负责把从客户端收到的回应封装到RADIUS 格式的报文并转发给RADIUS Server,同时它要把从RADIUS Server 收到的信息解释出来并转发给客户端。 扮演认证者角的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。我们把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与设备的正常通讯。
z 认证服务器
认证服务器通常为 RADIUS 服务器,认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。锐捷网络科技公司实现 802.1x 的设备完全兼容标准的Radius Server,如MicroSoft win2000 Server 自带的Radius Server 及Linux 下的 Free Radius Server。
z 认证服务器
认证服务器通常为 RADIUS 服务器,认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。锐捷网络科技公司实现 802.1x 的设备完全兼容标准的Radius Server,如MicroSoft win2000 Server 自带的Radius Server 及Linux 下的 Free Radius Server。
认证的发起及认证过程中的报文交互
恳请者和认证者之间通过 EAPOL 协议交换信息,而认证者和认证服务器通过RADIUS 协议交换信息,通过这种转换完成认证过程。EAPOL 协议封装于 MAC 层之上,类型号为 0x888E。同时,标准为该协议申请了一个组播 MAC 地址01-80-C2-00-00-03,用于初始认证过程中的报文传递。 下图是一次典型的认证过程中,三个角设备的报文交互过程
恳请者和认证者之间通过 EAPOL 协议交换信息,而认证者和认证服务器通过RADIUS 协议交换信息,通过这种转换完成认证过程。EAPOL 协议封装于 MAC 层之上,类型号为 0x888E。同时,标准为该协议申请了一个组播 MAC 地址01-80-C2-00-00-03,用于初始认证过程中的报文传递。 下图是一次典型的认证过程中,三个角设备的报文交互过程
该过程是一个典型的由用户发起的认证过程(在一些特殊的情形下,设备也可能主动发出认证请求,过程与该图一致,只是少了用户主动发出请求这一步)。
已认证用户及未认证用户的状态
802.1x 中根据端口的认证状态来决定该端口上的用户是否允许访问网络,由于我们对 802.1X 进行扩展,是基于用户的,所以,我们是根据一个端口下的用户的认证状态来决定该用户是否允许访问网络资源。一个非受控端口下的所有用户均可使用网络资源,而一个受控端口下的用户只有处于已认证状态(Authorized)才能访问网络资源。一个用户刚发起认证时,状态处于未认证状态(unauthorized) ,这时它不能访问网络,在认证通过后,该用户的状态会变为已认证状态(authorized),此时该用户便可以使用网络资源。
如果工作站不支持 802.1x,而该机器连接在受控端口下,当设备请求该用户的用户名时,由于工作站不支持导致没对该请求做出响应。这就意味着该用户仍然处于未认证状态(unauthorized),不能访问网络资源。
相反地,如果工作站支持 802.1x,而所连的设备不支持 802.1x。用户发出的EAPOL-STAR
802.1x 中根据端口的认证状态来决定该端口上的用户是否允许访问网络,由于我们对 802.1X 进行扩展,是基于用户的,所以,我们是根据一个端口下的用户的认证状态来决定该用户是否允许访问网络资源。一个非受控端口下的所有用户均可使用网络资源,而一个受控端口下的用户只有处于已认证状态(Authorized)才能访问网络资源。一个用户刚发起认证时,状态处于未认证状态(unauthorized) ,这时它不能访问网络,在认证通过后,该用户的状态会变为已认证状态(authorized),此时该用户便可以使用网络资源。
如果工作站不支持 802.1x,而该机器连接在受控端口下,当设备请求该用户的用户名时,由于工作站不支持导致没对该请求做出响应。这就意味着该用户仍然处于未认证状态(unauthorized),不能访问网络资源。
相反地,如果工作站支持 802.1x,而所连的设备不支持 802.1x。用户发出的EAPOL-STAR
T 帧无人响应,用户在发送一定数目的 EAPOL-START 帧仍未收到回应的情形下,将认为自己所连的端口是非受控端口,而直接使用网络资源。
在支持 802.1x 的设备下,所有端口的默认设置是非受控端口,我们可以把一个端口设置成受控端口,从而要求这个端口下的所有用户都要进行认证。
在支持 802.1x 的设备下,所有端口的默认设置是非受控端口,我们可以把一个端口设置成受控端口,从而要求这个端口下的所有用户都要进行认证。
当用户通过了认证(设备收到了从 RADIUS Server 服务器发来的成功报文),该用户便转变成已认证状态(authorized),该用户可以自由使用网络资源。如果用户认证失败以至仍然处于未认证状态,可以重新发起认证。如果设备与 RADIUS server 之间的通讯有故障,那么该用户仍然处于未认证状态(unauthorized),网络对该用户来说仍然是不可使用的。
当用户发出 EAPOL-LOGOFF 报文后,该用户的状态由已认证(authorized)转向未认证状态(unauthorized)。
当设备的某个端口变为 LINK-DOWN 状态,该端口上的所有用户均变为未认证(unauthorized)状态。
当设备重新启动,该设备上的所有用户均变为未认证状态(unauthorized)。 如果您要强制一个用户通过认证,可以通过添加静态 MAC 地址来实现。
当用户发出 EAPOL-LOGOFF 报文后,该用户的状态由已认证(authorized)转向未认证状态(unauthorized)。
当设备的某个端口变为 LINK-DOWN 状态,该端口上的所有用户均变为未认证(unauthorized)状态。
当设备重新启动,该设备上的所有用户均变为未认证状态(unauthorized)。 如果您要强制一个用户通过认证,可以通过添加静态 MAC 地址来实现。
典型应用的拓扑结构
A、带 802.1x 的设备作为接入层设备
A、带 802.1x 的设备作为接入层设备
该方案的说明:
z 该方案的要求:
z 该方案的要求:
1. 用户支持 802.1x,即要装有 802.1x 的客户端软件(windowXp 自带,
Star-supplicant 或其他符合 IEEE802.1x 标准的客户端软件)。
2. 接入层设备支持 IEEE 802.1x
3. 有一台(或多台)支持标准 RADIUS 的服务器作为认证服务器
z 该方案的配置要点:
1. 与 Radius Server 相连的口及上联口,配置成非受控口,以便设备能正
常地与服务器进行通讯,以及使已认证用户能通过上联口访问网络资源
2. 与用户连接的端口要设置为受控口,以实现对接入用户的控制,用户必须
通过认证才能访问网络资源。
radius软件z 该方案的特点:
1. 每台支持 802.1x 的设备所负责的客户端少,认证速度快。各台设备之间
相互独立,设备的重启等操作不会影响到其它设备所连接的用户。
2. 用户的管理集中于 Radius Server 上,管理员不必考虑用户连接在哪台
设备上,便于管理员的管理
3. 管理员可以通过网络管理接入层的设备
B、带 802.1x 的设备作为汇接层设备
Star-supplicant 或其他符合 IEEE802.1x 标准的客户端软件)。
2. 接入层设备支持 IEEE 802.1x
3. 有一台(或多台)支持标准 RADIUS 的服务器作为认证服务器
z 该方案的配置要点:
1. 与 Radius Server 相连的口及上联口,配置成非受控口,以便设备能正
常地与服务器进行通讯,以及使已认证用户能通过上联口访问网络资源
2. 与用户连接的端口要设置为受控口,以实现对接入用户的控制,用户必须
通过认证才能访问网络资源。
radius软件z 该方案的特点:
1. 每台支持 802.1x 的设备所负责的客户端少,认证速度快。各台设备之间
相互独立,设备的重启等操作不会影响到其它设备所连接的用户。
2. 用户的管理集中于 Radius Server 上,管理员不必考虑用户连接在哪台
设备上,便于管理员的管理
3. 管理员可以通过网络管理接入层的设备
B、带 802.1x 的设备作为汇接层设备
该方案的说明:
z 该方案的要求:
1. 用户支持 802.1x,即要装有 802.1x 的客户端软件(windowXp 自带,
z 该方案的要求:
1. 用户支持 802.1x,即要装有 802.1x 的客户端软件(windowXp 自带,
Star-supplicant 或其他符合 IEEE802.1x 标准的客户端软件)。
2. 接入层设备支持要能透传 IEEE 802.1x 帧(EAPOL)
3. 汇接层设备支持 802.1x(扮演认证者角)
4. 有一台(或多台)支持标准 RADIUS 的服务器作为认证服务器
z 该方案的配置要点:
1. 与 Radius Server 相连的口及上联口,配置成非受控口,以便设备能正
常地与服务器进行通讯,以及使已认证用户能通过上联口访问网络资源
2. 与接入层设备连接的端口要设置为受控口,以实现对接入用户的控制,用
户必须通过认证才能访问网络资源。
z 该方案的特点:
1. 由于是汇接层设备,网络规模大,下接用户数多,对设备的要求高,若该
层设备发生故障,将导致大量用户不能正常访问网络。
2. 用户的管理集中于 Radius Server 上,管理员无需考虑用户连接在哪台
设备上,便于管理员的管理
3. 接入层设备可以使用较廉价的非网管型设备(只要支持 EAPOL 帧透传)
4. 管理员不能通过网络直接管理接入层设备
2. 接入层设备支持要能透传 IEEE 802.1x 帧(EAPOL)
3. 汇接层设备支持 802.1x(扮演认证者角)
4. 有一台(或多台)支持标准 RADIUS 的服务器作为认证服务器
z 该方案的配置要点:
1. 与 Radius Server 相连的口及上联口,配置成非受控口,以便设备能正
常地与服务器进行通讯,以及使已认证用户能通过上联口访问网络资源
2. 与接入层设备连接的端口要设置为受控口,以实现对接入用户的控制,用
户必须通过认证才能访问网络资源。
z 该方案的特点:
1. 由于是汇接层设备,网络规模大,下接用户数多,对设备的要求高,若该
层设备发生故障,将导致大量用户不能正常访问网络。
2. 用户的管理集中于 Radius Server 上,管理员无需考虑用户连接在哪台
设备上,便于管理员的管理
3. 接入层设备可以使用较廉价的非网管型设备(只要支持 EAPOL 帧透传)
4. 管理员不能通过网络直接管理接入层设备
配置802.1X
我们将通过以下章节说明如何配置 802.1x
z 802.1x 的默认配置
z 802.1x 的配置注意事项
z 配置设备与 RADIUS SERVER 之间的通讯
z 设置 802.1X 认证的开关
z 打开/关闭一个端口的认证
z 打开定时重认证
z 打开/关闭 过滤非我司 supplicant 功能的开关
z 改变 QUIET 时间
z 设置报文重传间隔
z 设置最大请求次数
z 设置最大重认证次数
z 设置 Server-timeout
我们将通过以下章节说明如何配置 802.1x
z 802.1x 的默认配置
z 802.1x 的配置注意事项
z 配置设备与 RADIUS SERVER 之间的通讯
z 设置 802.1X 认证的开关
z 打开/关闭一个端口的认证
z 打开定时重认证
z 打开/关闭 过滤非我司 supplicant 功能的开关
z 改变 QUIET 时间
z 设置报文重传间隔
z 设置最大请求次数
z 设置最大重认证次数
z 设置 Server-timeout
z 配置设备主动发起 802.1x 认证
z 配置 802.1x 记帐
z 配置 IP 授权模式
z 发布广告信息
z 某端口下的可认证主机列表
z 配置 802.1x 记帐
z 配置 IP 授权模式
z 发布广告信息
z 某端口下的可认证主机列表
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论