实验14 802.1x及AAA配置

S6506交换机实验指导实验14802.1x及AAA目录实验14802.1x及AAA..............................................................................................................214.1实验内容.......................................................................................................................214.2802.1x端口认证...........................................................................................................214.2.1实验目的...............................................................................................................214.2.2实验环境...............................................................................................................214.2.3实验组网图...........................................................................................................314.2.4实验步骤...............................................................................................................3S6506交换机实验指导实验14802.1x及AAA实验14802.1x及AAA14.1实验内容802.1x端口认证14.2802.1x端口认证14.2.1实验目的帮助读者掌握交换机上AAA及Radius配置帮助读者掌握交换机上802.1x认证的配置帮助读者理解802.1x协议验证流程14.2.2实验环境Quidway系列S6506交换机1台，VRP版本为：VRP(R)Software,Version3.10(NA),RELEASE0013SoftwareVersion:V100R001B03D010Pc两台，其中一台必须是装有Win2000服务器版本操作系统和一个标准Radius服务器，我们这里使用的是ShivaAccessManager；标准5类线2根，配置电缆1根；S6506交换机实验指导实验14802.1x及AAA14.2.3实验组网图SW1E2/0/24192.168.10.2/24ServerPC192.168.10.121/24E2/0/1图0-114.2.4实验步骤我们将在这个实验中在交换机Sw1上配置802.1x对Pc对于网络的访问加以控制。在实施具体的配置之前，请按照组网图连接设备并配置Pc和Server的IP地址。C:\PING192.168.10.121Replyfrom192.168.10.121:bytes=32time=9msTTL=128...802.1x系统包括3个部件：用户（pc）、验证者(Sw1)和验证服务器(Server)。802.1x系统验证工作的顺利实施包括pc和Sw1之间的交互和Sw1和Server之间的交互两个过程。我们首先研究第一个过程。为了便于读者理解，我们先不配置Server的Radius功能，即先利用Sw1的本地验证分析Pc和Sw1之间的交互。Sw1上802.1x本地认证的具体配置可以分为如下几个步骤：a.在本地验证用户数据库中添加一个用户，这里添加的用户为pc密码也为pc，服务类型为Lan-access，具体命令为：[S6506]local-userpc[S6506-user-pc]passsimplepc[S6506-user-pc]service-typelan-accessb.启动交换机和端口验证[S6506]dot1x802.1xisenabledgloballyS6506交换机实验指导实验14802.1x及AAA[S6506]inte2/0/24[S6506-Ethernet2/0/24]dot1x802.1xisenabledonportEthernet2/0/24[S6506-Ethernet2/0/24]dot1xport-methodportbased在系统和端口下都启动802.1x认证后，在不经过认证的情况下，端口无法访问internet。C:\PING192.168.10.121Requesttimedout…进行本地验证这时可以通过认证，如果在实际中交换机是连接到因特网上的，那么通过验证后可以接入因特网。C:\PING192.168.10.121Replyfrom192.168.10.121:bytes=32time=9msTTL=128...以上的验证是利用S6506系统默认的domain(domainsystem)进行的认证，domainsystem利用系统默认radiusschemesystem策略。当S6506接收到用户名PC后，发现这个用户名不是user@domainame形式，就会利用默认的domain(@system)进行验证。[S6506]displayconnectIndex=14,Username=pc@systemMAC=00c0-df05-c579,IP=0.0.0.0c.Quidway交换机支持将所有接入用户划分到不同的域中每一个域可以采用统一的验证、计费方案。交换机按照接入用户名的后缀（如peter@huawei.com中的huawei.com）确定用户属于哪一个域，进而决定对该用户的验证计费方案。对于没有后缀域名的用户，交换机缺省认为他们属于一个“全局缺省域”，基于配置，全局缺省域用户的用户名在进行验证前可以加上缺省域的域名。为了简单起见（避免用户在输入时输入域名以及在验证数据库中输入域名），我们这里将这里的接入用户划入一个名为huawei.com的全局缺省域，并且配置不为接入用S6506交换机实验指导实验14802.1x及AAA户加上缺省域名；当然，还必须制定交换机关于这个域的验证、计费方法(即进行本地验证，不记费)。具体的配置命令为：[S6506]radiuschemebyswNewRadiusserver[S6506-radius-bysw]server-typehuawei[S6506-radius-bysw]primaryauthentication127.0.0.1165[S6506-radius-bysw]primaryaccounting127.0.0.11646[S6506-radius-bysw]user-name-formatwithout-domain[S6506-radius-bysw]quit[S6506]domainhuawei.comNewDomainadded.[S6506-isp-huawei.com]radius-schemebysw[S6506]domaindefaultenablehuawei.com本地进行验证计费(127.0.0.1)，但本地不支持计费功能，在验证通过的情况下，即使计费失败，也允许用户接入，利用收到的用户名，查找用户所属的domain，如果你输入的用户名是pc，系统就会查找用户默认的domain，由于我们已经配置了命令：[SW1]domaindefaultenablehuawei.com，系统会用huawei.com这个domain所规定的认证策略进行认证。然后系统根据[SW1-isp-huawei.com]radius-schemebysw查找bysw规定的radius服务器地址。此时bysw规定的地址是127.0.0.1，所以在本地查找用户pc，前面我们已经配置了这个用户（[SW1]local-userpc，并且密码相符，所以验证通过。如果此时用户输入的用户名是pc@huawei.com系统会直接查找domaind.为了验证802.1x的认证效果，请在交换机上配置一个三层接口，这里的配置为：[S6506-Vlan-interface1]ipaddress192.168.10.1255.255.255.0如果Pc是WindowsXP操作系统，则自带802.1x认证客户端。否则，可以使用华为提供的802.1x软件客户端。现在请运行这个客户端，并输入用户名pc和密码pc，现在您可以尝试从Pc上PingS6506的三层接口地址：192.168.10.1来检查是否可以获得对于网络的访问权限。如果一切配置正确，应该是可以访问的。可以用命令displaydot1xinterfaceEthernet2/0/24查看当前端口E2/0/24的dot1x配置运行情况：[S6506-Vlan-interface1]displaydot1xinterfaceEthernet2/0/24Equipment802.1XprotocolisenabledCHAPauthenticationisenabledDHCP-launchisdisabledProxytrapcheckerisdisabledProxylogoffcheckerisdisabledS6506交换机实验指导实验14802.1x及AAAConfigure:TransmitPeriod000030s,CommitPeriod000015sQuietPeriod000060s,ValueofQuietPeriodTimerisenabledSuppTimeout000030s,ValueofServerTimeout000100sThemaximalretransmittingtimes000003Totalmaximumon-lineusernumberis4096Totalcurrenton-lineusernumberis1Ethernet2/0/1islink-up802.1XprotocolisenabledProxytrapcheckerisdisabledProxylogoffcheckerisdisabledTheportisa(n)authenticatorAuthenticateModeisautoPortControlTypeisPort-basedMaxon-lineusernumberis1024AuthenticateSuccess:8,Failed:99EAPOLPacket:Tx447,Rx416SendEAPRequest/IdentityPacket:255EAPRequest/ChallengePacket:54ReceivedEAPOLStartPacket:87EAPOLLogOffPacket:52EAPResponse/IdentityPacket:254EAPResponse/ChallengePacket:54ErrorPacket:01.Authenticateduser:MACaddress:00c0-df05-c559ControlledUser(s)amountto1以上部分明确给出了有关当前接入用户的有关信息。S6506交换机实验指导实验14802.1x及AAA1现在让我们更加仔细的分析pc和Sw1之间的交互过程。Pc和Sw1之间运行的是封装在以太网之上的EAP协议，即EAPOL协议。为便于读者参考，我们先将EAPOL协议的报文封装格式列在这里：Type:88-8EVersion:1Pac