的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得工业交换机或LAN提供的各种业务之前,802.1x对连接到工业交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的工业交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。10.2802.1x技术介绍基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和工业交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。10.3802.1x工作原理1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给工业交换机,开始启动一次认证过程。2.工业交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。3.客户端程序响应工业交换机发出的请求,将用户名信息通过数据帧送给工业交换机。工业交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。4.认证服务器收到工业交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给工业交换机,由工业交换机传给客户端程序。5.客户端程序收到由工业交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过工业交换机传给认证服务器。6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向工业交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持工业交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。10.4认证服务器配置步骤1.在导航栏中选择[高级配置/802.1X/认证服务器],进入[认证服务器设置]界面。2.在认证服务器设置界面中可以查看认证服务器的配置信息。3.如需修改认证服务器配置,可在认证服务器配置框中修改相应配置,然后单击应用,如图10.1所示。图10.1认证服务器配置界面,IPv4,点分十进制格式端口号Radius认证服务器的的端口号,范围1-65535,默认为1812共享密钥必须与Radius服务器一致,否则无法通过认证。字符串格式,且只能包含字母,数字,下划线,长度不超过2010.5全局设置配置步骤1.在导航栏中选择[高级配置/802.1X/全局配置],进入[全局配置]界面。2.在全局界面中可以查看全局配置信息。3.如需修改全局配置,可在全局配置框中修改相应配置,然后单击应用,如图10.2。图10.2全局配置界面配置项说明表10.2802.1X全局配置项说明配置项说明管理状态禁止:禁止全局802.1X使能:使能全局802.1X重认证禁止:禁止重认证功能使能:使能重认证功能静默功能禁止:禁止静默功能使能:使能静默功能认证方法EAPPAPCHAP请求报文发送超时定时器整数1-120,默认30客户端超时定时器整数1-120,默认30服务器超时定时器整数1-120,默认30重认证定时器整数60-7200,默认3600静默定时器整数10-3600,默认6010.6端口配置配置步骤1.在导航栏中选择[高级配置/802.1X/端口配置],进入[端口配置]界面。2.[端口配置]界面,可以查看每个端口的配置信息,如图10.3所示,显示了每个端口当前的802.1X配置信息。如需修改某个端口的配置,只需单击界面中对应条目右侧的[修改]按钮,进入修改界面,如图10.4所示。修改相应的配置项。单击[应用]按钮完成修改,单击[取消]按钮取消修改。图10.4802.1X端口配置界面注意事项:802.1X端口配置更改接口认证模式时,会导致该端口下所有已认证通过的用户全部下线,需要重新认证才能访问网络。配置项说明表10.3802.1X端口配置项说明配置项说明管理状态禁止:禁止端口802.1X使能:使能端口802.1X接口控制模式自动:认证前无法访问网络,认证通过后可以访问网络强制授权:始终可以访问网络强制非授权:始终无法访问网络接口认证模式基于端口:一个用户通过认证后,该端口下的所有用户都可以访问网络基于MAC:所有用户都需要单独认证通过后才能访问网络最大支持主机数端口支持的最大认证主机数目,超过该数后无法认证。整数1-8,默认810.7用户认证信息配置步骤1.在导航栏中选择[高级配置/802.1X/用户认证信息],进入[用户认证信息]界面。2.单击左上角的展开可以展开所有端口当前的用户认证信息,单击闭合可以闭合所有端口的用户认证信息。单击图标可以展开相应端口的用户认证信息,单击图标可以闭合相应端口的用户认证信息。3.在该界面可以查看到用户的认证信息包括:用户名,客户端MAC地址,认证通过的时间。4.单击下方的刷新可以刷新当前的用户认证信息。如需了解更多工业交换机网管设置,请浏览光路科技网站苏先生邮箱:sales@fiberroad.com.cn,QQ:2853921100