迈普路由器-第22章-802.1x配置

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

路由器配置手册copyright2012迈普通信技术股份有限公司,保留所有权利1第22章802.1X配置本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。章节主要内容:802.1X介绍802.1X配置802.1X应用举例监控与维护22.1802.1X介绍22.1.1802.1X简介802.1X是IEEE在2001年6月提出的宽带接入认证方案,它定义了基于物理端口的网络接入控制协议(Port-BasedNetworkAccessControl)。802.1X利用IEEE802架构局域网的物理访问特性,提供了一套对以点对点方式(point-to-point)连接到局域网端口(Port)上的设备进行认证、授权的方法。802.1X具有如下特点:1.方案简洁。802.1X仅仅关注端口的打开与关闭。对于合法用户(根据帐号和密码)接入时该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,是各种认证技术中最简化的实现方案。2.802.1X所使用的EAP协议只定义了认证消息的通信方式(themeansofcommunicationauthenticationinformation),而没有定义具体的认证机制(authenticationmechanism)。因此可以灵活地选择认证机制,(包括:SmartCard、Kerberos、PublicKeyEncryption、OneTimePassword等)。3.IEEE802.1X协议为二层协议,不需要到达三层。也就是说,客户端系统在认证中,不需IP地址。认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址,使用发送者的MAC地址作为源MAC地址。4.采用纯以太网技术,通过认证之后的数据包不存在封装与解封装的问题,因而效率高,消除了网络瓶颈。5.用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。同路由器配置手册copyright2012迈普通信技术股份有限公司,保留所有权利2时,计费方式可以灵活选择,支持根据用户时长的计费方式。6.802.1X实现了分散的访问控制(由靠近用户并支持802.1X协议的以太网交换机实现)与集中的认证管理(支持RADIUS和TACACS+服务器),因此整个认证结构比较协调。22.1.2对标准802.1X的扩展迈普系列交换机不仅支持标准802.1X协议还对其进行了扩展和优化以适应各种不同的应用需求。1.支持在一个端口下接入多个用户。标准802.1X协议是基于端口实现的,即只要该端口下某一个用户认证成功后,其他用户无需认证就可以使用网络资源,但是当该用户下线后,其他用户也会被拒绝使用网络。迈普系列交换机支持基于用户的认证(基于MAC地址),当端口配置为基于用户的认证时,该端口下的每个用户都需要单独认证,只有认证成功的用户才能使用网络资源,某个用户下线后,也只有该用户无法使用网络,并不影响其他已认证用户的网络的使用。2.支持EAP终结。标准802.1X协议规定客户端和认证服务器之间通过EAP报文进行交互,设备在此交互中充当着“EAP中继”的角色,设备将客户端发送来的EAP数据封装在其他协议中,例如Radius协议,然后发送给认证服务器,同样地,设备也将认证服务器发送过来的EAP数据封装在EAPOL报文中转发给客户端,这种交互方式我们称之为EAP中继。EAP中继要求认证服务器支持EAP协议,否则认证服务器将无法与客户端使用EAP进行交互。考虑到实际应用环境中,部署较早的认证服务器可能并不支持EAP协议,迈普系列交换机对此进行扩展,支持EAP终结方式,客户端的EAP数据不会被直接发送到认证服务器,而是由设备完成与客户端的EAP交互,设备从中提取用户的认证信息然后发送到认证服务器进行认证。22.1.3AutoVlan802.1X用户在服务器上通过认证时,服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能,则授权信息中含有授权下发的VLAN信息,设备会将端口加入到下发VLAN中。我们称这个下发的VLAN为AutoVLAN。(1)如果RADIUSserver授权信息中没有下发VLAN信息,那么认证成功之后,端口的VLAN属性保持不变。(2)如果RADIUSserver授权信息中含有下发VLAN信息,那么认证成功之后,判断这个下发的AutoVLAN是否存在,如果存在的话,将端口以untag方式加入到这个AutoVLAN,并且端口的缺省VID为AutoVLAN的VID;如果AutoVLAN不存在的话,这个端口的VLAN属性保持不变,认证失败。(3)用户下线之后,端口恢复为“未认证”状态,端口从这个AutoVLAN中删除,端口的缺省VID也恢复为原来配置的VID。路由器配置手册copyright2012迈普通信技术股份有限公司,保留所有权利3授权下发的AutoVLAN并不改变端口的配置,也不影响端口的配置。但是,授权下发的AutoVLAN的优先级高于用户配置的VLAN(即ConfigVLAN),即通过认证后起作用的VLAN是授权下发的AutoVLAN,用户配置的ConfigVLAN在用户下线后生效。VLAN下发特性所关联的三个Radius属性为:–[64]Tunnel-Type=VLAN–[65]Tunnel-Medium-Type=802–[81]Tunnel-Private-Group-ID=VLANID注:1、autovlan不能应用到动态vlan上,比如autovlan所指定的vlanid是由gvrp自动创建的vlan,那802.1x用户将会认证失败。2、为保证各种功能可以正常使用,请为voicevlan、privatevlan以及802.1X的autovlan等分配不同的vlanid。22.1.4GuestVlanGuestVLAN功能用来允许未认证用户访问某些特定资源。用户认证端口在通过802.1X认证之前属于一个缺省VLAN(即GuestVLAN),用户访问该VLAN内的资源不需要认证,但此时不能够访问其他网络资源;认证成功后,端口离开GuestVLAN,用户可以访问其他的网络资源。用户在GuestVLAN中可以获取802.1X客户端软件,升级客户端,或执行其他一些应用升级程序(例如防病毒软件、操作系统补丁程序等)。端口上配置GuestVlan成功后,设备会把该端口加入到GuestVLAN。开启802.1X特性并正确配置GuestVLAN后,该端口将以untagged方式加入到GuestVLAN内。此时GuestVLAN中端口下的用户发起认证,如果认证失败,该端口将会仍然处在GuestVLAN内;如果认证成功,分为以下两种情况:(1)如果认证服务器下发一个VLAN,这时端口离开GuestVLAN,加入下发的VLAN中。用户下线后,端口会回到GuestVLAN中。(2)如果认证服务器不下发VLAN,这时端口离开GuestVLAN,加入ConfigVLAN中。用户下线后,端口加入到GuestVLAN中。路由器配置手册copyright2012迈普通信技术股份有限公司,保留所有权利4注:端口的guestvlan不能应用到动态vlan上,比如guestvlan所指定的vlanid是由gvrp自动创建的vlan,那guestvlan可以配置成功,但不会生效。22.2802.1X配置本节主要内容:802.1X配置命令基本描述802.1X启用与关闭配置802.1X端口最大用户数配置802.1X组播触发配置802.1XEAP中继/终结配置802.1XGuestVlan配置802.1X端口认证模式配置802.1X重认证配置802.1XEAPOL报文透传配置802.1X定时器参数22.2.1基本指令描述命令描述配置模式dot1xport-control{enable|disable}端口启用/关闭802.1Xconfig-port-xxx,config-port-range,config-link-aggregation-xnodot1xport-controlenable端口关闭802.1Xconfig-port-xxx,config-port-range,config-link-aggregation-xdot1xeapol-relay{enable|disable}端口启用/关闭802.1XEAPOL报文透传config-port-xxx,config-port-range,config-link-aggregation-xnodot1xeapol-relayenable端口关闭802.1XEAPOL报文透传config-port-xxx,config-port-range,config-link-aggregation-xdot1xeapol-relayuplink{port|link-aggregation}配置EAPOL报文透传上联端口config-port-xxx,config-port-range,config-link-aggregation-xnodot1xeapol-relayuplink取消EAPOL透传上联端口config-port-xxx,config-port-range,config-link-aggregation-x路由器配置手册copyright2012迈普通信技术股份有限公司,保留所有权利5dot1xport-controlmax-user-num{1-4096}配置端口最大用户数config-port-xxx,config-port-range,config-link-aggregation-xnodot1xport-controlmax-user-num取消端口最大用户数config-port-xxx,config-port-range,config-link-aggregation-xdot1xmulticast-trigger配置端口组播触发config-port-xxx,config-port-range,config-link-aggregation-xnodot1xmulticast-trigger取消端口组播触发config-port-xxx,config-port-range,config-link-aggregation-xdot1xmulticast-period{5-3600}配置端口组播触发周期config-port-xxx,config-port-range,config-link-aggregation-xnodot1xmulticast-period取消端口组播触发周期config-port-xxx,config-port-range,config-link-aggregation-xDot1xeap-relay{enable|disable}端口启用/关闭EAP中继config-port-xxx,config-port-range,config-link-aggregation-xnodot1xeap-relayenable端口关闭EAP中继config-port-xxx,config-port-range,config-link-aggregation-xdot1xguest-vlan{vlanId}配置端口guestvlanconfig-port-xxx,config-port-range,config-link-aggregation-xnodot1xguest-vlan取消端口guestvlanconfig-port-xxx,config-port-range,config-link-aggregation-xdot1xdefault恢复端口dot1x缺省配置config-port-xxx,config-port-range,confi

1 / 25
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功