迈普路由器-第22章-802.1x配置

路由器配置手册copyright2012迈普通信技术股份有限公司，保留所有权利1第22章802.1X配置本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。章节主要内容：802.1X介绍802.1X配置802.1X应用举例监控与维护22.1802.1X介绍22.1.1802.1X简介802.1X是IEEE在2001年6月提出的宽带接入认证方案，它定义了基于物理端口的网络接入控制协议（Port-BasedNetworkAccessControl）。802.1X利用IEEE802架构局域网的物理访问特性，提供了一套对以点对点方式（point-to-point）连接到局域网端口（Port）上的设备进行认证、授权的方法。802.1X具有如下特点：1.方案简洁。802.1X仅仅关注端口的打开与关闭。对于合法用户（根据帐号和密码）接入时该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，是各种认证技术中最简化的实现方案。2.802.1X所使用的EAP协议只定义了认证消息的通信方式（themeansofcommunicationauthenticationinformation），而没有定义具体的认证机制（authenticationmechanism）。因此可以灵活地选择认证机制，(包括：SmartCard、Kerberos、PublicKeyEncryption、OneTimePassword等)。3.IEEE802.1X协议为二层协议，不需要到达三层。也就是说，客户端系统在认证中，不需IP地址。认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址，使用发送者的MAC地址作为源MAC地址。4.采用纯以太网技术，通过认证之后的数据包不存在封装与解封装的问题，因而效率高，消除了网络瓶颈。5.用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。同路由器配置手册copyright2012迈普通信技术股份有限公司，保留所有权利2时，计费方式可以灵活选择，支持根据用户时长的计费方式。6.802.1X实现了分散的访问控制（由靠近用户并支持802.1X协议的以太网交换机实现）与集中的认证管理（支持RADIUS和TACACS+服务器），因此整个认证结构比较协调。22.1.2对标准802.1X的扩展迈普系列交换机不仅支持标准802.1X协议还对其进行了扩展和优化以适应各种不同的应用需求。1.支持在一个端口下接入多个用户。标准802.1X协议是基于端口实现的，即只要该端口下某一个用户认证成功后，其他用户无需认证就可以使用网络资源，但是当该用户下线后，其他用户也会被拒绝使用网络。迈普系列交换机支持基于用户的认证（基于MAC地址），当端口配置为基于用户的认证时，该端口下的每个用户都需要单独认证，只有认证成功的用户才能使用网络资源，某个用户下线后，也只有该用户无法使用网络，并不影响其他已认证用户的网络的使用。2.支持EAP终结。标准802.1X协议规定客户端和认证服务器之间通过EAP报文进行交互，设备在此交互中充当着“EAP中继”的角色，设备将客户端发送来的EAP数据封装在其他协议中，例如Radius协议，然后发送给认证服务器，同样地，设备也将认证服务器发送过来的EAP数据封装在EAPOL报文中转发给客户端，这种交互方式我们称之为EAP中继。EAP中继要求认证服务器支持EAP协议，否则认证服务器将无法与客户端使用EAP进行交互。考虑到实际应用环境中，部署较早的认证服务器可能并不支持EAP协议，迈普系列交换机对此进行扩展，支持EAP终结方式，客户端的EAP数据不会被直接发送到认证服务器，而是由设备完成与客户端的EAP交互，设备从中提取用户的认证信息然后发送到认证服务器进行认证。22.1.3AutoVlan802.1X用户在服务器上通过认证时，服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能，则授权信息中含有授权下发的VLAN信息，设备会将端口加入到下发VLAN中。我们称这个下发的VLAN为AutoVLAN。（1）如果RADIUSserver授权信息中没有下发VLAN信息，那么认证成功之后，端口的VLAN属性保持不变。（2）如果RADIUSserver授权信息中含有下发VLAN信息，那么认证成功之后，判断这个下发的AutoVLAN是否存在，如果存在的话，将端口以untag方式加入到这个AutoVLAN，并且端口的缺省VID为AutoVLAN的VID；如果AutoVLAN不存在的话，这个端口的VLAN属性保持不变，认证失败。（3）用户下线之后，端口恢复为“未认证”状态，端口从这个AutoVLAN中删除，端口的缺省VID也恢复为原来配置的VID。路由器配置手册copyright2012迈普通信技术股份有限公司，保留所有权利3授权下发的AutoVLAN并不改变端口的配置，也不影响端口的配置。但是，授权下发的AutoVLAN的优先级高于用户配置的VLAN（即ConfigVLAN），即通过认证后起作用的VLAN是授权下发的AutoVLAN，用户配置的ConfigVLAN在用户下线后生效。VLAN下发特性所关联的三个Radius属性为：–[64]Tunnel-Type=VLAN–[65]Tunnel-Medium-Type=802–[81]Tunnel-Private-Group-ID=VLANID注：1、autovlan不能应用到动态vlan上，比如autovlan所指定的vlanid是由gvrp自动创建的vlan，那802.1x用户将会认证失败。2、为保证各种功能可以正常使用，请为voicevlan、privatevlan以及802.1X的autovlan等分配不同的vlanid。22.1.4GuestVlanGuestVLAN功能用来允许未认证用户访问某些特定资源。用户认证端口在通过802.1X认证之前属于一个缺省VLAN（即GuestVLAN），用户访问该VLAN内的资源不需要认证，但此时不能够访问其他网络资源；认证成功后，端口离开GuestVLAN，用户可以访问其他的网络资源。用户在GuestVLAN中可以获取802.1X客户端软件，升级客户端，或执行其他一些应用升级程序（例如防病毒软件、操作系统补丁程序等）。端口上配置GuestVlan成功后，设备会把该端口加入到GuestVLAN。开启802.1X特性并正确配置GuestVLAN后，该端口将以untagged方式加入到GuestVLAN内。此时GuestVLAN中端口下的用户发起认证，如果认证失败，该端口将会仍然处在GuestVLAN内；如果认证成功，分为以下两种情况：（1）如果认证服务器下发一个VLAN，这时端口离开GuestVLAN，加入下发的VLAN中。用户下线后，端口会回到GuestVLAN中。（2）如果认证服务器不下发VLAN，这时端口离开GuestVLAN，加入ConfigVLAN中。用户下线后，端口加入到GuestVLAN中。路由器配置手册copyright2012迈普通信技术股份有限公司，保留所有权利4注：端口的guestvlan不能应用到动态vlan上，比如guestvlan所指定的vlanid是由gvrp自动创建的vlan，那guestvlan可以配置成功，但不会生效。22.2802.1X配置本节主要内容：802.1X配置命令基本描述802.1X启用与关闭配置802.1X端口最大用户数配置802.1X组播触发配置802.1XEAP中继/终结配置802.1XGuestVlan配置802.1X端口认证模式配置802.1X重认证配置802.1XEAPOL报文透传配置802.1X定时器参数22.2.1基本指令描述命令描述配置模式dot1xport-control{enable|disable}端口启用/关闭802.1Xconfig-port-xxx,config-port-range,config-link-aggregation-xnodot1xport-controlenable端口关闭802.1Xconfig-port-xxx,config-port-range,config-link-aggregation-xdot1xeapol-relay{enable|disable}端口启用/关闭802.1XEAPOL报文透传config-port-xxx,config-port-range,config-link-aggregation-xnodot1xeapol-relayenable端口关闭802.1XEAPOL报文透传config-port-xxx,config-port-range,config-link-aggregation-xdot1xeapol-relayuplink{port|link-aggregation}配置EAPOL报文透传上联端口config-port-xxx,config-port-range,config-link-aggregation-xnodot1xeapol-relayuplink取消EAPOL透传上联端口config-port-xxx,config-port-range,config-link-aggregation-x路由器配置手册copyright2012迈普通信技术股份有限公司，保留所有权利5dot1xport-controlmax-user-num{1-4096}配置端口最大用户数config-port-xxx,config-port-range,config-link-aggregation-xnodot1xport-controlmax-user-num取消端口最大用户数config-port-xxx,config-port-range,config-link-aggregation-xdot1xmulticast-trigger配置端口组播触发config-port-xxx,config-port-range,config-link-aggregation-xnodot1xmulticast-trigger取消端口组播触发config-port-xxx,config-port-range,config-link-aggregation-xdot1xmulticast-period{5-3600}配置端口组播触发周期config-port-xxx,config-port-range,config-link-aggregation-xnodot1xmulticast-period取消端口组播触发周期config-port-xxx,config-port-range,config-link-aggregation-xDot1xeap-relay{enable|disable}端口启用/关闭EAP中继config-port-xxx,config-port-range,config-link-aggregation-xnodot1xeap-relayenable端口关闭EAP中继config-port-xxx,config-port-range,config-link-aggregation-xdot1xguest-vlan{vlanId}配置端口guestvlanconfig-port-xxx,config-port-range,config-link-aggregation-xnodot1xguest-vlan取消端口guestvlanconfig-port-xxx,config-port-range,config-link-aggregation-xdot1xdefault恢复端口dot1x缺省配置config-port-xxx,config-port-range,confi