H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
目 录
目 录
第1章 802.1x配置 ................................................................................................................... 1-1
1.1 802.1x简介 ........................................................................................................................ 1-1
1.1.1 802.1x的体系结构 ................................................................................................... 1-1 1.1.2 802.1x的工作机制 ................................................................................................... 1-3 1.1.3 EAPOL消息的封装 ................................................................................................. 1-3 1.1.4 EAP属性的封装 ...................................................................................................... 1-5 1.1.5 802.1x的认证过程 ................................................................................................... 1-5 1.1.6 802.1x的定时器 ...................................................................................................... 1-9 1.1.7 802.1x在设备中的实现 ......................................................................................... 1-10 1.1.8 和802.1x配合使用的特性 ..................................................................................... 1-10 1.2 配置802.1x ...................................................................................................................... 1-12
1.2.1 配置准备 ................................................................................................................ 1-12 1.2.2 配置全局802.1x .................................................................................................... 1-12 1.2.3 配置端口的802.1x ................................................................................................. 1-14 1.3 配置Guest VLAN ............................................................................................................. 1-15
1.3.1 配置准备 ................................................................................................................ 1-15 1.3.2 配置Guest VLAN .................................................................................................. 1-16 1.4 802.1x显示和维护 ........................................................................................................... 1-16 1.5 802.1x典型配置举例 ........................................................................................................ 1-17 1.6 Guest VLAN的典型配置举例 ........................................................................................... 1-20 1.7 下发ACL典型配置举例 ................................................................................................... 1-22
第2章 EAD快速部署配置 ........................................................................................................ 2-1
2.1 EAD快速部署简介 ............................................................................................................. 2-1
2.1.1 概述 ......................................................................................................................... 2-1 2.1.2 实现机制 .................................................................................................................. 2-1 2.2 配置EAD快速部署 ............................................................................................................ 2-1
2.2.1 配置准备 .................................................................................................................. 2-1 2.2.2 配置用户可访问的受限网段 ..................................................................................... 2-2 2.2.3 配置用户HTTP访问的重定向URL ......................................................................... 2-2 2.2.4 配置EAD规则的老化超时时间 ............................................................................... 2-2 2.3 EAD快速部署显示和维护 .................................................................................................. 2-3 2.4 EAD快速部署典型配置举例 ............................................................................................... 2-3 2.5 常见配置错误举例 .............................................................................................................. 2-5
2.5.1 用户通过浏览器访问外部网络不能正确重定向 ........................................................ 2-5
i
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
目 录
第3章 MAC地址认证配置 ....................................................................................................... 3-1
3.1 MAC地址认证简介 ............................................................................................................ 3-1
3.1.1 RADIUS服务器认证方式进行MAC地址认证 ......................................................... 3-1 3.1.2 本地认证方式进行MAC地址认证 ........................................................................... 3-1 3.2 相关概念 ............................................................................................................................. 3-2
3.2.1 MAC地址认证定时器 .............................................................................................. 3-2 3.2.2 静默MAC ................................................................................................................ 3-2 3.2.3 下发VLAN ............................................................................................................... 3-2 3.2.4 下发ACL ................................................................................................................. 3-3 3.3 配置MAC地址认证 ............................................................................................................ 3-3
3.3.1 配置准备 .................................................................................................................. 3-3 3.3.2 配置过程 .................................................................................................................. 3-3 3.4 MAC地址认证的显示和维护 .............................................................................................. 3-4 3.5 MAC地址认证典型配置举例 .............................................................................................. 3-5
3.5.1 MAC地址本地认证 .................................................................................................. 3-5 3.5.2 MAC地址RADIUS认证 .......................................................................................... 3-7 3.5.3 下发ACL典型配置举例 ........................................................................................... 3-8
ii
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
第1章 802.1x配置
第1章 802.1x配置
1.1 802.1x简介
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
1.1.1 802.1x的体系结构
使用802.1x的系统为典型的Client/Server体系结构,包括三个实体,如图1-1所示分别为:Supplicant system(客户端)、Authenticator system(设备端)以及Authentication server system(认证服务器)。
Supplicant systemSupplicant PAEAuthenticator systemServices offered by Authenticator’s systemAuthenticator PAEAuthentication server systemAuthentication serverPort unauthorizedEAP protocol exchanges carried in higher layer protocolLAN/WLAN
图1-1 802.1x认证系统的体系结构
?
客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
?
设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
1-1
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
?
第1章 802.1x配置
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。该服务器可以存储有关用户的信息。包括用户名、密码以及其它参数,例如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。
三个实体涉及如下三个基本概念:端口PAE、受控端口和受控方向。 1. PAE
PAE(Port Access Entity,端口访问实体)是802.1x认证机制中负责执行算法和协议操作的实体。
?
设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果对受控端口的授权/非授权状态进行相应地控制。授权状态是指允许客户端所有报文通过端口,用户可正常访问网络资源;非授权状态是指仅允许EAPOL报文通过端口,不允许用户访问网络资源。
?
客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。
2. 受控/非受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。
?
非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
?
受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
?
受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
3. 受控方向
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
? ?
实行双向受控时,禁止帧的发送和接收;
实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
? 说明:
目前,设备只支持单向受控。
1-2
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
第1章 802.1x配置
1.1.2 802.1x的工作机制
IEEE 802.1x认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。
Supplicant systemPAEEAPOLAuthenticator systemPAERADIUSAuthentication server system 图1-2 802.1x认证系统的工作机制
?
在客户端PAE与设备端PAE之间,EAP协议报文使用EAPOL封装格式,直接承载于LAN环境中。
?
在设备端PAE与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS协议中;另一种是EAP协议报文由设备端PAE进行终结,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证交互。
?
当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE根据RADIUS服务器的指示(Accept或Reject)决定受控端口的授权/非授权状态。
1.1.3 EAPOL消息的封装
1. EAPOL数据包的格式
EAPOL是802.1x协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图1-3所示。
07PAE Ethernet Type Protocol VersionLengthPacket BodyNType15246
图1-3 EAPOL数据包格式
PAE Ethernet Type:表示协议类型,为0x888E。
Protocol Version:表示EAPOL帧的发送方所支持的协议版本号。 Type:表示EAPOL数据帧类型,目前设备上支持的数据类型见表1-1。
1-3
