【RSR】RSR10-02E、RSR20-14E/F如何 配置802.1X认证

发布时间: 2013-09-11 点击量:1401 打印 字体:

功能介绍

RSR10-02E、RSR20-14E/F固化交换端口,没有登陆交换卡这种概念,也无法登陆交换卡。路由/交换的所有配置都在路由器的CLI界面完成。

一、组网需求:

       某银行通过使用RSR20-14E路由器,路由器固化的交换卡用于网点下的生产、办公终端接入;F1/0~F1/7用于生产终端接入,不启用802.1X认证;F1/8~F5/23用于办公终端接入,需启用802.1X认证;分行中部署赛门铁克服务器用于radius认证及安全策略的下发。

详细需求如下:

  • 802.1X基本认证(必选):PC使用使用赛门铁克客户端完成802.1X认证。
  • radius服务器冗余(可选):使用双radius服务器,主服务器故障后能够在4S后完成主备radius服务器的切换;主服务器恢复后能够在5分钟后完成回切。
  • 802.1X主动认证(推荐):由于802.1X认证端口下可能还再接了HUB,需要启用802.1X主动认证功能,每间隔90S对末认证的用户发起认证请求。
  • MAC迁移(推荐):由于802.1X认证端口下可能还再接了HUB,因此需要开启MAC迁移功能。
  • 安全通道(必选):办公终端包括一些VOIP电话、网络广告屏、考勤机等无法进行802.1X认证的设备,因此需要将这些设备的流量放入安全通道进行免认证,以保证这些设备的正常工作。

 

应用场景

企业对网络的安全性要求比较高,用户电脑在接入网络的时候,需要通过用户名、密码的方式验证用户是否合法,只有拥有正确的用户名、密码的用户才能上网,那么可以在路由器上启用802.1X功能。

 

二、组网拓扑:

三、配置要点:

注意:该配置只适用于RSR10-02E/RSR20-14E/F

1、完成网点路由器的基本配置,保证网络连通性(必选)

2、配置radius冗余参数(推荐)

3、配置802.1X认证参数(必选)

4、配置主动认证和MAC迁移功能(推荐)

5、配置安全通道(必选)

6、打开办公终端对应端口的802.1X认证功能(必选)

四、配置步骤

1、完成网点路由器的基本配置,保证网络连通性(必选)

完成网点路由器的基本配置,保证生产终端、办公终端业务正常。

2、配置radius冗余参数(推荐)

Ruijie(config)#aaa new-model

Ruijie(config)#radius-server host 192.168.51.223 key test        //配置主radius服务器及key

Ruijie(config)#radius-server host 192.168.33.57 key test          //配置备radius服务器及key

Ruijie(config)#radius-server timeout 2           //向radius重传请求之前的等待时间为2秒

Ruijie(config)#radius-server retransmit 1        //radius报文超时后的重传次数

Ruijie(config)#radius-server deadtime 5         //服务器被判定为dead状态后,5分钟内不向该服务器发送认证请求。5分钟后该服务器重新变为active状态,继续向该服务器发送认证请求。

Ruijie(config)#radius-server dead-criteria time 5 tries 2   //判断radius服务器为dead的标准为:5秒内重传2次后radius服务器都无响应

Ruijie(config)#aaa group server radius radius_group          //新建"radius_group"radius服务器组

Ruijie(config)#server 192.168.51.223                                 //在服务器组中添加主服务器

Ruijie(config)#server 192.168.33.57                                    //在服务器组中添加备服务器

Ruijie(config)#ip radius source-interface loopback 0          //指定radius报文的源IP地址

3、配置802.1X认证参数(必选)

(1)配置802.1x认证模板

Ruijie(config)#aaa authentication dot1x default group radius_group   //配置dot1x认证模板,如需使用逃生功能,需在radius_group后再配置none参数。

Ruijie(config)#dot1x authentication default                  //指定dot1x认证模板

(2)配置802.1X重认证和认证超时相关参数

Ruijie(config)#dot1x re-authentication                         //配置dot1x重认证功能

Ruijie(config)#dot1x reauth-max 10                              //配置客户端最多可以重认证失败10次

Ruijie(config)#dot1x timeout server-timeout 10             //dot1x认证超时时间为10S,该时间要大于radius的超时时间,否则radius末超时dot1x就超时了。

Ruijie(config)#dot1x timeout tx-period 10                        //dot1x认证报文重传间隔

注意:windows xp/vista/server2008系统802.1X功能存在缺陷,使用赛门铁克客户端进行802.1X认证时,会出现路由器重启后导致PC无法认证成功或逃生功能不生效的问题;可通过以下3种方式解决(详见文后的附录):

1、路由器重启后,对路由器上连接存在问题客户端的交换口进行shut/no shut操作。

2、在路由器上配置以上第“(2)配置802.1X重认证和认证超时相关参数”的命令。

3、在windows上安装补丁程序,并修改注册表。

因此在工程实施时,建议将“(2)配置802.1X重认证和认证超时相关参数”配置上去,以解决可能出现的问题。

4、配置主动认证和MAC迁移功能(推荐)

注意:该配置为可选,在开启了dot1x功能的交换口下还再连接HUB或交换机时,建议配置主动认诈和MAC迁移。

Ruijie(config)#no dot1x auto-req user-detect                   //端口下有用户认证上线后依然继续向该端口发送主动认证报文

Ruijie(config)#dot1x auto-req req-interval 90                   //设备主动发出认证请求报文的间隔为90S

Ruijie(config)#dot1x auto-req                                          //配置dot1x主动认证功能

Ruijie(config)#dot1x mac-move permit                             //允许MAC迁移

5、配置安全通道(必选)

Ruijie(config)#security global

Ruijie(config)#security src-mac src-mac-single 001D.7292.D512     //放通某台网络设备

Ruijie(config)#security src-mac src-mac-single 001D.7292.D513      //放通某台网络设备

Ruijie(config)#security src-mac src-mac-single 001D.7292.D514      //放通某台网络设备

Ruijie(config)#security src-mac src-mac-mask b4b0.0000.0000  ffff.0000.0000   //放通MAC地址为b4b0开头的若干VOIP设备

Ruijie(config)#security dest-ip free-ip 10.39.19.1     //放通到某个IP的流量,使客户端在认证成功之前就能够正常访问该IP

注意:客户端使用赛门铁克客户端进行802.1X认证时,建议在路由器上放通赛门铁克策略服务器的IP;因为赛门铁克客户端必须先与策略服务器通信并下载策略后,才能够进行正常的1X认证;这样便于后继新增认证客户端设备的接入。

6、打开办公终端对应端口的802.1X认证功能(必选)

Ruijie(config)#interface range fastEthernet 1/7 - 23

Ruijie(config-if-range)#dot1x port-control auto             //打开端口的802.1X认证功能

五、配置验证

1、完成以上配置后通过show dot1x summary命令可以看到客户端已经认证成功在认证成功的客户端上测试业务正常

Ruijie#show dot1x summary

    ID         MAC       Interface VLAN   Auth-State    Backend-State Port-Status User-Type

-------- --------------  --------- ---- --------------- ------------- ----------- ---------

6        001d.7292.d512  Fa5/15    200  Authenticated   Idle          Authed      static

2、测试接在办公接口下的VOIP电话、网络广告屏、考勤机等通过安全通道放通的设备,可以正常使用。

 

六、附录

 

 

 

00 分享 纠错
相关条目