【RSR】RSR10-02E、RSR20-14E/F如何配置802.1X认证

发布时间：2013-09-11

点击量：4664

功能介绍

RSR10-02E、RSR20-14E/F固化交换端口，没有登陆交换卡这种概念，也无法登陆交换卡。路由/交换的所有配置都在路由器的CLI界面完成。

一、组网需求：

某银行通过使用RSR20-14E路由器，路由器固化的交换卡用于网点下的生产、办公终端接入；F1/0~F1/7用于生产终端接入，不启用802.1X认证；F1/8~F5/23用于办公终端接入，需启用802.1X认证；分行中部署赛门铁克服务器用于radius认证及安全策略的下发。

详细需求如下：

802.1X基本认证（必选）：PC使用使用赛门铁克客户端完成802.1X认证。
radius服务器冗余（可选）：使用双radius服务器，主服务器故障后能够在4S后完成主备radius服务器的切换；主服务器恢复后能够在5分钟后完成回切。
802.1X主动认证（推荐）：由于802.1X认证端口下可能还再接了HUB，需要启用802.1X主动认证功能，每间隔90S对末认证的用户发起认证请求。
MAC迁移（推荐）：由于802.1X认证端口下可能还再接了HUB，因此需要开启MAC迁移功能。
安全通道（必选）：办公终端包括一些VOIP电话、网络广告屏、考勤机等无法进行802.1X认证的设备，因此需要将这些设备的流量放入安全通道进行免认证，以保证这些设备的正常工作。

应用场景

企业对网络的安全性要求比较高，用户电脑在接入网络的时候，需要通过用户名、密码的方式验证用户是否合法，只有拥有正确的用户名、密码的用户才能上网，那么可以在路由器上启用802.1X功能。

二、组网拓扑：

三、配置要点：

注意：该配置只适用于RSR10-02E/RSR20-14E/F

1、完成网点路由器的基本配置，保证网络连通性（必选）

2、配置radius冗余参数（推荐）

3、配置802.1X认证参数（必选）

4、配置主动认证和MAC迁移功能（推荐）

5、配置安全通道（必选）

6、打开办公终端对应端口的802.1X认证功能（必选）

四、配置步骤

1、完成网点路由器的基本配置，保证网络连通性（必选）

完成网点路由器的基本配置，保证生产终端、办公终端业务正常。

2、配置radius冗余参数（推荐）

Ruijie(config)#aaa new-model

Ruijie(config)#radius-server host 192.168.51.223 key test //配置主radius服务器及key

Ruijie(config)#radius-server host 192.168.33.57 key test //配置备radius服务器及key

Ruijie(config)#radius-server timeout 2 //向radius重传请求之前的等待时间为2秒

Ruijie(config)#radius-server retransmit 1 //radius报文超时后的重传次数

Ruijie(config)#radius-server deadtime 5 //服务器被判定为dead状态后，5分钟内不向该服务器发送认证请求。5分钟后该服务器重新变为active状态，继续向该服务器发送认证请求。

Ruijie(config)#radius-server dead-criteria time 5 tries 2 //判断radius服务器为dead的标准为：5秒内重传2次后radius服务器都无响应

Ruijie(config)#aaa group server radius radius_group //新建"radius_group"radius服务器组

Ruijie(config)#server 192.168.51.223 //在服务器组中添加主服务器

Ruijie(config)#server 192.168.33.57 //在服务器组中添加备服务器

Ruijie(config)#ip radius source-interface loopback 0 //指定radius报文的源IP地址

3、配置802.1X认证参数（必选）

（1）配置802.1x认证模板

Ruijie(config)#aaa authentication dot1x default group radius_group //配置dot1x认证模板，如需使用逃生功能，需在radius_group后再配置none参数。

Ruijie(config)#dot1x authentication default //指定dot1x认证模板

（2）配置802.1X重认证和认证超时相关参数

Ruijie(config)#dot1x re-authentication //配置dot1x重认证功能

Ruijie(config)#dot1x reauth-max 10 //配置客户端最多可以重认证失败10次

Ruijie(config)#dot1x timeout server-timeout 10 //dot1x认证超时时间为10S，该时间要大于radius的超时时间，否则radius末超时dot1x就超时了。

Ruijie(config)#dot1x timeout tx-period 10 //dot1x认证报文重传间隔

注意：windows xp/vista/server2008系统802.1X功能存在缺陷，使用赛门铁克客户端进行802.1X认证时，会出现路由器重启后导致PC无法认证成功或逃生功能不生效的问题；可通过以下3种方式解决（详见文后的附录）：

1、路由器重启后，对路由器上连接存在问题客户端的交换口进行shut/no shut操作。

2、在路由器上配置以上第“（2）配置802.1X重认证和认证超时相关参数”的命令。

3、在windows上安装补丁程序，并修改注册表。

因此在工程实施时，建议将“（2）配置802.1X重认证和认证超时相关参数”配置上去，以解决可能出现的问题。

4、配置主动认证和MAC迁移功能（推荐）

注意：该配置为可选，在开启了dot1x功能的交换口下还再连接HUB或交换机时，建议配置主动认诈和MAC迁移。

Ruijie(config)#no dot1x auto-req user-detect //端口下有用户认证上线后依然继续向该端口发送主动认证报文

Ruijie(config)#dot1x auto-req req-interval 90 //设备主动发出认证请求报文的间隔为90S

Ruijie(config)#dot1x auto-req //配置dot1x主动认证功能

Ruijie(config)#dot1x mac-move permit //允许MAC迁移

5、配置安全通道（必选）

Ruijie(config)#security global

Ruijie(config)#security src-mac src-mac-single 001D.7292.D512 //放通某台网络设备

Ruijie(config)#security src-mac src-mac-single 001D.7292.D513 //放通某台网络设备

Ruijie(config)#security src-mac src-mac-single 001D.7292.D514 //放通某台网络设备

Ruijie(config)#security src-mac src-mac-mask b4b0.0000.0000 ffff.0000.0000 //放通MAC地址为b4b0开头的若干VOIP设备

Ruijie(config)#security dest-ip free-ip 10.39.19.1 //放通到某个IP的流量，使客户端在认证成功之前就能够正常访问该IP

注意：客户端使用赛门铁克客户端进行802.1X认证时，建议在路由器上放通赛门铁克策略服务器的IP；因为赛门铁克客户端必须先与策略服务器通信并下载策略后，才能够进行正常的1X认证；这样便于后继新增认证客户端设备的接入。

6、打开办公终端对应端口的802.1X认证功能（必选）

Ruijie(config)#interface range fastEthernet 1/7 - 23

Ruijie(config-if-range)#dot1x port-control auto //打开端口的802.1X认证功能

五、配置验证

1、完成以上配置后，通过show dot1x summary命令可以看到客户端已经认证成功，在认证成功的客户端上测试业务正常：

Ruijie#show dot1x summary

ID MAC Interface VLAN Auth-State Backend-State Port-Status User-Type

-------- -------------- --------- ---- --------------- ------------- ----------- ---------

6 001d.7292.d512 Fa5/15 200 Authenticated Idle Authed static

2、测试接在办公接口下的VOIP电话、网络广告屏、考勤机等通过安全通道放通的设备，可以正常使用。

六、附录

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S7800C系列融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-N18006-X，6槽机箱，核心层，零背板

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列融合万兆交换机

RG-EG3250新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-WS7005-A多业务无线AC

RG-ESS 1000易安全系统

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-WS7208-A多业务无线AC

RG-AP880-I双射频Wi-Fi 6无线AP

RG-WS7880高性能无线AC

RG-EG2100-P V2全能PoE网关

RG-N18000-X系列

RG-N18010-X，10槽机箱，核心层，零背板

RG-EG3000XE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-WS6816高性能无线AC

RG-WS6108高性能无线AC

RG-EG3000GE新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG2000F

RG-S2900G-E V3系列千兆交换机

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

RG-SMP安全管理平台

RG-SMP+安全管理平台

您可能还关注的问题

【RSR】RSR10-02E、RSR20-14E/F如何 配置802.1X认证