【交换机】交换机如何配置dot1x认证

发布时间: 2013-10-09 点击量:2700 打印 字体:

功能简介
IEEE 802 LAN  中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用,特别是在运营网络的出现,对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的基础上,提供用户对网络或设备访问合法性认证,已经成为业界关注的焦点。IEEE 802.1x  协议正是在这样的背景下提出的。
       IEEE802.1x (Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为LAN 提供点对点式的安全接入。这是IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用 IEEE 802 LAN 优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。
       IEEE 802.1x 标准定义了一种基于“客户端——服务器”(Client-Server )模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。 在客户端通过认证之前,只有EAPOL报文(Extensible Authentication Protocol over LAN)可以在网络上通行。在认证成功之后,正常的数据流便可在网络上通行。

一、组网要求:
    在交换机上配置dot1x认证配置。
二、组网拓扑
    交换机---radius服务器
三、配置要点:
   1) 锐捷RGOS10.X平台,如S2628G
   2)锐捷RGOS非10.X平台,如S2126G
四、配置步骤
注意:配置之前建议使用 Ruijie#show interface status查看接口名称,常用接口名称有FastEthernet(百兆)、GigabitEthernet(千兆)和TenGigabitEthernet(万兆),以下配置以百兆接口为例。
锐捷RGOS10.X平台配置步骤:
1、全局配置AAA
Ruijie>enable
Ruijie# configure terminal
Ruijie(config)# aaa new-model  ------>开启认证
Ruijie(config)#aaa accounting        ------>打开计费
Ruijie(config)#aaa accounting update      ------>开启记费更新
Switch(config)# aaa accounting network ruijie start-stop group radius    ------>配置身份认证方法
Switch(config)# aaa group server radius ruijie
Switch(config-gs-radius)# server 192.168.5.131                  ------>指定记帐服务器地址
Switch(config-gs-radius)# exit
Switch(config)# aaa authentication dot1x ruijie group radius local   ------>配置dot1x认证方法
Switch(config)# radius-server host 192.168.5.100                ------>指定认证服务器地址
Switch(config)# radius-server key 0 password              ------>指定radius共享口令
Switch(config)# dot1x accounting ruijie                          ------>开启计帐功能
Switch(config)# dot1x authentication ruijie                     ------>开启认证功能
Switch(config)# snmp-server community ruijie rw       ------>指定SNMP共同体字段
Ruijie(config)# end
2、接口下开启dot1x功能
Ruijie# configure terminal
Ruijie(config)# interface FastEthernet 0/1
Ruijie(config-if)# dot1x port-control auto
3、保存配置
Ruijie(config-if)# end
Ruijie#write   ------>确认配置正确,保存配置

锐捷RGOS非10.X平台配置步骤:
1、全局配置dot1x
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)# aaa authentication dot1x            ------>打开802.1x
Ruijie(config)#radius-server host 192.168.5.183    ------>配置认证服务器IP地址
Ruijie(config)#radius-server key ruijie    ------>配置认证服务器的key为test字符串
Ruijie(config)#aaa accounting server 192.168.5.100    ----指定记帐服务器地址
Ruijie(config)#aaa accounting         ------>打开计费
Ruijie(config)#aaa accounting update      ------>开启记费更新
Ruijie(config)#snmp-server community ruijie rw     ------>配置snmp属性值为ruijie,并赋予读写权限

2、接口下开启dot1x功能
Ruijie(config)# interface FastEthernet 0/1
Ruijie(config-if)# dot1x port-control auto

3、保存配置
Ruijie(config-if)# end
Ruijie#write  ------>确认配置正确,保存配置

四、配置步骤
10.X验证

Ruijie#sho dot1x    查看802.1x 配置
802.1X Status:        enable
Authentication Mode:  eap-md5
Total User Number:    0(exclude dynamic user)
Authed User Number:   0(exclude dynamic user)
Dynamic User Number:  0
Re-authen Enabled:    disable
Re-authen Period:     3600 sec
Quiet Timer Period:   10 sec
Tx Timer Period:      3 sec
Supplicant Timeout:   3 sec
Server Timeout:       5 sec
Re-authen Max:        3 times
Maximum Request:      3 times
Private supplicant only:   disable
Client Online Probe:  disable
Eapol Tag Enable:     disable
Authorization Mode:   disable
802.1x redirect:      disable

Ruijie#show dot1x summary    --------->查看用户认证状态信息
    ID         MAC       Interface VLAN   Auth-State    Backend-State Port-Status User-Type
-------- --------------  --------- ---- --------------- ------------- ----------- ---------

Ruijie#sho dot1x port-control -------->查看接口是否开启dot1x功能
Interface Mode       Dynamic-User Static-User Max-User Authened       Mab
--------- ---------- ------------ ----------- -------- -------- ---------
Fa0/1     mac-based  0            0           6000           no   disable

非10.X验证
Ruijie#sho dot1x   ---->查看802.1x 配置
IEEE 802.1X Status    : Disabled                                             
Authentication mode  : EAP-MD5
Authentication user number : 0
Current user number        : 0
radius server fail         : No

reauth-enabled    : Disabled
reauth-period     : 3600
quiet-period      : 10
tx-period         : 3
supp-timeout      : 3
server-timeout    : 3
reauth-max        : 2
max-req           : 1
dot1x accout-update-interval   : 900
filter-nonRG-su   : Disable
server-retry-max  : 20

client probe      : Disabled
eapol-tag         : Disabled


Ruijie#show dot1x summary    --------->查看用户认证状态信息
    ID         MAC       Interface VLAN   Auth-State    Backend-State Port-Status User-Type
-------- --------------  --------- ---- --------------- ------------- ----------- ---------

Ruijie#sho dot1x port-control -------->查看接口是否开启dot1x功能
Ports                 Status                                                 
--------------------  ----------
Fa0/1                 Enabled     ----->enable表示开启了dot1.x
Fa0/2                 Disabled
Fa0/3                 Disabled
Fa0/4                 Disabled
Fa0/5                 Disabled
Fa0/6                 Disabled
Fa0/7                 Disabled
Fa0/8                 Disabled
Fa0/9                 Disabled
Fa0/10                Disabled
Fa0/11                Disabled
Fa0/12                Disabled
Fa0/13                Disabled
Fa0/14                Disabled

00 分享 纠错
相关条目