发布时间:2013-09-11
点击量:5668功能介绍
与10.3(5b7)版本不同,10.3(5t86)&10.3(5b6)p3版本支持在路由器界面进行完整的802.1X配置,而不再需要登陆到交换卡上进行802.1X配置。
在10.3(5b7)基础上,10.3(5t86)&10.3(5b6)p3版本新增了如下功能&命令:
1、支持在路由器上直接对交换卡的软件版本进行升级(之前版本需要到设备现场对交换卡进行软件版本升级)
(在路由器上对交换卡进行软件版本升级方法参考“日常维护--->软件版本升级--->NMX-24ESW交换卡升级”)
2、支持在路由器上配置交换卡的radius服务器信息(配置命令不变)。
3、支持在路由器上配置交换卡的dot1x相关功能(配置命令不变)。
4、支持在路由器上配置交换卡的接口IP、默认网关IP、radius报文的源IP地址。新增如下命令:
Ruijie(config)#interface loopback 0
Ruijie(config-if)#esw-slot assign 5 ip-addr 10.0.0.2 255.255.255.0 //指定交换卡上loopback接口的IP地址
Ruijie(config)#interface vlan 10
Ruijie(config-if)#esw-slot assign 5 ip-addr 192.168.0.2 255.255.255.0 //指定交换卡上SVI接口的IP地址
Ruijie(config)#esw-slot 5 ip default-gateway 192.168.0.1 //指定交换卡的默认网关IP地址
Ruijie(config)#esw-slot 5 ip radius source-interface vlan 1000 //指定交换卡radius报文的源IP地址
注意:
1、10.3(5t86)&10.3(5b6)p3版本802.1X功能的部署全部在路由器界面完成,禁止登陆到交换卡进行配置,避免路由器与交换卡上的配置不一致引发功能异常。
2、如果交换卡上已存在相关配置,请将交换卡上的配置移到路由器界面进行配置,并删除交换卡上的配置文件:
Ruijie#del config.text
应用场景
企业对网络的安全性要求比较高,用户电脑在接入网络的时候,需要通过用户名、密码的方式验证用户是否合法,只有拥有正确的用户名、密码的用户才能上网,那么可以在路由器上启用802.1X功能。
一、组网需求:
某银行通过RSR20上插入NMX-24ESW交换卡用于网点下的生产、办公终端接入;F5/1~F5/8用于生产终端接入,不启用802.1X认证;F5/9~F5/24用于办公终端接入,需启用802.1X认证;分行中部署赛门铁克服务器用于radius认证及安全策略的下发。
该场景可能存在如下需求,项目实施时根据客户实际需求进行功能选择:
二、组网拓扑:
三、配置要点:
注意:
该配置只适用于老RSR20系列路由器10.3(5T86)、10.3(5B6)P3及之后的版本(RSR10-02E、RSR20-04E、RSR20-14E/F除外)
1、完成网点路由器的基本配置,保证网络连通性(必选)
2、配置NMX-24ESW交换卡的网管IP和与RSR20通信的IP网段(必选)
3、配置radius及冗余参数(推荐)
4、配置802.1X认证参数(必选)
5、配置主动认证和MAC迁移功能(推荐)
6、配置安全通道(必选)
7、打开办公终端对应端口的802.1X认证功能(必选)
四、配置步骤
1、完成网点路由器的基本配置,保证网络连通性(必选)
完成网点路由器的基本配置,保证生产终端、办公终端业务正常。
注意:请务必确认在所有三层接口上已经配置了ip ref,否则可能导致业务异常。
2、配置NMX-24ESW交换卡和RSR20间通信的IP网段(必选)
方案1:为交换卡分配的IP为30位网段(如10.0.0.0/30)
交换卡与路由器间使用在内网可路由的网段进行通信,交换卡上的互联IP直接作为radius报文源地址。
Ruijie(config)#interface FastEthernet 5/0 //进入路由器与交换卡互联的接口
Ruijie(config-if)#ip ref //配置ip ref
Ruijie(config)#interface FastEthernet 5/0.1000 //配置路由器上与交换卡通信的接口f5/0.1000
Ruijie(config-if)#encapsulation dot1Q 1000 //使用dot1q 1000封装
Ruijie(config-if)#ip address 10.0.0.1 255.255.255.252 //配置路由器端IP为10.0.0.1/30
Ruijie(config)#vlan 1000 //配置vlan 1000
Ruijie(config)#interface vlan 1000 ////创建vlan 1000 SVI接口
Ruijie(config-if)#ip ref //配置ip ref
Ruijie(config-if)#esw-slot assign 5 ip-addr 10.0.0.2 255.255.255.252 //将interface vlan 1000下发到交换卡,并配置IP地址为10.0.0.2/30
Ruijie(config)#esw-slot 5 ip default-gateway 10.0.0.1 //指定交换卡的默认网关为10.0.0.1
Ruijie(config)#esw-slot 5 ip radius source-interface vlan 1000 //指定交换卡发送radius报文使用vlan 1000地址作为源地址
方案2:为交换卡分配的IP为32位IP地址(如10.0.0.1/32)
交换卡与路由器间使用在内网不可路由的网段进行通信(如192.168.0.0/30),同时为交换卡配置在内网可路由的loopback地址作为radius报文源地址。
Ruijie(config)#interface FastEthernet 5/0 //进入路由器与交换卡互联的接口
Ruijie(config-if)#ip ref //配置ip ref
Ruijie(config)#interface FastEthernet 5/0.1000 //配置路由器上与交换卡通信的接口f5/0.1000
Ruijie(config-if)#encapsulation dot1Q 1000 //使用dot1q 1000封装
Ruijie(config-if)#ip address 192.168.0.1 255.255.255.252 //配置路由器端IP为192.168.0.1/30
Ruijie(config)#vlan 1000 //配置vlan 1000
Ruijie(config)#interface vlan 1000 //创建vlan 1000 SVI接口
Ruijie(config-if)#ip ref //配置ip ref
Ruijie(config-if)#esw-slot assign 5 ip-addr 192.168.0.2 255.255.255.252 //将interface vlan 1000下发到交换卡,并配置IP地址为192.168.0.2/30
Ruijie(config)#esw-slot 5 ip default-gateway 192.168.0.1 //指定交换卡的默认网关为192.168.0.1
Ruijie(config)#esw-slot 5 ip radius source-interface loopback 0 //指定交换卡发送radius报文使用loopback 0地址作为源地址
Ruijie(config)#interface loopback 0 //创建loopback 0接口
Ruijie(config-if)#esw-slot assign 5 ip-addr 10.0.0.1 255.255.255.255 //将loopback 0下发到交换卡,并配置IP地址为10.0.0.1/32
3、配置radius冗余参数(推荐)
Ruijie(config)#aaa new-model
Ruijie(config)#radius-server host 192.168.51.223 key test //配置主radius服务器及key
Ruijie(config)#radius-server host 192.168.33.57 key test //配置备radius服务器及key
Ruijie(config)#radius-server timeout 2 //向radius重传请求之前的等待时间为2秒
Ruijie(config)#radius-server retransmit 1 //radius报文超时后的重传次数
Ruijie(config)#radius-server deadtime 5 //服务器被判定为dead状态后,5分钟内不向该服务器发送认证请求。5分钟后该服务器重新变为active状态,继续向该服务器发送认证请求。
Ruijie(config)#radius-server dead-criteria time 5 tries 2 //判断radius服务器为dead的标准为:5秒内重传2次后radius服务器都无响应,加快判断radius服务器为dead状态,切换到备radius,使后继的认证用户无需再发往主radius而带来认证延时。
Ruijie(config)#aaa group server radius radius_group //新建"radius_group"radius服务器组
Ruijie(config)#server 192.168.51.223 //在服务器组中添加主服务器
Ruijie(config)#server 192.168.33.57 //在服务器组中添加备服务器
4、配置802.1X认证参数(必选)
(1)配置802.1x认证模板
Ruijie(config)#aaa authentication dot1x default group radius_group //配置dot1x认证模板,如需使用逃生功能,需在radius_group后再配置none参数。
Ruijie(config)#dot1x authentication default //指定dot1x认证模板
(2)配置802.1X重认证和认证超时相关参数
Ruijie(config)#dot1x re-authentication //配置dot1x重认证功能
Ruijie(config)#dot1x reauth-max 10 //配置客户端最多可以重认证失败10次
Ruijie(config)#dot1x timeout server-timeout 10 //dot1x认证超时时间为10S,该时间要大于radius的超时时间,否则radius末超时dot1x就超时了。
Ruijie(config)#dot1x timeout tx-period 10 //dot1x认证报文重传间隔
注意:windows xp/vista/server2008系统802.1X功能存在缺陷,使用赛门铁克客户端进行802.1X认证时,会出现路由器重启后导致PC无法认证成功或逃生功能不生效的问题;可通过以下3种方式解决(详见文后的附录):
1、路由器重启后,对路由器上连接存在问题客户端的交换口进行shut/no shut操作。
2、在路由器上配置以上第“(2)配置802.1X重认证和认证超时相关参数”的命令。
3、在windows上安装补丁程序,并修改注册表。
因此在工程实施时,建议将“(2)配置802.1X重认证和认证超时相关参数”配置上去,以解决可能出现的问题。
5、配置主动认证和MAC迁移功能(推荐)
注意:该配置为可选,在开启了dot1x功能的交换口下还再连接HUB或交换机时,建议配置主动认诈和MAC迁移。
Ruijie(config)#no dot1x auto-req user-detect //端口下有用户认证上线后依然继续向该端口发送主动认证报文
Ruijie(config)#dot1x auto-req req-interval 90 //设备主动发出认证请求报文的间隔为90S
Ruijie(config)#dot1x auto-req //配置dot1x主动认证功能
Ruijie(config)#dot1x mac-move permit //允许MAC迁移
6、配置安全通道(必选)
Ruijie(config)#security global
Ruijie(config)#security src-mac src-mac-single 001D.7292.D512 //放通某台网络设备
Ruijie(config)#security src-mac src-mac-single 001D.7292.D513 //放通某台网络设备
Ruijie(config)#security src-mac src-mac-single 001D.7292.D514 //放通某台网络设备
Ruijie(config)#security src-mac src-mac-mask b4b0.0000.0000 ffff.0000.0000 //放通MAC地址为b4b0开头的若干VOIP设备
security dest-ip free-ip 10.39.19.1 //放通到某个IP的流量,使客户端在认证成功之前就能够正常访问该IP
注意:客户端使用赛门铁克客户端进行802.1X认证时,建议在路由器上放通赛门铁克策略服务器的IP;因为赛门铁克客户端必须先与策略服务器通信并下载策略后,才能够进行正常的1X认证;这样便于后继新增认证客户端设备的接入。
7、打开办公终端对应端口的802.1X认证功能(必选)
Ruijie(config)#interface range fastEthernet 5/9 - 24
Ruijie(config-if-range)#dot1x port-control auto //打开端口的802.1X认证功能
五、配置验证
1、完成以上配置后,通过show dot1x summary命令可以看到客户端已经认证成功,在认证成功的客户端上测试业务正常:
Ruijie#show dot1x summary
ID MAC Interface VLAN Auth-State Backend-State Port-Status User-Type
-------- -------------- --------- ---- --------------- ------------- ----------- ---------
6 001d.7292.d512 Fa5/15 200 Authenticated Idle Authed static
2、测试接在办公接口下的VOIP电话、网络广告屏、考勤机等通过安全通道放通的设备,可以正常使用。
六、附录
文档评价
