14-802.1x-HABP操作

华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243. 交换机vlan100包含端口G1/1接口地址192.168.0.1/244. RADIUS server地址为192.168.0.100/245. 本例中交换机为三层交换机『组网需求』1. PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入）vlan10[SwitchA]vlan 102. 将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103. 创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104. 给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05. 创建（进入）vlan20[SwitchA-vlan10]vlan 206. 将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09. 创建（进入）vlan100[SwitchA]vlan 10010. 将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111. 创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012. 给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0【802.1X本地认证缺省域相关配置】1. 在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2. 在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface 后面不加具体的端口，就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103. 这里采用缺省域system，并且缺省域引用缺省radius方案system。

19802.1X配置本章节描述基于AAA服务配置的相关内容。

802.1x用于控制用户对网络访问的认证，并对其提供授权与记帐功能。

本节包含如下内容：⏹19.1概述⏹19.2配置802.1X⏹19.3查看802.1x 的配置及当前的统计值⏹19.4配置802.1x 其它注意事项说明有关本节引用的CLI命令的详细使用信息及说明，请参照《配置802.1X命令》。

19.1概述IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。

这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。

随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。

如何在以太网技术简单、廉价的基础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。

IEEE802.1x 协议正是在这样的背景下提出的。

IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN提供点对点式的安全接入。

这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。

IEEE 802.1x 标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。

客户端要访问网络必须先通过服务器的认证。

在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol overLAN）可以在网络上通行。

在认证成功之后，正常的数据流便可在网络上通行。

应用802.1x我司的设备提供了Authentication，Authorization，and Accounting三种安全功能，简称AAA。

⏹Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户；⏹Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限；⏹Accounting：计账，记录用户使用网络资源的情况，为收费提供依据。

802.1x工作原理1实现功能随着以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求，造成网络终端接入管理混乱。

大量被植入木马、病毒的机器随便接入网络，给网络内部资料的保密，和终端安全的管理带来极大考验。

在此背景下IEEE推出 802.1x协议，它是目前业界最新的标准接入认证协议。

802.1X 的出现结束了非法用户未经授权就能随意进入内部网络的状况，为企业内部安全架起一道强有力的基础安全保障。

2总体流程下面我们介绍802.1X协议的原理、认证过程及配置流程。

2.1802.1X原理分析802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备（如LANS witch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制（Port-Based Network Access Contro1）而定义的一个标准。

IEEE 802.1X是根据用户ID或设备，对网络客户端（或端口）进行鉴权的标准。

该流程被称为“端口级别的鉴权”。

它采用RADIUS（远程认证拨号用户服务）方法，并将其划分为三个不同小组：请求方、认证方和授权服务器。

820.1X 标准应用于试图连接到端口或其它设备（如Cisco Catalyst交换机或Cisco Aironet系列接入点)（认证方）的终端设备和用户（请求方）。

认证和授权都通过鉴权服务器（如Cisco Secure ACS)后端通信实现。

交换机802.1x配置1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X 方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。

HABPHABP简介HABP（HW Bypass Protocol，HW旁路认证协议）是一种链路层应用协议，工作在MAC层之上，其主要作用是让802.1X接入端设备的下游设备直接通过认证。

HABP可以在接入、银行、电力、学校、企业内部管理等多种场合得到应用，一般用于园区、企业等局域网接入层。

特别是，当集群功能和802.1X功能（或MAC地址认证）同时启动时，需要启动设备的HABP功能，如果不启动设备的HABP功能，管理设备将不能对下挂的设备进行管理。

Supplicant Supplicant图1802.1X认证典型组网图如图1所示，802.1X认证端设备Switch A下挂接入设备Switch B和Switch C。

在Switch A及其连接下游设备的端口上启动802.1X认证，终端用户可以通过主机上的802.1X客户端进行认证。

在这种情况下，如果网络设备Switch B和Switch D之间也需要通信，则它们之间的报文在经过Switch A的时候就必须通过802.1X认证。

但是设备上通常不支持802.1X客户端，所以需要一种简单的机制让网络设备也可以通过802.1X认证。

HABP特性就可以解决以上问题，能帮助一些链路层报文穿过802.1X和MAC地址认证，在不影响认证体系正常功能的情况下，实现非终端用户的网络连接设备穿过认证，完成必要的网络设备间协议通信的功能。

HABP协议采用Server/Client结构，每台设备同一时间只能成为一种角色，Server 或Client。

HABP server一般应该在管理设备上启动，例如上图中的Switch A；HABP client应该在下挂的被管理的交换机上启动，例如上图中的Switch B、Switch C、Switch D和Switch E。

通常Server会定期向Client发送HABP请求报文，收集下挂交换机MAC地址，形成HABP表项。

而Client会对请求报文进行应答，同时向下层交换机转发HABP请求报文。

搭建802.1X接入认证环境配置教程Jean.h_wang(1006568)2014-12-18Revision History目录1.环境介绍 (5)2. Radius服务器端的搭建和配置 (6)2.1 EAP-PEAP认证服务器环境搭建 (6)2.1.1 安装前准备 (6)2.1.2 默认域安全设置 (8)2.1.3 配置Active Directory 用户和计算机 (9)2.1.4 设置自动申请证书 (16)2.1.5 配置Internet验证服务（IAS） (19)2.1.5-1 配置Radius客户端 (20)2.1.5-2 配置远程访问记录 (21)2.1.5-3 配置远程访问策略 (22)2.1.5-4 配置连接请求策略 (28)2.1.6 配置Radius认证客户端（TP-Link路由器） (29)2.1.7 Mobile-PEAP验证 (30)2.2 EAP-TLS认证服务器搭建 (31)2.2.1 创建访问策略 (31)2.2.2 编辑访问策略 (34)2.2.3 创建访问用户 (36)2.2.4 生成用户证书 (37)2.2.5 导出CA证书和User证书 (38)2.2.6 Mobile-TLS验证 (39)2.3 EAP-TTLS认证服务器搭建 (40)2.3.1 安装Odyssey server (40)2.3.2 配置Odyssey server (41)2.3.3 Mobile-TTLS验证 (44)1. 环境介绍在真实环境下，802.1x认证的网络拓扑结构如下图：为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用TP-Link路由器：2. Radius服务器端的搭建和配置2.1 EAP-PEAP认证服务器环境搭建2.1.1 安装前准备A) 安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS）[步骤]：开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统（DNS）”。

802.1x工作过程及技术详解802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

网络访问技术的核心部分是PAE（端口访问实体）。

在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

对受控端口的访问，受限于受控端口的授权状态。

认证者的PAE 根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。

处在未授权状态的控制端口将拒绝用户/设备的访问。

1.802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。