802.1x配置命令
目录
•H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)•01-命令行接口命令
•02-登录交换机命令
•03-配置文件管理命令
•04-VLAN命令
•05-配置管理VLAN命令
•06-IP地址-IP性能命令
•07-GVRP命令
•08-端口基本配置命令
•09-端口汇聚命令
•10-端口隔离命令
•11-端口安全命令
•12-MAC地址转发表管理命令
•13-MSTP命令
•14-组播协议命令
•15-802.1x及System-Guard命令
•16-AAA命令
•17-MAC地址认证命令
•18-ARP命令
•19-DHCP命令
•20-ACL命令
•21-QoS命令
•22-镜像命令
•23-Cluster命令
•24-SNMP-RMON命令
•25-NTP命令
•26-SSH命令
•27-文件系统管理命令
•28-FTP-SFTP-TFTP命令
•29-信息中心命令
•30-系统维护与调试命令
•31-VLAN-VPN命令
•32-HWPing命令
•33-IPv6管理命令
•34-LLDP命令
•35-域名解析命令
•36-PKI命令
•37-SSL命令
•38-HTTPS命令
•39-附录
、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)
本章节下载(253.62 KB)
15-802.1x及System-Guard命令
目录
1 802.1x配置命令
1.1 80
2.1x配置命令
1.1.1 display dot1x
1.1.2 dot1x
1.1.3 dot1x authentication-method
1.1.4 dot1x dhcp-launch
1.1.5 dot1x guest-vlan
1.1.6 dot1x handshake
1.1.7 dot1x handshake secure
1.1.8 dot1x mandatory-domain
1.1.9 dot1x max-user
1.1.10 dot1x port-control
1.1.11 dot1x port-method
1.1.12 dot1x quiet-period
1.1.13 dot1x retry
1.1.14 dot1x retry-version-max
1.1.15 dot1x re-authenticate
1.1.16 dot1x supp-proxy-check
1.1.17 dot1x timer
1.1.18 dot1x timer reauth-period
1.1.19 dot1x version-check
1.1.20 reset dot1x statistics
2 HABP配置命令
2.1 HABP配置命令
2.1.1 display habp
2.1.2 display habp table
2.1.3 display habp traffic
2.1.4 habp enable
2.1.5 habp server vlan
2.1.6 habp timer
3 system-guard配置命令
3.1 system-guard配置命令
3.1.1 display system-guard config
3.1.2 system-guard enable
3.1.3 system-guard mode
3.1.4 system-guard permit
1 802.1x配置命令
1.1 80
2.1x配置命令
1.1.1 display dot1x
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface:显示指定端口的802.1x相关信息。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。
如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息。根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并进一步有助于802.1x故障的诊断与排除。
相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control,dot1x port-method, dot1x timer。
【举例】
# 显示802.1x的相关信息。
Global 802.1X protocol is enabled
CHAP authentication is enabled
DHCP-launch is disabled
Handshake is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD Quick Deploy is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
ReAuth Period 3600 s, ReAuth MaxTimes 2
Quiet Period 60 s, Quiet Period Timer is
disabled
Supp Timeout 30 s, Server
Timeout 100 s
Interval between version requests is 30s
Maximal request times for version information is 3
The maximal retransmitting times 2 EAD Quick Deploy configuration:
Url http://192.168.19.23
Free-ip 192.168.19.0 255.255.255.0
Acl-timeout 30m
Total maximum 802.1x user resource number is 1024
Total current used 802.1x resource number is 1
Ethernet1/0/1 is link-up
802.1X protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Version-Check is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Port-based
ReAuthenticate is disabled
Max number of on-line users is 256
Authentication Success: 4, Failed: 2
EAPOL Packets: Tx 7991, Rx 14
Sent EAP Request/Identity Packets : 7981
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 5
EAPOL LogOff Packets: 1
EAP Response/Identity Packets : 4
EAP Response/Challenge Packets: 4
Error Packets: 0
1. Authenticated user : MAC address: 000d-88f6-44c1
Controlled User(s) amount to 1
Ethernet1/0/2
……(以下略)
表1-1 802.1x配置信息描述表
是否检测通过代理登录用户的接入:
disable表示检测用户使用代理后,不发送Trap报文;
enable表示检测用户使用代理后,发送Trap报文。
是否检测通过代理登录用户的接入:
disable表示检测用户使用代理后,不切断用户连接;
enable表示检测用户使用代理后,切断用户连接。
是否检测通过代理登录用户的接入:
disable表示检测用户使用代理后,不发送Trap报文;
enable表示检测用户使用代理后,发送Trap报文。
是否检测通过代理登录用户的接入:
disable表示检测用户使用代理后,不切断用户连接;
enable表示检测用户使用代理后,切断用户连接。
端口是否开启客户端版本检测功能:
disable表示关闭;
enable表示开启。
1.1.2 dot1x
【命令】
dot1x[ interface interface-list ]
undo dot1x[ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list= { interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。undo dot1x 命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用于打开当前端口的802.1x特性。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。
如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数;反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
如果端口启动了802.1x,则不能配置该端口加入汇聚组。反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口Ethernet 1/0/1上的802.1x特性。
System View: return to User View with Ctrl+Z.
[Sysname] dot1x interface Ethernet 1/0/1
# 开启全局的802.1x特性。
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
1.1.3 dot1x authentication-method
【命令】
dot1x authentication-method {chap | pap | eap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS 服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。
相关配置可参考命令display dot1x。
当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。
【举例】
# 设置交换机采用PAP认证。
System View: return to User View with Ctrl+Z.
[Sysname] dot1x authentication-method pap
1.1.4 dot1x dhcp-launch
【命令】
dot1x dhcp-launch
undo dot1x dhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1x dhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。undo dot1x dhcp-launch命令用来取消DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
相关配置可参考命令display dot1x。
【举例】
# 允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
System View: return to User View with Ctrl+Z.
[Sysname] dot1x dhcp-launch
1.1.5 dot1x guest-vlan
【命令】
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:Guest VLAN的VLAN ID,取值范围为1~4094。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x guest-vlan命令用来开启端口的Guest VLAN功能。undo dot1x guest-vlan 命令用来关闭Guest VLAN功能。
Guest VLAN的功能开启后:
交换机将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Identity),如果达到最大发送次数后,端口尚未返回响应报
文,则交换机将该端口加入到Guest VLAN中;
之后属于该Guest VLAN中的用户访问该Guest VLAN中的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。
在系统视图下使用该命令时:
如果不输入interface-list参数,则表示开启所有端口的Guest VLAN功能;
如果指定了interface-list,则表示开启指定端口的Guest VLAN功能。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的Guest VLAN功能。
只有在端口认证方式下,交换机才可以支持Guest VLAN功能;
一台交换机只能配置一个Guest VLAN;
当交换机配置为dot1x dhcp-launch方式时,因为该方式下交换机不发送主动认证报文,Guest VLAN功能不能实现。
【举例】
# 设置认证方式为基于端口的方式。
System View: return to User View with Ctrl+Z.
[Sysname] dot1x port-method portbased
# 开启所有端口的Guest VLAN功能。
[Sysname] dot1x guest-vlan 1
1.1.6 dot1x handshake
【命令】
dot1x handshake enable
undo dot1x handshake enable
【视图】
系统视图
【参数】
无
【描述】
dot1x handshake enable命令用于开启在线用户握手功能。undo dot1x handshake enable命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。
握手报文的发送需要H3C私有客户端的支持,用以探测用户是否在线。
对于非H3C客户端,由于不支持握手功能,在握手周期内交换机不会收到握手回应报文。因此需要将在线用户握手功能关闭,以防止交换机错误地认为用户下线。
【举例】
# 开启在线用户握手功能。
System View: return to User View with Ctrl+Z.
[Sysname] dot1x handshake enable
1.1.7 dot1x handshake secure
【命令】
dot1x handshake secure
undo dot1x handshake secure
【视图】
以太网端口视图
【参数】
无
【描述】
dot1x handshake secure命令用于开启握手报文的安全扩展功能,防止破解客户端造成的攻击。undo dot1x handshake secure命令用于关闭握手报文的安全扩展功能。
缺省情况下,关闭握手报文的安全扩展功能。
握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用,若客户端或者认证服务器不支持握手报文的安全扩展功能,则需要关闭此功能。
【举例】
# 开启握手报文的安全扩展功能。
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x handshake secure
1.1.8 dot1x mandatory-domain
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【视图】
以太网端口视图
【参数】
domain-name:ISP认证域名,
(注:专业文档是经验性极强的领域,无法思考和涵盖全面,素材和资料部分来自网络,供参考。可复制、编制,期待你的好评与关注)
802.1x配置命令
目录 •H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)•01-命令行接口命令 •02-登录交换机命令 •03-配置文件管理命令 •04-VLAN命令 •05-配置管理VLAN命令 •06-IP地址-IP性能命令 •07-GVRP命令 •08-端口基本配置命令 •09-端口汇聚命令 •10-端口隔离命令 •11-端口安全命令 •12-MAC地址转发表管理命令 •13-MSTP命令 •14-组播协议命令 •15-802.1x及System-Guard命令 •16-AAA命令 •17-MAC地址认证命令 •18-ARP命令 •19-DHCP命令 •20-ACL命令 •21-QoS命令 •22-镜像命令 •23-Cluster命令 •24-SNMP-RMON命令 •25-NTP命令 •26-SSH命令 •27-文件系统管理命令 •28-FTP-SFTP-TFTP命令 •29-信息中心命令 •30-系统维护与调试命令 •31-VLAN-VPN命令 •32-HWPing命令 •33-IPv6管理命令 •34-LLDP命令 •35-域名解析命令 •36-PKI命令 •37-SSL命令
•38-HTTPS命令 •39-附录 、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00) 本章节下载(253.62 KB) 15-802.1x及System-Guard命令 目录 1 802.1x配置命令 1.1 80 2.1x配置命令 1.1.1 display dot1x 1.1.2 dot1x 1.1.3 dot1x authentication-method 1.1.4 dot1x dhcp-launch 1.1.5 dot1x guest-vlan 1.1.6 dot1x handshake 1.1.7 dot1x handshake secure 1.1.8 dot1x mandatory-domain 1.1.9 dot1x max-user 1.1.10 dot1x port-control 1.1.11 dot1x port-method 1.1.12 dot1x quiet-period 1.1.13 dot1x retry 1.1.14 dot1x retry-version-max 1.1.15 dot1x re-authenticate 1.1.16 dot1x supp-proxy-check 1.1.17 dot1x timer 1.1.18 dot1x timer reauth-period 1.1.19 dot1x version-check 1.1.20 reset dot1x statistics 2 HABP配置命令 2.1 HABP配置命令 2.1.1 display habp 2.1.2 display habp table 2.1.3 display habp traffic 2.1.4 habp enable 2.1.5 habp server vlan
cisco交换机802.1x配置
思科交换机802.1X认证环境配置 1.1.1.1 :配置IP地址 configure terminal 进入全局的配置模式 配置命令:ip address 举例:ip address 192.168.1.253 255.255.255.0 1.1.1.2 :配置Radius认证服务器地址 configure terminal 进入全局的配置模式 配置命令:radius-server host <0.0.0.0> auth-port
802.1x认证配置
扑 一公司为了安全,实行802.1x 认证 一公司为了安全,实行802.1x 认证 1.在sw1上sw2之间使用trunk链路,使用VTP配置VLAN 10
2.启用三层交换机实现vlan间通行都在sw1上配置 SW1(config)#int vlan 1 SW1(config-if)#ip add 192.168.1.254 255.255.255.0 SW1(config-if)#no sh SW1(config-if)#int vlan 10 SW1(config-if)#ip ad 10.254 255.255.255.0 3.在ACS服务器上配置DHCP服务器,让客户端能够自动获取IP地址.(此处要搭建dhcp服务) SW1(config)#int vlan 10 SW1(config-if)#ip helper-address 192.168.1.100 然后再sw2上配置vlan1的ip是 4在客户机上测试通行能ping通ACS服务器然后查看自动获取到的ip地址
4在安装ACS之前先安装 4搭建ACS安装cisco ACS软件四个复选框各个意思是终端用户能够连接到AAA接入设备 安装ACS的windows服务器能够ping通AAA接入设备AAA接入设备(sw2)运行的ios最顶版本是11.1 使用的浏览器版本最低是IEv6.0SPI或Netscape v8.0
5安装完成后桌面有双击此图标 6注意在此想要运行此软件需要关闭以下功能在添加删除程序中的》添加windows组件中把ie浏览器的勾去掉。才能运行上面的ACS软件
H3C-802.1X配置
目录 1 802.1x配置 1.1 80 2.1x简介 1.1.1 80 2.1x的体系结构 1.1.2 80 2.1x的基本概念 1.1.3 EAPOL消息的封装 1.1.4 EAP属性的封装 1.1.5 80 2.1x的认证触发方式 1.1.6 80 2.1x的认证过程 1.1.7 80 2.1x的定时器 1.1.8 80 2.1x在设备中的实现 1.1.9 和80 2.1x配合使用的特性 1.2 配置80 2.1x 1.2.1 配置准备 1.2.2 配置全局802.1x 1.2.3 配置端口的802.1x 1.3 配置80 2.1x的Guest VLAN 1.3.1 配置准备 1.3.2 配置Guest VLAN 1.4 80 2.1x显示和维护 1.5 80 2.1x典型配置举例 1.6 Guest VLAN、VLAN下发典型配置举例
1 802.1x配置 1.1 80 2.1x简介 IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。 802.1x协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。 1.1.1 80 2.1x的体系结构 802.1x系统为典型的Client/Server结构,如图1-1所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。 图1-1 802.1x认证系统的体系结构 ●客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。 ●设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。 ●认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。 802.1x认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。
802.1x讲解及配置
为什么要实现IEEE802.1x?随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。IEEE802.1x协议具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使用。 IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。 IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。 IEEE802.1x是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LanSwitch设备的端口。连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问LAN 内的资源,相当于物理上断开连接。 下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。 1.IEEE802.1x体系介绍 虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station,这是基于物理端口的; IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。 图1 IEEE802.1x的体系结构
802.1X 使用配置手册
802.1x简介: 802.1x协议起源于802.11协议,802.11是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802 LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LAN Switch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。 随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。 二、802.1x认证体系 802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。 实验所需要的用到设备: 认证设备:cisco 3550 交换机一台 认证服务器:Cisco ACS 4.0 认证客户端环境:Windows xp sp3 实验拓扑:
实验拓扑简单描述: 在cisco 3550上配置802.1X认证,认证请求通过AAA server,AAA server IP地址为:172.16.0.103,认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证,只有认证通过之后方可以进入网络,获得IP地址。 实验目的:通过本实验,你可以掌握在cisco 交换机如何来配置AAA(认证,授权,授权),以及如何配置802.1X,掌握 cisco ACS的调试,以及如何在windows xp 启用认证,如何在cisco 三层交换机上配置DHCP等。。好了,下面动手干活。。 实验过程: Cisco 3550配置 由于cisco 交换机默认生成树都已经运行,开启生成树的目的为了防止网络发生环路,但是根据portfast的特性,如果交换机的某个接口连接的是路由器或者交换机,就可以启用
搭建802.1X接入认证环境配置教程
搭建802.1X接入认证环境配置教程 目录 一、环境介绍 (2) 二、Radius服务器安装步骤 (3) 2.1、安装前准备 (3) 2.2、默认域安全设置 (5) 2.3、配置Active Directory 用户和计算机 (6) 2.4、设置自动申请证书 (12) 2.5、配置Internet验证服务(IAS) (14) 2.5.1、配置Radius客户端 (15) 2.5.2、配置远程访问记录 (16) 2.5.3、配置远程访问策略 (17) 2.5.4、配置连接请求策略 (22) 2.6、配置Internet信息服务(IIS)管理器 (24) 三、测试Radius服务器 (25) 3.1、测试 (25) 3.2、查看日志 (26) 四、配置Radius认证客户端(交换机) (27) 五、接入客户端配置 (28)
一、环境介绍 在真实环境下,802.1x认证的网络拓布结构如下图: 为了测试用,搭建Radius服务器测试环境如下图,Radius服务器采用Windows 2003系统,Radius客户端采用思科3550交换机:
二、Radius服务器安装步骤 2.1、安装前准备 1、安装DNS服务(为安装活动目录做准备的,活动目录必须先安装DNS) [步骤]: 开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统(DNS)”。 2、配置活动目录 [步骤]:(没有特别描述,默认单击“下一步”即可) 第一步:开始→运行→输入活动目录安装命令“dcpromo”,进入活动目录安装向导。 第二步:设置新的域名,如本例“https://www.360docs.net/doc/0f19497508.html,”。 第三步:活动目录安装程序会检测系统是否已经安装DNS,若DNS已经安装,请选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设置为这台计 算机的首选DNS服务器”。否则,请先安装DNS服务。
802.1x MAC-AUTH配置指导
交换机MAC认证(MBA)说明与配置方法 功能说明: 为了完善802.1X解决方案,经过对相关模块的修改,IDNAC3.2以上版本现在已经支持交换机的MAC-AUTH,并在Cisco-3550和H3C-3600上测试通过,主要修改为: (1)在新建NAS设备的时候在Radius配置标签页添加了“此设备使用802.1X的MAC-AUTH认证方式”,选中这个选项的时候此设备来的认证都认为是MAC-AUTH的认证; (2)新终端或者未审批终端接入交换机,并触发MAC-AUTH认证请求的时候,Radius禁止其接入网络; (3)已审批的合法终端接入交换机,并触发MAC-AUTH认证请求,Radius直接发送Accept通知交换机开启端口;
ACK配置步骤如下: 1)新建网络接入设备 2)选择网络访问设备,具体类型和厂商型号可以根据实际情况选 择配置,如果实际型号没有提供,则选择默认,或者接近的一 个。 3)给这个设备命名,填写IP地址
4)配置Radius共享密钥,并勾选此设备支持MAC-AUTH认证方 式。 5)将允许接入的终端配置成合法终端
则此终端允许通过MAC-AUTH入网。交换机具体配置如下: (1)Cisco-3550配置: #全局启用802.1X dot1x system-auth-control #创建radius配置
aaa new-model aaa authentication dot1x default group radius radius-server host 192.168.22.221 key 123456 #进入端口视图 interface fastEthernet 0/2 switchport mode access #端口下启用802.1X dot1x port-control auto #端口下启用mac-auth dot1x mac-auth-bypass #设置mac-auth认证前探测802.1X客户端存在次数dot1x max-reauth-req 1 #探测802.1X客户端重试间隔 dot1x timeout tx-period 1 (2)H3C-3600配置: system-view #创建Radius方案 radius scheme radius1 primary authentication 192.168.22.221 primary accounting 192.168.22.221
802.1x配置命令
目录 ?H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)?01-命令行接口命令 ?02-登录交换机命令 ?03-配置文件管理命令 ?04-VLAN命令 ?05-配置管理VLAN命令 ?06-IP地址-IP性能命令 ?07-GVRP命令 ?08-端口基本配置命令 ?09-端口汇聚命令 ?10-端口隔离命令 ?11-端口安全命令 ?12-MAC地址转发表管理命令 ?13-MSTP命令 ?14-组播协议命令 ?15-802.1x及System-Guard命令 ?16-AAA命令 ?17-MAC地址认证命令 ?18-ARP命令 ?19-DHCP命令 ?20-ACL命令 ?21-QoS命令 ?22-镜像命令 ?23-Cluster命令 ?24-SNMP-RMON命令 ?25-NTP命令 ?26-SSH命令 ?27-文件系统管理命令 ?28-FTP-SFTP-TFTP命令 ?29-信息中心命令 ?30-系统维护与调试命令 ?31-VLAN-VPN命令 ?32-HWPing命令 ?33-IPv6管理命令 ?34-LLDP命令 ?35-域名解析命令 ?36-PKI命令 ?37-SSL命令
?38-HTTPS命令 ?39-附录 、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00) 本章节下载(253.62 KB) 15-802.1x及System-Guard命令 目录 1 802.1x配置命令 1.1 80 2.1x配置命令 1.1.1 display dot1x 1.1.2 dot1x 1.1.3 dot1x authentication-method 1.1.4 dot1x dhcp-launch 1.1.5 dot1x guest-vlan 1.1.6 dot1x handshake 1.1.7 dot1x handshake secure 1.1.8 dot1x mandatory-domain 1.1.9 dot1x max-user 1.1.10 dot1x port-control 1.1.11 dot1x port-method 1.1.12 dot1x quiet-period 1.1.13 dot1x retry 1.1.14 dot1x retry-version-max 1.1.15 dot1x re-authenticate 1.1.16 dot1x supp-proxy-check 1.1.17 dot1x timer 1.1.18 dot1x timer reauth-period 1.1.19 dot1x version-check 1.1.20 reset dot1x statistics 2 HABP配置命令 2.1 HABP配置命令 2.1.1 display habp 2.1.2 display habp table 2.1.3 display habp traffic 2.1.4 habp enable 2.1.5 habp server vlan 2.1.6 habp timer 3 system-guard配置命令 3.1 system-guard配置命令
802.1X典型配置举例
1.11 80 2.1X典型配置举例 1.11.1 80 2.1X认证配置举例 1. 组网需求 用户通过Device的端口GigabitEthernet2/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下: ?由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。 ?端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。?认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。 ?所有接入用户都属于同一个ISP域bbb。 ? Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。 2. 组网图 图1-12 802.1X认证组网图 3. 配置步骤 (1) 配置各接口的IP地址(略) (2) 配置本地用户 # 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)
[Device-luser-network-localuser] password simple localpass # 配置本地用户的服务类型为lan-access。 [Device-luser-network-localuser] service-type lan-access [Device-luser-network-localuser] quit (3) 配置RADIUS方案 # 创建RADIUS方案radius1并进入其视图。 [Device] radius scheme radius1 # 配置主认证/计费RADIUS服务器的IP地址。 [Device-radius-radius1] primary authentication 10.1.1.1 [Device-radius-radius1] primary accounting 10.1.1.1 # 配置备份认证/计费RADIUS服务器的IP地址。 [Device-radius-radius1] secondary authentication 10.1.1.2 [Device-radius-radius1] secondary accounting 10.1.1.2 # 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。 [Device-radius-radius1] key authentication simple name [Device-radius-radius1] key accounting simple money # 配置发送给RADIUS服务器的用户名不携带域名。 [Device-radius-radius1] user-name-format without-domain [Device-radius-radius1] quit (4) 配置ISP域 # 创建域bbb并进入其视图。 [Device] domain bbb # 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。 [Device-isp-bbb] authentication lan-access radius-scheme radius1 local [Device-isp-bbb] authorization lan-access radius-scheme radius1 local [Device-isp-bbb] accounting lan-access radius-scheme radius1 local [Device-isp-bbb] quit (5) 配置802.1X # 开启端口GigabitEthernet2/0/1的802.1X。 [Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] dot1x # 配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。[Device-GigabitEthernet2/0/1] dot1x port-method macbased
H3CNE交换机端口安全配置(802.1x 端口隔离 端口绑定) 交换机-端口绑定与端口安全
H3C端口绑定与端口安全 端口安全: 1.启用端口安全功能 [H3C]port-security enable 2.配置端口允许接入的最大MAC地址数 [H3C-Ethernet1/0/3]port-security max-mac-count count-value 缺省情况下,最大数不受限制为0 3.配置端口安全模式 [H3C-Ethernet1/0/3]port-security port-mode { autolearn |noRestriction… } 4.手动添加Secure MAC地址表项 [H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id 5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作) [H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily } 验证命令: display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] 显示Secure MAC地址的配置信息
端口+IP+MAC绑定 方法一: [H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet 1/0/3 方法二: [H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 验证命令: [H3C]display am user-bind 显示端口绑定的配置信息 端口+IP绑定 [H3C-Ethernet1/0/3] am user-bind ip-addr 192.168.1.106 注: 交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。选用交换机时应该注意交换机所支持的最大ARP表项的数目。 H3CNE交换机端口安全配置(802.1x 端口隔离端口绑定) 实验5 交换机端口安全技术
华为交换机802.1X配置
1 功能需求及组网说明 『配置环境参数』 1. 交换机vlan10包含端口E0/1—E0/10接口地址10。10。1。1/24 2. 交换机vlan20包含端口E0/11—E0/20接口地址10。10。2.1/24 3。交换机vlan100包含端口G1/1接口地址192。168.0。1/24 4. RADIUS server地址为192。168.0.100/24 5。本例中交换机为三层交换机 『组网需求』 1。 PC1和PC2能够通过交换机本地认证上网 2. PC1和PC2能够通过RADIUS认证上网 2 数据配置步骤 『802。1X本地认证流程』 用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证,如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息,端口仍然为非授权状态。【SwitchA相关配置】 1. 创建(进入)vlan10 [SwitchA]vlan 10 2. 将E0/1—E0/10加入到vlan10 [SwitchA—vlan10]port Ethernet 0/1 to Ethernet 0/10 3. 创建(进入)vlan10的虚接口 [SwitchA]interface Vlan-interface 10 4。给vlan10的虚接口配置IP地址 [SwitchA-Vlan-interface10]ip address 10。10。1.1 255。255。255。0 5。创建(进入)vlan20 [SwitchA—vlan10]vlan 20 6. 将E0/11—E0/20加入到vlan20 [SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20 7. 创建(进入)vlan20虚接口
V7 iMC与我司交换机配合做802
V7 iMC与我司交换机配合做802.1x认证的典型配置一、组网需求: 支持802.1x特性的交换机;iMC服务器;iNode客户端。 二、组网图: 设备说明: NAS:S3652 iMC :7.0E0102或更高版本。其IP地址为192.168.1.12 iNode :V2.4-F0335或更高版本。 三、配置步骤:
前提条件是iMC、NAS、User均路由可达。 1.配置NAS # 配置Radius服务器 [H3C]radius scheme test //radius策略取名只要符合字符要求即可,此例中取名为test [H3C -radius-h3c]server-type extended //服务类型选择为extended,表示启用的是扩展类型。可以配合iMC 使用更多扩展特性。若选择为standard,则仅仅只能做简单的身份认证。[H3C -radius-h3c]primary authentication 192.168.1.12 1812 [H3C -radius-h3c]primary accounting 192.168.1.12 1813 //配置radius服务器的IP地址,本例中radius服务器的IP地址为192.168.1.12,认证和计费端口分别为1812和1813 [H3C -radius-h3c]key authentication h3c [H3C -radius-h3c]key accounting h3c //认证和计费的共享密钥必须一致。此例中密钥设置为h3c。当然也可根据情况设置为其符合要求的字符。
[H3C -radius-h3c]user-name-format without-domain # 配置认证域domain [H3C]domain h3c //域名的取名只要是符合要求的字符均可。本例中名称取为h3c。[H3C-isp-h3c]authentication lan-access radius-scheme test [H3C-isp-h3c]authorization lan-access radius-scheme test [H3C-isp-h3c]accounting lan-access radius-scheme test [H3C]domain default enable test //将交换机上的缺省domain设置为定义的test # 配置VLAN [H3C]Vlan 2 [H3C-vlan2]Port interface GigabitEthernet1/1/1 to GigabitEthernet1/1/4 [H3C]Interface vlan 2//管理Vlan [H3C -Interface-vlan-2]ip add 192.168.1.99 255.255.255.0 [H3C]Interface vlan 1//用户Vlan
配置cisco交换机IEEE802.1x认证
配置IEEE 802.1x 认证一下部分描述如何配置IEEE 802.1x 基于端口的认证:• IEEE 802.1x 认证的缺省配置 • IEEE 802.1x 认证配置向导 • 配置IEEE 802.1x 认证(必须) • 配置主机模式可选) • 启用定期重认证(可选l) • 手动要求连接端口的客户端进行重新认证(可选) • 改变静默周期(可选l) • 改变交换机到客户端的帧重传时间(可选) • 设定交换机到客户端的帧重传个数(可选l) • 配置访客VLAN (可选) • 配置一个受限制的VLAN (可选l) • 重置IEEE 802.1x 配置为缺省值(可选) 缺省情况下的IEEE 802.1x 认证配置 Table 9-2列出了缺省情况下的IEEE 802.1x 认证配置
禁用AAA, 使用no aaa new-model全局配置命令。禁用IEEE 802.1x AAA 认证,使用no aaa authentication dot1x default全局配置命令。禁用IEEE 802.1x AAA 授权,使用no aaa authorization 全局配置命令。禁用交换机的IEEE 802.1x 认证,使用no dot1x system-auth-control全局配置命令。 配置主机模式Mode 进入特权模式,遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。这个过程时可选的。 禁用多主机使用802.1x认证的端口,使用no dot1x host-mode multi-host端口配置命令 例子: Switch(config)# interface fastethernet0/1 Switch(config-if)# dot1x port-control auto Switch(config-if)# dot1x host-mode multi-host 启用定期重认证 你可以启用定期IEEE 802.1x 客户端重认证并指定多久发生一次。如果启用了重认证单并未指定重认证周期,缺省的周期为3600秒。 进入特权模式,遵循如下步骤启用客户端的定期重认证,并配置重认证的间隔。这个过程不是必须的。
迈普路由器-第22章-802.1x配置
迈普路由器-第22章-802.1x配 置(总24页) --本页仅作为文档封面,使用时请直接删除即可-- --内页可以根据需求调整合适字体及大小--
第22章配置 本章主要讲述了迈普系列路由交换机支持的功能以及详细的配置信息。 章节主要内容: 介绍 配置 应用举例 监控与维护 22.1介绍 22.1.1简介 是IEEE在2001年6月提出的宽带接入认证方案,它定义了基于物理端口的网络接入控制协议(Port-Based Network Access Control)。利用IEEE 802架构局域网的物理访问特性,提供了一套对以点对点方式(point-to-point)连接到局域网端口(Port)上的设备进行认证、授权的方法。 具有如下特点: 1.方案简洁。仅仅关注端口的打开与关闭。对于合法用户(根据帐号和密码)接入时 该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认 证的结果在于端口状态的改变,是各种认证技术中最简化的实现方案。 2.所使用的EAP协议只定义了认证消息的通信方式(the means of communication authentication information),而没有定义具体的认证机制(authentication mechanism)。因此可以灵活地选择认证机制,(包括:Smart Card、 Kerberos、 Public Key Encryption、 One Time Password等)。 3.IEEE 协议为二层协议,不需要到达三层。也就是说,客户端系统在认证中,不需IP
地址。认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址,使用发送者的MAC地址作为源MAC地址。 4.采用纯以太网技术,通过认证之后的数据包不存在封装与解封装的问题,因而效率 高,消除了网络瓶颈。 5.用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求, 业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不 受认证方式限制。同时,计费方式可以灵活选择,支持根据用户时长的计费方式。 6.实现了分散的访问控制(由靠近用户并支持协议的以太网交换机实现)与集中的认 证管理(支持RADIUS和TACACS+服务器),因此整个认证结构比较协调。 22.1.2对标准的扩展 迈普系列交换机不仅支持标准协议还对其进行了扩展和优化以适应各种不同的应用需求。 1.支持在一个端口下接入多个用户。标准协议是基于端口实现的,即只要该端口下某 一个用户认证成功后,其他用户无需认证就可以使用网络资源,但是当该用户下线 后,其他用户也会被拒绝使用网络。迈普系列交换机支持基于用户的认证(基于 MAC地址),当端口配置为基于用户的认证时,该端口下的每个用户都需要单独认证,只有认证成功的用户才能使用网络资源,某个用户下线后,也只有该用户无法 使用网络,并不影响其他已认证用户的网络的使用。 2.支持EAP终结。标准协议规定客户端和认证服务器之间通过EAP报文进行交互,设 备在此交互中充当着“EAP中继”的角色,设备将客户端发送来的EAP数据封装在其 他协议中,例如Radius协议,然后发送给认证服务器,同样地,设备也将认证服务器发送过来的EAP数据封装在EAPOL报文中转发给客户端,这种交互方式我们称之为EAP中继。EAP中继要求认证服务器支持EAP协议,否则认证服务器将无法与客
最新H3C-802.1x典型配置举例
精品资料 H3C-802.1x典型配 置举例 ........................................
802.1x典型配置举例 关键词:802.1x,AAA 摘要:本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置,对所涉及到的 802.1x客户端、交换机、AAA服务器等角色, 分别给出了详细的配置步骤。 缩略语:AAA(Authentication,Authorization and Accounting,认证、授权和计费)
第1章 802.1x功能介绍 说明: 本章中的802.1x功能适用于H3C S3600、H3C S5600、H3C S3100、H3C S5100、H3C S3100-52P、E352&E328、E126和E152这一系列以太网交换机。 1.1 80 2.1x简介 IEEE 802协议定义的局域网不提供接入认证,一般来说,只要用户接入局域网就可以访问网络上的设备或资源。但是对于如电信接入、写字楼、局域网以及移动办公等应用场合,网络管理者希望能对用户设备的接入进行控制和配置,为此产生了基于端口或用户的网络接入控制需求。 802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。802.1x作为一种基于端口的用户访问控制机制,由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。 1.2 产品特性支持情况 1.2.1 全局配置 开启全局的802.1x 特性 设置时间参数