802.1X用户的RADIUS认证
802.1X集成Radius认证
802.1X集成Radius认证802.1X是一种网络访问控制协议,它提供了对网络中用户和设备的认证和授权。
Radius(远程身份验证拨号用户服务)是一种用于网络访问控制的认证和授权协议。
802.1X集成Radius认证意味着将这两种协议结合在一起使用,以增强网络的安全性和管理能力。
802.1X协议的主要目的是验证连接到LAN或WLAN的用户或设备的身份,并根据他们的认证状态控制他们的访问权限。
它是一种基于端口的认证方法,只有在用户或设备提供有效的凭证后,才能建立网络连接。
这可以防止未授权的用户或设备访问网络资源,保护网络的安全性。
Radius协议是一种用于网络认证和授权的协议,它通过对用户身份进行验证,并为其分配相应的权限和访问级别来控制网络访问。
Radius服务器负责处理用户认证请求,并与认证服务器进行通信进行身份验证和授权。
集成Radius认证意味着802.1X协议将使用Radius服务器来处理认证请求和授权决策。
802.1X集成Radius认证提供了许多优势。
首先,它增强了网络的安全性。
通过要求用户或设备提供有效的凭证,并通过Radius服务器进行身份验证,可以防止未经授权的用户或设备访问网络资源。
这可以减少网络攻击的风险,保护敏感数据和资源的安全性。
其次,802.1X集成Radius认证提供了更好的管理能力。
通过使用Radius服务器,网络管理员可以更轻松地管理和控制用户对网络资源的访问。
他们可以根据用户的身份和权限,对其进行精确的访问控制。
此外,管理员还可以跟踪和审计用户的网络活动,以确保他们的行为符合网络策略和合规要求。
另外,802.1X集成Radius认证还可以支持灵活的网络配置和部署。
由于Radius协议的灵活性,网络管理员可以根据实际需求和网络拓扑来配置和部署认证和授权策略。
他们可以定义不同的认证方法、访问权限和策略,并将其应用到不同的网络设备和用户上。
最后,802.1X集成Radius认证还提供了互操作性。
Radius认证服务器的配置与应用讲解
客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用
IEEE 802.1x认证系统的组成
IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。
IEEE 802.1x 客户端标准的软件,目前最典型的
"0801010047",密码"123",确定。
、验证成功后可以ping一下172.17.2.254进行验证,同时可以观察到交换机FastEthernet0/5端口
802.1x验证,请确认Wireless Configuration服务正常开启。
、可以通过"控制面板"-"管理工具"中的"事件查看器"-"系统"子选项观察802.1x的验证日志。
认证服务器的配置与应用(802.1x)
协议
是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可
”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网(LAN)
IEEE 802体系定义的局域网不提供接入认证,只要
交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,
"0801010047"加入到"802.1x"用户组中。鼠标右键单击用户"0801010047",选择"属性"。在
"隶属于",然后将其加入"802.1x"用户组中。
RADIUS服务器的”Internet验证服务”窗口中,需要为Cisco2950交换机以及通过该交换机进行认证
802.1X认证过程
802.1X认证过程802.1X认证过程如下图(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenge d-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束;(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;(12)RADIUS用户认证服务器回应计费开始请求报文。
用户上线完毕。
通过抓包,可以看到在终端能见的认证过程启动认证程序,开始认证认证端返回的信息,请求用户名终端发送用户名(013854是认证的用户名)接入设备发送EAP-Request/MD5-Challenge,要求客户端进行认证终端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-wo rd,在EAP-Response/MD5-Challenge回应给接入设备认证成功Keep alive信息退出时,终端发送Logoff信息。
802.1X认证原理
802.1X认证原理802.1X(dot1x) 技术简介802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。
802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。
802.1x简介:IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802. 1X协议。
后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1X协议是一种基于接口的网络接入控制协议。
“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。
802.1X认证的特点:o安全性高,认证控制点可部署在网络接入层或汇聚层。
o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。
使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。
o技术成熟,被广泛应用于各类型园区网员工接入。
802.1X认证应用场景:o有线接入层:安全性最高,设备管理复杂。
o有线汇聚层:安全性中高,设备少,管理方便。
o无线接入:安全性高,设备少,管理方便。
802.1X系统架构:802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。
o客户端是位于局域网段一端的一个实体,由该链路另一端的接入设备对其进行认证。
客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1X认证。
客户端必须支持局域网上的可扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)。
o接入设备是位于局域网段一端的另一个实体,对所连接的客户端进行认证。
802.1X和RADIUS和AAA它们三者之间的关系?
802.1X和RADIUS和AAA它们三者之间的关系?802.1X和RADIUS和AAA它们三者之间的关系?Radius 远程接入验证服务器,也就是认证用的AAA 就是Radius服务器实现的功能:验证,计费和授权802.1x不知道怎样解析,反正最早期是用在无线网络的验证协议,现在好多校园网都使用这种验证方式Radius不一定用于验证802.1x用户,还可以用户其他用途,如PPPOE验证(ADSL普遍使用PPPOE),vpn拨号验证等等...举两个例子:PPPOE验证PC---PPPOE接入服务器----互联网----Radius服务器802.1xPC-交换机(带Radius客户端功能)---Radius服务器而这两个情况完全可以使用同一个Radius服务器进行统一认证管理AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。
其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。
1、验证(Authentication): 验证用户是否可以获得访问权限;2、授权(Authorization) : 授权用户可以使用哪些服务;3、记账(Accounting) : 记录用户使用网络资源的情况。
目前RADIUS(Remote Authentication Dial In User Service)协议是唯一的AAA标准,在IETF的RFC 2865和2866中定义的。
RADIUS 是基于UDP 的一种客户机/服务器协议。
RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。
802.1x+RADIUS认证计费技术原理及配置
PPP帧格式
• 一个典型的PPP协议的帧格式
Flag Address Control Protocol Information
•protocol域表明协议类型为C227(PPP EAP) 时,在PPP数据链路层帧的Information域中 封装且仅封装PPP EAP数据包
EAP报文格式
Code
• IEEE 802.1x标准定义了一种基于“客户端——服务器”(ClientServer)模式实现了限制未认证用户对网络的访问。客户端要访 问网络必须先通过认证服务器的认证。在客户端通过认证之前, 只有EAPOL报文(Extensible Authentication Protocol over LAN) 可以在网络上通行。在认证成功之后,通常的数据流便可在网络 上通行。
控制方式
网络性能 组播支持 VLAN要求 客户端软件 对设备要求 安全性
数据认证统一
差 差 无 需要 集中的BAS设备 差
数据认证统一
差 好 多 不需要 集中BAS设备 差
数据认证分离
好 好 无 需要 接入层交换机 高
议程
• 认证计费原理及技术(AAA、Radius) • IEEE 802.1X协议以及应用 • 锐捷RG-SAM的安装与配置 • 锐捷安全交换机的802.1X配置
802.1X典型应用(一)
802.1X典型应用(二)
议程
• 认证计费原理及技术(AAA、Radius) • IEEE 802.1X协议以及应用 • 锐捷RG-SAM的安装与配置 • 锐捷安全交换机的802.1X配置
锐捷网络的安全认证计费产品
• Radius Server – RG-Radius、RG-SAM • NAS(Radius Client) – 锐捷全系列安全交换机、路由器、防火墙 • 接入用户 – 802.1x的认证客户端软件STAR Supplicant(分SuA普 通安装版本和SuB免安装版本)
H3C无线配置-6无线控制器远程802.1X认证
H3C⽆线配置-6⽆线控制器远程802.1X认证1.创建radius⽅案radius scheme sangfor #创建radius⽅案并进⼊其视图primary authentication 10.5.208.250 #配置主认证RADIUS服务器的IP地址primary accounting 10.5.208.250 #配置主计费RADIUS服务器的IP地址key authentication simple sangfor #配置AC与认证RADIUS服务器交互报⽂时的共享密钥为明⽂字符串key accounting simple sangfor #配置AC与计费RADIUS服务器交互报⽂时的共享密钥为明⽂字符串user-name-format without-domain #配置发送到radius服务器的⽤户名格式为不带@+域名nas-ip 10.5.208.9 #配置设备发送RADIUS报⽂使⽤的源IP地址2.创建domaindomain chindata #创建domain并进⼊其视图authentication lan-access radius-scheme sangfor #配置802.1X认证⽤户使⽤radius⽅案sangfor进⾏认证authorization lan-access radius-scheme sangfor #配置802.1X认证⽤户使⽤radius⽅案sangfor进⾏授权accounting lan-access radius-scheme sangfor #配置802.1X认证⽤户使⽤radius⽅案sangfor进⾏计费3.开启RADUIS session control功能radius session-control enable4.配置802.1X系统的认证⽅法dot1x authentication-method eap #配置802.1X系统的认证⽅法为EAPdot1x retry 10 #配置802.1X重试次数dot1x timer supp-timeout 3 #配置802.1X请求超时时间为3秒dot1x timer tx-period 3 #配置⾝份请求超时时间为3秒dot1x ead-assistant enable #配置ead认证助⼿功能 ############# Can't enable the EAD assistant function when MAC authentication is enabled globally dot1x ead-assistant free-ip 10.1.41.101255.255.255.255 #配置ead免认证5.配置⽆线服务模板wlan service-template cdgssid CDGclient association-location apclient forwarding-location apakm mode dot1x #配置⾝份认证与密钥管理的模式为802.1Xcipher-suite ccmpsecurity-ie rsnsecurity-ie wpaclient-security authentication-mode dot1x # 配置⽤户接⼊认证模式为802.1X。
华三交换机802.1认证例子
S7500系列交换机802.1x认证功能的典型配置一、组网需求:1、要求在各端口上对用户接入进行认证,以控制其访问Internet;接入控制模式要求是基于MAC地址的接入控制。
2、所有接入用户都属于一个缺省的域:,该域最多可容纳30个用户;认证时,采用先RADIUS再LOCAL的方式;计费时,如果RADIUS计费失败则切断用户连接使其下线;接入时在用户名后不添加域名,正常连接时如果用户有超过20分钟流量持续小于2000Bytes的情况则切断其连接。
3、系统与认证RADIUS服务器交互报文时的加密密码为“cams”系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
4、本地802.1x接入用户的用户名为h3cuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态。
二、组网图:图1. 组网图1)PC属于VLAN1,IP地址为10.10.1.10/24;2)两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,前者作为主认证/备份计费服务器,后者作为备份认证/主计费服务器。
三、配置步骤:1) 开启全局802.1x特性。
<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] dot1x2) 开启指定端口Ethernet 1/0/1的802.1x特性。
[H3C] dot1x interface Ethernet 1/0/13) 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[H3C] dot1x port-method macbased interface Ethernet 1/0/14) 创建RADIUS方案radius1并进入其视图。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
802.1X用户的RADIUS认证、授权和计费配置1. 组网需求在图1-26所示的组网环境中,需要实现使用RADIUS服务器对通过Switch接入的802.1X用户进行认证、授权和计费。
●在接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证,并采用基于MAC地址的接入控制方式,即该端口下的所有用户都需要单独认证;●Switch与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名携带域名;●用户认证时使用的用户名为dot1x@bbb。
●用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。
●对802.1X用户进行包月方式计费,费用为120元/月,以月为周期对用户上网服务的使用量按时长进行统计,允许每月最大上网使用量为120个小时。
2. 组网图图1-26 802.1X用户RADIUS认证、授权和计费配置组网图3. 配置步骤●请按照组网图完成端口和VLAN的配置,并保证在用户通过认证后能够自动或者手动更新IP地址与授权VLAN中的资源互通。
●下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606、iMC UAM3.60-E6206、iMC CAMS 3.60-E6206),说明RADIUS server的基本配置。
(1)配置RADIUS server# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
●设置与Switch交互报文时的认证、计费共享密钥为“expert”;●设置认证及计费的端口号分别为“1812”和“1813”;●选择业务类型为“LAN接入业务”;●选择接入设备类型为“H3C”;●选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;●其它参数采用缺省值,并单击<确定>按钮完成操作。
添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。
缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
●若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口Vlan-interface3的IP地址10.1.1.2,则此处接入设备IP地址就选择10.1.1.2。
●若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图1-27 增加接入设备# 增加计费策略。
选择“业务”页签,单击导航树中的[计费业务/计费策略管理]菜单项,进入计费策略管理页面,在该页面中单击<增加>按钮,进入计费策略配置页面。
●输入计费策略名称“UserAcct”;●选择计费策略模板为“包月类型”;●设置包月基本信息:计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”;●设置包月使用量限制:允许每月最大上网使用量为120个小时。
●其它参数采用缺省值,并单击<确定>按钮完成操作。
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入服务器配置管理页面,在该页面中单击<增加>按钮,进入增加服务配置页面。
●输入服务名为“Dot1x auth”、服务后缀为“bbb”,此服务后缀为802.1X用户使用的认证域。
指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;●选择计费策略为“UserAcct”;●配置授权下发的VLAN ID为“4”;●本配置页面中还有其它服务配置选项,请根据实际情况选择配置;●单击<确定>按钮完成操作。
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入接入用户列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
●选择或者手工增加用户姓名为“test”;●输入帐号名“dot1x”和密码;●选择该用户所关联的接入服务为“Dot1x auth”;●本配置页面中还有其它服务配置选项,请根据实际情况选择配置;●单击<确定>按钮完成操作。
(2)配置Switch●配置RADIUS方案# 创建名字为rad的RADIUS方案并进入该方案视图。
<Switch> system-view[Switch] radius scheme rad# 配置RADIUS方案的服务器类型。
使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rad] server-type extended# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rad] primary authentication 10.1.1.1[Switch-radius-rad] primary accounting 10.1.1.1[Switch-radius-rad] key authentication expert[Switch-radius-rad] key accounting expert# 配置发送给RADIUS服务器的用户名携带ISP域名。
[Switch-radius-rad] user-name-format with-domain[Switch-radius-rad] quit●配置认证域# 创建并进入名字为bbb的ISP域。
[Switch] domain bbb# 配置ISP域的RADIUS方案rad。
[Switch-isp-bbb] authentication lan-access radius-scheme rad[Switch-isp-bbb] authorization lan-access radius-scheme rad[Switch-isp-bbb] accounting lan-access radius-scheme rad[Switch-isp-bbb] quit# 配置系统缺省的ISP域bbb,所有接入用户共用此缺省域的认证和计费方式。
若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable bbb●配置802.1X认证# 开启全局802.1X认证。
[Switch] dot1x# 开启端口GigabitEthernet1/0/1的802.1X认证。
[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] dot1x[Switch-GigabitEthernet1/0/1] quit# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Switch] dot1x port-method macbased interface gigabitethernet 1/0/14. 验证配置结果●若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。
●若使用iNode 802.1X客户端,则无需启用任何高级认证选项。
对于使用iNode 802.1X客户端的用户,在客户端的用户属性中输入正确的用户名“dot1x@bbb”和密码后,通过主动发起连接可成功通过认证;对于使用Windows XP 802.1X客户端的用户,在系统自动弹出的认证对话框中输入正确的用户名“dot1x@bbb”和密码后,可成功通过认证。
认证通过后,服务器向该用户所在端口授权下发了VLAN 4。
# 可以通过如下命令查看到AAA用户的连接信息。
[Switch] display connectionSlot: 1Index=22 , Username=dot1x@bbbIP=192.168.1.58IPv6=N/AMAC=0015-e9a6-7cfeTotal 1 connection(s) matched on slot 1.Total 1 connection(s) matched.# 可以通过如下命令查看该连接的详细信息,其中授权VLAN为VLAN 4。
[Switch] display connection ucibindex 22Slot: 1Index=22 , Username=dot1x@bbbMAC=0015-e9a6-7cfeIP=192.168.1.58IPv6=N/AAccess=8021X ,AuthMethod=CHAPPort Type=Ethernet,Port Name=GigabitEthernet1/0/1Initial VLAN=1, Authorization VLAN=4ACL Group=DisableUser Profile=N/ACAR=DisablePriority=DisableStart=2009-04-26 19:41:12 ,Current=2009-04-26 19:41:25 ,Online=00h00m14s Total 1 connection matched.。