华为,华赛8021x配置
802.1X简介
IEEE 802.1X标准(以下简称802.1X)是一种基于接口的网络接入控制(Port Based Network Access Control)协议。“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
802.1X系统为典型的Client/Server体系结构,包括三个实体:
?Supplicant(客户端)
客户端一般为用户终端设备,由设备端对其进行认证。客户端需要安装802.1X的客户
端软件,如Windows自带的802.1X客户端。客户端必须支持局域网上的可扩展认证协
议EAPoL(Extensible Authentication Protocol over LAN)。
?Authenticator(设备端)
设备端通常为支持802.1X协议的网络设备,它为客户端提供接入局域网的接口。
?Authentication Server(认证服务器)
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、
授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程
认证拨号用户服务)服务器。
说明:
在没有外部认证服务器的情况下,USG可以同时作为本地认证服务器和设备端。USG的
本地认证服务配置请参见配置本地认证。
在有外部认证服务器的情况下,USG作为设备端。USG上对接RADIUS的配置请参见配
置RADIUS认证。
认证实体的信息交换关系如图1所示。
设备端与认证服务器之间通过EAP帧交换信息。客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。
图1 802.1X认证系统的体系结构
当客户端发起认证请求时,设备端作为中继与客户端和认证服务器交互,经过一系列的认证过程后,如果认证成功,设备的接口成为授权状态,允许客户端通过授权接口访问网络。
配置本地认证
本地认证是指在没有外部认证服务器的情况下,使用USG作为本地认证服务器。
操作步骤
1.创建本地用户。
a.执行命令system-view,进入系统视图。
b.执行命令aaa,进入AAA视图。
c.执行命令local-user user-name password { simple | cipher } password,创
建用户并配置密码。
d.执行命令local-user user-name level3,配置用户级别为3。
用户级别必须配置为3,这样用户才能进行认证授权。
2.创建认证方案,配置认证方式为local。
a.执行命令authentication-scheme scheme-name,创建认证方案,并进入认证方案
视图。
b.执行命令authentication-mode local,配置认证方式为local。
c.执行命令quit,退回到AAA视图。
3.创建域并引用认证方案。
说明:
系统默认存在一个名为dot1x的域。
a.执行命令domain domain-name,创建域,并进入域视图。
当用户使用带域名的用户名进行802.1X认证时,必须在此处配置相应的域。例如:
带域名的用户名为user1@abc,那么必须要配置域abc,否则认证无法通过。
b.执行命令authentication-scheme scheme-name,引用2中创建的认证方案。
配置RADIUS认证
RADIUS认证是指在有外部RADIUS服务器的情况下,使用RADIUS服务器作为认证服务器。
背景信息
本手册只介绍USG上RADIUS的配置。RADIUS服务器的相关配置请参见RADIUS服务器的相关手册。
操作步骤
1.创建认证方案,配置认证方式为RADIUS。
a.执行命令system-view,进入系统视图。
b.执行命令aaa,进入AAA视图。
c.执行命令authentication-scheme scheme-name,创建认证方案,并进入认证方案
视图。
d.执行命令authentication-mode radius,配置认证方法为RADIUS类型。
2.配置RADIUS模板。
说明:
此处的RADIUS配置必须和RADIUS服务器上的配置保持一致,否则无法完成和RADIUS服务器的对接。
a.执行命令return,返回用户视图。
b.执行命令system-view,进入系统视图。
c.执行命令radius-server template template-name,创建RADIUS服务器模板,并
进入RADIUS服务器模板视图。
d.执行命令radius-server authentication ip-address port,配置RADIUS主认证
服务器。
e.(可选)执行命令radius-server authentication ip-address port secondary,
配置RADIUS备份认证服务器。
f.执行命令radius-server type standard,配置使用的RADIUS协议。
802.1X认证中,仅支持standard协议。
g.执行命令radius-server shared-key key-string,配置RADIUS服务器的密钥。
h.执行命令undo radius-server user-name domain-included,配置传递不带域名
的用户名给RADIUS服务器。
进行802.1X认证时,必须配置传递不带域名的用户名给RADIUS服务器。
i.执行命令quit,进入系统视图。
3.创建域并引用RADIUS服务器模板和认证方案。
说明:
系统默认存在一个名为dot1x的域。
a.执行命令aaa,进入AAA视图。
b.执行命令domain domain-name,创建域,并进入域视图。
当用户使用带域名的用户名进行802.1X认证时,必须在此处配置相应的域。例如:
带域名的用户名为user1@abc,那么必须要配置域abc,否则认证无法通过。
c.执行命令radius-server template-name,引用2中配置的RADIUS服务器模板。
d.执行命令authentication-scheme scheme-name,引用1中配置的认证方案。
配置以太网接入用户的802.1X认证
以太网的802.1X认证是指对指定以太网接口上接入的用户进行802.1X认证。
背景信息
逻辑接口不支持802.1X功能。
USG2100和USG2100BSR/HSR支持802.1X功能的接口卡包括:5FSW、8FE+2GE。USG2200/5100、USG2200BSR/HSR和USG5100BSR/HSR支持802.1X功能的接口卡包括:5FSW、8FE+2GE、16GE+4SFP、18FE+2SFP。
以太网客户端802.1X接入的认证方式支持MD5、TLS、TTLS、PEAP。
操作步骤
1.在接口上启用80
2.1X功能。
a.执行命令system-view,进入系统视图。
b.执行命令interface interface-type interface-number,进入以太网接口视图。
c.执行命令dot1x enable,在接口上启用802.1X功能。
缺省情况下,禁用所有接口的802.1X功能。
2.执行命令dot1x domain domain-name,引用认证域。
缺省情况下,使用默认的认证域dot1x。
在一个接口下只能引用一个认证域。
此处的认证域必须已经在配置认证服务中配置。
只有当用户使用不带域名的用户名进行802.1X认证时,才会使用此处引用的域进行认证。
对于带域名的用户名,使用原来的域进行认证。
3.执行命令dot1x port-control { authorized | auto | unauthorized },配置接口接入
控制的模式。
缺省情况下,接口接入控制的模式为auto。
接入控制模式的说明如下:
?authorized:强制授权模式。接口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
?auto:自动识别模式。接口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则接口切换到授权状态,允许用户访问网络
资源。这也是最常见的情况。
?unauthorized:强制非授权模式。接口始终处于非授权状态,不允许用户访问网络资源。
4.可选:执行命令dot1x port-method { mac | port },配置接口的认证方式。
说明:
只有在接口接入控制模式配置为auto时,才能配置接口的认证方式。
缺省情况下,接口接入控制的方式为mac。
接入控制方式的说明如下:
?mac:表示基于MAC地址对接入用户进行认证,即该接口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
?port:表示基于接口对接入用户进行认证,即只要该接口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用
户也会被拒绝使用网络。
5.可选:配置静默定时器。
启用静默定时器后,如果某个用户进行802.1X认证时失败,USG将该用户列入静默期。
在静默期内,USG不处理该用户再次的802.1X认证请求(不影响其他用户的802.1X认证),从而防止攻击。
.执行命令dot1x quiet-period enable,启用静默定时器。
缺省情况下,禁用静默定时器功能。
a.执行命令dot1x timer quiet-period time,配置静默定时器时间。
缺省情况下,静默定时器的时间为60秒。
6.可选:执行命令dot1x dhcp-trigger enable,启用DHCP Discover报文触发认证。
DHCP Discover报文触发认证是指客户端在申请动态IP地址时触发USG对客户端的802.1X 认证。
说明:
此命令只能在接口的认证方式为mac时使用。
DHCP Discover报文触发认证只适用于用户PC需要动态申请IP地址且不会主动发起802.1X认证的情况下,例如当用户PC的操作系统为Windows XP sp2,且没有安装任何独立802.1X客户端,并需要通过DHCP来动态获取IP地址时,就需要启用DHCP Discover 报文触发认证。否则用户PC只能获取IP地址,无法通过802.1X认证。
缺省情况下,禁用DHCP Discover报文触发认证。
7.可选:配置802.1X客户端在线检测。
802.1X客户端在线检测功能用来定期检测802.1X认证成功的客户端是否在线。如果得不到客户端的应答,USG就会让客户端下线,防止USG无法感知用户由于异常原因下线,从而避免接口连接资源的异常占用。
.执行命令dot1x keep-live enable,启用802.1X客户端在线检测。
缺省情况下,禁用802.1X客户端在线检测。
a.执行命令dot1x timer keep-live keep-interval,配置定期检测定时器时间间隔。
缺省情况下,定期检测定时器的时间间隔为15秒。
说明:
启用802.1X客户端在线检测后,如果将定期检测定时器时间间隔配置为大于默认值(比如20秒),可能会导致某些客户端主动发出EAPOL Start报文,重新进行认证。出现这种情况是因为某些客户端在收到定期检测报文后,会期待收到后续的报文,如果在一定时间内没有收到报文,它会误认为此次认证没有完成,于是主动发出EAPoL Start报文,进行重新认证,某些客户端则不会这样,这依赖于客户端的具体实现。
当出现这种情况时,请将定期检测定时器的时间间隔恢复为缺省值或者更小的值。
配置WLAN接入用户的802.1X认证
WLAN(Wireless Local Area Network)接入用户的802.1X认证是指对WLAN接入的用户进行802.1X 认证。
背景信息
WLAN接入的802.1X认证方式支持TLS、TTLS、PEAP。
操作步骤
1.配置WLAN-BSS接口。
a.执行命令system-view,进入系统视图。
b.执行命令interface wlan-bss interface-number,创建WLAN-BSS接口。
c.执行命令port access vlan vlan-number,将WLAN-BSS接口加入到VLAN。
这个VLAN必须已经创建。
d.执行命令quit,回退到系统视图。
2.配置服务类。
1个AP(Access Point)所覆盖的范围被称为BSS(Basic Service Set)。
说明:
此处仅介绍使用802.1X时,需要配置的服务类命令,其他命令请参见“配置WLAN”。
a.执行命令wlan service-class service-class-number crypto,进入服务类视图。
b.执行命令ssid ssid-name,配置SSID的名称。
每个BSS由SSID(Service Set Identifier)来区分。客户端必须配置与USG相同
的SSID才能访问USG。
c.可选:执行命令security-mode open-system,配置链路层安全模式。
缺省情况下,链路层安全模式为open-system。
只有当链路层安全模式为open-system时,才可以配置authentication-method。
d.执行命令authentication-method method-name,配置认证方式。
配置802.1X时,认证方式必须选择WPA、WPA2或WPA-WPA2。
客户端的认证方式必须和USG上服务类配置的认证方式一致,才能建立连接。
e.执行命令service-class enable,启用服务类。
f.执行命令dot1x domain domain-name,引用认证域。
缺省情况下,使用默认的认证域dot1x。
在一个接口下只能引用一个认证域。
此处的认证域必须已经在配置认证服务中配置。
只有当用户使用不带域名的用户名进行802.1X认证时,才会使用此处引用的域进
行认证。对于带域名的用户名,使用用户名自带的域进行认证。
说明:
只有在服务类关闭的情况下才可以引用域。
g.可选:配置静默定时器。
启用静默定时器后,如果某个用户进行802.1X认证时失败,USG将该用户列入静默
期。在静默期内,USG不处理该用户再次的802.1X认证请求(不影响其他用户的
802.1X认证),从而防止攻击。
1.执行命令dot1x quiet-period enable,启用静默定时器。
缺省情况下,禁用静默定时器功能。
2.执行命令dot1x timer quiet-period time,配置静默定时器时间。
缺省情况下,静默定时器的时间为60秒。
3.绑定服务类与WLAN-BSS接口。
服务类和WLAN-BSS接口绑定后,即代表USG上的一个虚拟AP创建成功。
a.执行命令quit,回退到系统视图。
b.执行命令interface wlan-rf interface-number,进入射频接口视图。
c.执行命令bind service-class service-class-number interface
interface-number,绑定服务类和WLAN-BSS接口。
一个WLAN-BSS接口只能绑定一个服务类。
配置802.1X客户端
介绍802.1X客户端需要配置的注意事项。
注意:
请不要在USG上将客户端的MAC地址配置为黑洞MAC地址或静态MAC地址,并且与客户端接入
802.1X认证的接口处于同一VLAN,否则,802.1X认证无法通过。
说明:
由于802.1X客户端的多样性,本手册不介绍802.1X客户端的具体配置,具体配置请参见802.1X 客户端的配置手册。
WLAN客户端的配置原则
1.SSID、认证模式应与USG保持一致。
2.802.1X认证的认证方式、用户名和密钥应与认证服务器上配置的用户名和密钥保持一致。以太网客户端的配置原则
1.认证模式应与USG保持一致。
2.802.1X认证的认证方式、用户名和密钥应与认证服务器上配置的认证方式、用户名和密
钥保持一致。
配置以太网接入用户的802.1X认证举例
通过举例介绍在USG上配置802.1X功能,使以太网接入用户进行802.1X认证。
组网需求
某企业组网如图1所示。
图1 配置以太网接入用户的802.1X认证举例