华为,华赛8021x配置

802.1X简介

IEEE 802.1X标准（以下简称802.1X）是一种基于接口的网络接入控制（Port Based Network Access Control）协议。“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

802.1X系统为典型的Client/Server体系结构，包括三个实体：

?Supplicant（客户端）

客户端一般为用户终端设备，由设备端对其进行认证。客户端需要安装802.1X的客户

端软件，如Windows自带的802.1X客户端。客户端必须支持局域网上的可扩展认证协

议EAPoL（Extensible Authentication Protocol over LAN）。

?Authenticator（设备端）

设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的接口。

?Authentication Server（认证服务器）

认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、

授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程

认证拨号用户服务）服务器。

说明：

在没有外部认证服务器的情况下，USG可以同时作为本地认证服务器和设备端。USG的

本地认证服务配置请参见配置本地认证。

在有外部认证服务器的情况下，USG作为设备端。USG上对接RADIUS的配置请参见配

置RADIUS认证。

认证实体的信息交换关系如图1所示。

设备端与认证服务器之间通过EAP帧交换信息。客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。

图1 802.1X认证系统的体系结构

当客户端发起认证请求时，设备端作为中继与客户端和认证服务器交互，经过一系列的认证过程后，如果认证成功，设备的接口成为授权状态，允许客户端通过授权接口访问网络。

配置本地认证

本地认证是指在没有外部认证服务器的情况下，使用USG作为本地认证服务器。

操作步骤

1.创建本地用户。

a.执行命令system-view，进入系统视图。

b.执行命令aaa，进入AAA视图。

c.执行命令local-user user-name password { simple | cipher } password，创

建用户并配置密码。

d.执行命令local-user user-name level3，配置用户级别为3。

用户级别必须配置为3，这样用户才能进行认证授权。

2.创建认证方案，配置认证方式为local。

a.执行命令authentication-scheme scheme-name，创建认证方案，并进入认证方案

视图。

b.执行命令authentication-mode local，配置认证方式为local。

c.执行命令quit，退回到AAA视图。

3.创建域并引用认证方案。

说明：

系统默认存在一个名为dot1x的域。

a.执行命令domain domain-name，创建域，并进入域视图。

当用户使用带域名的用户名进行802.1X认证时，必须在此处配置相应的域。例如：

带域名的用户名为user1@abc，那么必须要配置域abc，否则认证无法通过。

b.执行命令authentication-scheme scheme-name，引用2中创建的认证方案。

配置RADIUS认证

RADIUS认证是指在有外部RADIUS服务器的情况下，使用RADIUS服务器作为认证服务器。

背景信息

本手册只介绍USG上RADIUS的配置。RADIUS服务器的相关配置请参见RADIUS服务器的相关手册。

操作步骤

1.创建认证方案，配置认证方式为RADIUS。

a.执行命令system-view，进入系统视图。

b.执行命令aaa，进入AAA视图。

c.执行命令authentication-scheme scheme-name，创建认证方案，并进入认证方案

视图。

d.执行命令authentication-mode radius，配置认证方法为RADIUS类型。

2.配置RADIUS模板。

说明：

此处的RADIUS配置必须和RADIUS服务器上的配置保持一致，否则无法完成和RADIUS服务器的对接。

a.执行命令return，返回用户视图。

b.执行命令system-view，进入系统视图。

c.执行命令radius-server template template-name，创建RADIUS服务器模板，并

进入RADIUS服务器模板视图。

d.执行命令radius-server authentication ip-address port，配置RADIUS主认证

服务器。

e.（可选）执行命令radius-server authentication ip-address port secondary，

配置RADIUS备份认证服务器。

f.执行命令radius-server type standard，配置使用的RADIUS协议。

802.1X认证中，仅支持standard协议。

g.执行命令radius-server shared-key key-string，配置RADIUS服务器的密钥。

h.执行命令undo radius-server user-name domain-included，配置传递不带域名

的用户名给RADIUS服务器。

进行802.1X认证时，必须配置传递不带域名的用户名给RADIUS服务器。

i.执行命令quit，进入系统视图。

3.创建域并引用RADIUS服务器模板和认证方案。

说明：

系统默认存在一个名为dot1x的域。

a.执行命令aaa，进入AAA视图。

b.执行命令domain domain-name，创建域，并进入域视图。

当用户使用带域名的用户名进行802.1X认证时，必须在此处配置相应的域。例如：

带域名的用户名为user1@abc，那么必须要配置域abc，否则认证无法通过。

c.执行命令radius-server template-name，引用2中配置的RADIUS服务器模板。

d.执行命令authentication-scheme scheme-name，引用1中配置的认证方案。

配置以太网接入用户的802.1X认证

以太网的802.1X认证是指对指定以太网接口上接入的用户进行802.1X认证。

背景信息

逻辑接口不支持802.1X功能。

USG2100和USG2100BSR/HSR支持802.1X功能的接口卡包括：5FSW、8FE+2GE。USG2200/5100、USG2200BSR/HSR和USG5100BSR/HSR支持802.1X功能的接口卡包括：5FSW、8FE+2GE、16GE+4SFP、18FE+2SFP。

以太网客户端802.1X接入的认证方式支持MD5、TLS、TTLS、PEAP。

操作步骤

1.在接口上启用80

2.1X功能。

a.执行命令system-view，进入系统视图。

b.执行命令interface interface-type interface-number，进入以太网接口视图。

c.执行命令dot1x enable，在接口上启用802.1X功能。

缺省情况下，禁用所有接口的802.1X功能。

2.执行命令dot1x domain domain-name，引用认证域。

缺省情况下，使用默认的认证域dot1x。

在一个接口下只能引用一个认证域。

此处的认证域必须已经在配置认证服务中配置。

只有当用户使用不带域名的用户名进行802.1X认证时，才会使用此处引用的域进行认证。

对于带域名的用户名，使用原来的域进行认证。

3.执行命令dot1x port-control { authorized | auto | unauthorized }，配置接口接入

控制的模式。

缺省情况下，接口接入控制的模式为auto。

接入控制模式的说明如下：

?authorized：强制授权模式。接口始终处于授权状态，允许用户不经认证授权即可访问网络资源。

?auto：自动识别模式。接口初始状态为非授权状态，仅允许EAPoL报文收发，不允许用户访问网络资源；如果认证通过，则接口切换到授权状态，允许用户访问网络

资源。这也是最常见的情况。

?unauthorized：强制非授权模式。接口始终处于非授权状态，不允许用户访问网络资源。

4.可选：执行命令dot1x port-method { mac | port }，配置接口的认证方式。

说明：

只有在接口接入控制模式配置为auto时，才能配置接口的认证方式。

缺省情况下，接口接入控制的方式为mac。

接入控制方式的说明如下：

?mac：表示基于MAC地址对接入用户进行认证，即该接口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

?port：表示基于接口对接入用户进行认证，即只要该接口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用

户也会被拒绝使用网络。

5.可选：配置静默定时器。

启用静默定时器后，如果某个用户进行802.1X认证时失败，USG将该用户列入静默期。

在静默期内，USG不处理该用户再次的802.1X认证请求（不影响其他用户的802.1X认证），从而防止攻击。

.执行命令dot1x quiet-period enable，启用静默定时器。

缺省情况下，禁用静默定时器功能。

a.执行命令dot1x timer quiet-period time，配置静默定时器时间。

缺省情况下，静默定时器的时间为60秒。

6.可选：执行命令dot1x dhcp-trigger enable，启用DHCP Discover报文触发认证。

DHCP Discover报文触发认证是指客户端在申请动态IP地址时触发USG对客户端的802.1X 认证。

说明：

此命令只能在接口的认证方式为mac时使用。

DHCP Discover报文触发认证只适用于用户PC需要动态申请IP地址且不会主动发起802.1X认证的情况下，例如当用户PC的操作系统为Windows XP sp2，且没有安装任何独立802.1X客户端，并需要通过DHCP来动态获取IP地址时，就需要启用DHCP Discover 报文触发认证。否则用户PC只能获取IP地址，无法通过802.1X认证。

缺省情况下，禁用DHCP Discover报文触发认证。

7.可选：配置802.1X客户端在线检测。

802.1X客户端在线检测功能用来定期检测802.1X认证成功的客户端是否在线。如果得不到客户端的应答，USG就会让客户端下线，防止USG无法感知用户由于异常原因下线，从而避免接口连接资源的异常占用。

.执行命令dot1x keep-live enable，启用802.1X客户端在线检测。

缺省情况下，禁用802.1X客户端在线检测。

a.执行命令dot1x timer keep-live keep-interval，配置定期检测定时器时间间隔。

缺省情况下，定期检测定时器的时间间隔为15秒。

说明：

启用802.1X客户端在线检测后，如果将定期检测定时器时间间隔配置为大于默认值（比如20秒），可能会导致某些客户端主动发出EAPOL Start报文，重新进行认证。出现这种情况是因为某些客户端在收到定期检测报文后，会期待收到后续的报文，如果在一定时间内没有收到报文，它会误认为此次认证没有完成，于是主动发出EAPoL Start报文，进行重新认证，某些客户端则不会这样，这依赖于客户端的具体实现。

当出现这种情况时，请将定期检测定时器的时间间隔恢复为缺省值或者更小的值。

配置WLAN接入用户的802.1X认证

WLAN（Wireless Local Area Network）接入用户的802.1X认证是指对WLAN接入的用户进行802.1X 认证。

背景信息

WLAN接入的802.1X认证方式支持TLS、TTLS、PEAP。

操作步骤

1.配置WLAN-BSS接口。

a.执行命令system-view，进入系统视图。

b.执行命令interface wlan-bss interface-number，创建WLAN-BSS接口。

c.执行命令port access vlan vlan-number，将WLAN-BSS接口加入到VLAN。

这个VLAN必须已经创建。

d.执行命令quit，回退到系统视图。

2.配置服务类。

1个AP（Access Point）所覆盖的范围被称为BSS（Basic Service Set）。

说明：

此处仅介绍使用802.1X时，需要配置的服务类命令，其他命令请参见“配置WLAN”。

a.执行命令wlan service-class service-class-number crypto，进入服务类视图。

b.执行命令ssid ssid-name，配置SSID的名称。

每个BSS由SSID（Service Set Identifier）来区分。客户端必须配置与USG相同

的SSID才能访问USG。

c.可选：执行命令security-mode open-system，配置链路层安全模式。

缺省情况下，链路层安全模式为open-system。

只有当链路层安全模式为open-system时，才可以配置authentication-method。

d.执行命令authentication-method method-name，配置认证方式。

配置802.1X时，认证方式必须选择WPA、WPA2或WPA-WPA2。

客户端的认证方式必须和USG上服务类配置的认证方式一致，才能建立连接。

e.执行命令service-class enable，启用服务类。

f.执行命令dot1x domain domain-name，引用认证域。

缺省情况下，使用默认的认证域dot1x。

在一个接口下只能引用一个认证域。

此处的认证域必须已经在配置认证服务中配置。

只有当用户使用不带域名的用户名进行802.1X认证时，才会使用此处引用的域进

行认证。对于带域名的用户名，使用用户名自带的域进行认证。

说明：

只有在服务类关闭的情况下才可以引用域。

g.可选：配置静默定时器。

启用静默定时器后，如果某个用户进行802.1X认证时失败，USG将该用户列入静默

期。在静默期内，USG不处理该用户再次的802.1X认证请求（不影响其他用户的

802.1X认证），从而防止攻击。

1.执行命令dot1x quiet-period enable，启用静默定时器。

缺省情况下，禁用静默定时器功能。

2.执行命令dot1x timer quiet-period time，配置静默定时器时间。

缺省情况下，静默定时器的时间为60秒。

3.绑定服务类与WLAN-BSS接口。

服务类和WLAN-BSS接口绑定后，即代表USG上的一个虚拟AP创建成功。

a.执行命令quit，回退到系统视图。

b.执行命令interface wlan-rf interface-number，进入射频接口视图。

c.执行命令bind service-class service-class-number interface

interface-number，绑定服务类和WLAN-BSS接口。

一个WLAN-BSS接口只能绑定一个服务类。

配置802.1X客户端

介绍802.1X客户端需要配置的注意事项。

注意：

请不要在USG上将客户端的MAC地址配置为黑洞MAC地址或静态MAC地址，并且与客户端接入

802.1X认证的接口处于同一VLAN，否则，802.1X认证无法通过。

说明：

由于802.1X客户端的多样性，本手册不介绍802.1X客户端的具体配置，具体配置请参见802.1X 客户端的配置手册。

WLAN客户端的配置原则

1.SSID、认证模式应与USG保持一致。

2.802.1X认证的认证方式、用户名和密钥应与认证服务器上配置的用户名和密钥保持一致。以太网客户端的配置原则

1.认证模式应与USG保持一致。

2.802.1X认证的认证方式、用户名和密钥应与认证服务器上配置的认证方式、用户名和密

钥保持一致。

配置以太网接入用户的802.1X认证举例

通过举例介绍在USG上配置802.1X功能，使以太网接入用户进行802.1X认证。

组网需求

某企业组网如图1所示。

图1 配置以太网接入用户的802.1X认证举例