802.1x基础培训

IEEE 802.1x协议起源于802.11，其主要⽬的是为了解决⽆线局域⽤户的接⼊认证问题。

802.1x 协议⼜称为基于端⼝的访问控制协议，可提供对802.11⽆线局域和对有线以太络的验证的络访问权限。

802.1x协议仅仅关注端⼝的打开与关闭，对于合法⽤户接⼊时，打开端⼝；对于⾮法⽤户接⼊或没有⽤户接⼊时，则端⼝处于关闭状态。

IEEE 802.1x协议的体系结构主要包括三部分实体：客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System. （1）客户端：⼀般为⼀个⽤户终端系统，该终端系统通常要安装⼀个客户端软件，⽤户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

（2）认证系统：通常为⽀持IEEE 802.1x协议的络设备。

该设备对应于不同⽤户的端⼝有两个逻辑端⼝：受控（controlled Port）端⼝和⾮受控端⼝（uncontrolled Port）。

第⼀个逻辑接⼊点（⾮受控端⼝），允许验证者和 LAN 上其它计算机之间交换数据，⽽⽆需考虑计算机的⾝份验证状态如何。

⾮受控端⼝始终处于双向连通状态（开放状态），主要⽤来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。

第⼆个逻辑接⼊点（受控端⼝），允许经验证的 LAN ⽤户和验证者之间交换数据。

受控端⼝平时处于关闭状态，只有在客户端认证通过时才打开，⽤于传递数据和提供服务。

受控端⼝可配置为双向受控、仅输⼊受控两种⽅式，以适应不同的应⽤程序。

如果⽤户未通过认证，则受控端⼝处于未认证（关闭）状态，则⽤户⽆法访问认证系统提供的服务。

（3）认证服务器：通常为RADIUS服务器，该服务器可以存储有关⽤户的信息，⽐如⽤户名和⼝令、⽤户所属的VLAN、优先级、⽤户的访问控制列表等。

当⽤户通过认证后，认证服务器会把⽤户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，⽤户的后续数据流就将接接受上述参数的监管。

华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243. 交换机vlan100包含端口G1/1接口地址192.168.0.1/244. RADIUS server地址为192.168.0.100/245. 本例中交换机为三层交换机『组网需求』1. PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入）vlan10[SwitchA]vlan 102. 将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103. 创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104. 给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05. 创建（进入）vlan20[SwitchA-vlan10]vlan 206. 将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09. 创建（进入）vlan100[SwitchA]vlan 10010. 将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111. 创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012. 给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0【802.1X本地认证缺省域相关配置】1. 在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2. 在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface 后面不加具体的端口，就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103. 这里采用缺省域system，并且缺省域引用缺省radius方案system。

802.1x重认证原理标题：802.1x重认证原理详解一、引言随着科技的发展和网络安全的日益重要，802.1x协议作为一种可扩展的身份验证协议，被广泛应用于无线网络接入控制。

它能有效防止未经授权的设备访问网络资源，保护网络的安全性。

本文将详细介绍802.1x重认证原理。

二、802.1x协议概述802.1x是一种基于端口的网络接入控制协议，由IEEE（电气电子工程师学会）制定。

它定义了用户接入网络时的身份认证过程，包括用户身份的鉴别、授权和计费等功能。

在802.1x协议中，主要涉及到三个角色：客户端、认证服务器和交换机。

三、802.1x重认证原理802.1x重认证是指当用户已经通过认证后，由于某些原因需要重新进行认证的过程。

这个过程中，客户端会发送一个EAP-Request/Identity给认证服务器，认证服务器接收到请求后，会发送一个EAP-Response/Identity给客户端，然后客户端根据接收到的信息判断是否需要重新认证。

重认证的主要原因是保持用户的在线状态，防止用户的非法使用。

例如，如果用户的账号密码发生了改变，或者用户的权限发生了变化，就需要重新进行认证。

此外，如果用户的设备更换或者移动到另一个位置，也需要重新进行认证。

四、802.1x重认证流程1. 客户端发起重认证请求：客户端向交换机发送一个EAP-Request/Identity消息，表示需要进行重认证。

2. 交换机转发请求：交换机接收到请求后，将其转发给认证服务器。

3. 认证服务器响应：认证服务器接收到请求后，会发送一个EAP-Response/Identity消息给交换机，表明接受重认证请求。

4. 交换机转发响应：交换机接收到响应后，将其转发给客户端。

5. 客户端进行重认证：客户端接收到响应后，会进行重新认证，包括输入新的账号密码等信息。

6. 认证服务器验证：认证服务器接收到客户端的新信息后，会进行验证。

7. 交换机控制端口状态：如果验证成功，交换机会打开相应的端口，允许客户端访问网络；如果验证失败，交换机会关闭相应的端口，阻止客户端访问网络。

无线安全－802.1x 和EAP 类型按字母表示的EAP 类型- MD5、LEAP、PEAP、FAST、TLS 和TTLS注：该数据不适用于家庭或小型办公室用户，他们通常不使用高级安全功能（如本页中讨论的功能）。

不过这些用户可能会发现它很有参考价值。

802.1x 概述它是一种通过认证保护网络的端口访问协议。

此类型的验证方法在无线环境中因该媒体的性质而特别有用。

如果无线用户通过802.1x 网络访问验证，接入点上会打开一个用于通信的虚拟端口。

如果验证不成功，则不会提供虚拟端口，并将阻断通信。

802.1x 验证分为3 个基本部分：1.请求者- 在无线工作站上运行的软件客户端2.验证者- 无线接入点3.认证服务器- 一个认证数据库，通常是一个Radius 服务器（例如Cisco ACS*、Funk Steel-Belted RADIUS* 或Microsoft* IAS*）EAP (可扩展验证协议) 用于在请求者（无线工作站）和验证服务器（(Microsoft IAS 或其它）之间传输验证信息。

实际验证有EAP 类型定义和处理。

作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。

使用哪一个？应用哪一类EAP 或是否应用802.1x 取决于机构所需的安全级别和期望的管理开支/功能。

此处的说明和比较表将帮助减少了解各种可用EAP 类型的困难。

可扩展验证协议(EAP) 验证类型由于WLAN 安全是非常必要，EAP 验证类型提供了一种更好地保障WLAN 连接的方式，经销商正在迅速开发和添加EAP 验证类型至他们的WLAN 接入点。

部分最常部署的EAP 验证类型包括EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和Cisco LEAP。

∙EAP-MD-5 (消息摘要) 质询是一种提供基本级别EAP 支持的EAP 验证类型。

EAP-MD-5 通常不建议用于无线LAN 执行，因为它可能衍生用户密码。

S21交换机 802.1x认证配置方法锐捷网络远程技术支持中心技术热线：4008-111-000福建星网锐捷网络有限公司802.1x 的配置注意事项1）只有支持802.1x 的产品，才能进行以下设置。

2）802.1x 既可以在二层下又可以在三层下的设备运行。

3）要先设置认证服务器的IP 地址，才能打开1X 认证。

4）打开端口安全的端口不允许打开1X 认证。

5）Aggregate Port 不允许打开1X 认证。

802.1x 的默认配置下表列出 802.1x 的一些缺省值认证Authentication 关闭DISABLE 记帐Accounting 关闭DISABLE 认证服务器(Radius Server)*服务器IP 地址(ServerIp) *认证UDP 端口*密码(Key) *无缺省值*1812*无缺省值记帐服务器(Accounting Server) *记帐服务器IP 地址*记帐UDP 端口*无缺省值1813所有端口的类型非受控端口（所有端口均无须认证便可直接通讯定时重认证re-authentication 打开定时重认证周期reauth_period 3600 秒认证失败后允许再次认证的间隔 5重传时间间隔30 秒最大重传次数 2 次客户端超时时间30 秒，在该段时间内没有收到客户端的响应便认为这次通讯失败服务器超时时间30 秒，在该段时间内没有收到服务器的回应，便认为这次通讯失败某端口下可认证主机列表无缺省值福建星网锐捷网络有限公司设置802.1X 认证的开关当打开802.1x 认证时，交换机会主动要求受控端口上的主机进行认证，认证不过的主机不允许访问网络。

例：设置Server Ip 为192.1.1.1、认证Udp 端口为600、以明文方式设置约定密码：Switch#configure terminalSwitch(config)#radius-server host 192.1.1.1Switch(config)#radius-server auth-port 600Switch(config)#radius-server key MsdadShaAdasdj878dajL6g6ga Switch(config)#end打开/关闭一个端口的认证在802.1x 打开的情形下，打开一个端口的认证，则该端口成为受控口,连接在该端口下的用户要通过认证才能访问网络，然而，在非受控端口下的用户可以直接访问网络。

802.1x认证基本实验标签：802.1x 分类：CCNP实验802.1x认证基本实验实验拓扑及相关ip设置：本实验要求PC机通过802.1x认证上网，通过认证后自动获取地址，并自动划分入vlan10中。

本实验模拟器用GNS3，虚拟机用Vmware。

在Vmware中安装windows xp 和windows Server 2003，在windows Server 2003中安装ACS 服务器。

1.虚拟环境的搭建：虚拟机安装完后会在物理机中添加Vmnet1 和Vmnet8两块网卡，Vmnet8是做NA T用的我们这里不用它，可以把它禁用掉，然后我们再添加一块网卡。

设置步骤：（我的Vmware是7.1版本的，勤劳的童鞋可以自己去下载汉化包。

）添加Vmnet2，这里我们把“Use local DHCP……”的勾去掉，等下我们用交换机做DHCP，添加完后会在我们的电脑里多出一块Vmnet2的网卡，添加完后要重启电脑！接下来为两台虚拟机选择网卡，xp选择vmnet1 ，win2003选择vmnet2。

选择VM—setting：绑定好网卡后设置ip：VMware xp 中的网卡设为自动获取ip，vmnet1 随便给它个ip吧。

VMware win 2003 和vmnet2 设置同一网段的ip实验中我们真正要用到的地址是Vmware 虚拟主机中的地址，配置vmnet地址是为了桥接。

配完ip后在Vmware 虚拟主机中去ping vmnet的地址能通就行了。

接下来在GNS3中搭建拓扑：在GNS3中桥接网卡其实很简单，只要从左边的设备栏里面拉一个“Cloud”就行了，想要我图中的效果只要改变下云的图标就行了，change symbol 改变图标，就是我图中那样了。

在PC上点右键，选择配置：Radius_Server做法是一样。

我在windows 7中做这个实验发现桥接后不能通信，所以建议用xp做此实验。

到这虚拟环境就搭好了，哈哈，至于虚拟机、在虚拟机中装系统、ACS的我就不说了。

目录1 802.1x配置1.1 802.1x简介1.1.1 802.1x的体系结构1.1.2 802.1x的基本概念1.1.3 EAPOL消息的封装1.1.4 EAP属性的封装1.1.5 802.1x的认证触发方式1.1.6 802.1x的认证过程1.1.7 802.1x的定时器1.1.8 802.1x在设备中的实现1.1.9 和802.1x配合使用的特性1.2 配置802.1x1.2.1 配置准备1.2.2 配置全局802.1x1.2.3 配置端口的802.1x1.3 配置802.1x的Guest VLAN1.3.1 配置准备1.3.2 配置Guest VLAN1.4 802.1x显示和维护1.5 802.1x典型配置举例1.6 Guest VLAN、VLAN下发典型配置举例1 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。

后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制协议（port based network access control protocol）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

1.1.1 802.1x的体系结构802.1x系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。

图1-1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。

实验一 锐捷802.1x 交换机的配置【实验名称】锐捷RG-S2126G 系列接入层交换机的802.1与Radius 协议配置。

【实验目的】掌握锐捷RG-S2126G 系列接入增交换机基于802.1x 与Radius 协议结合RG-SAM2.1认证版实现安全接入认证的配置。

【预备知识】● IEEE802.1x ；● Radius ；● 二层交换【背景描述】假设您是某公司的网络管理人员，鉴于公司网络安全管理的需要，需要实现对用户接入公司网络进行必要的身份控制，公司决定部署基于IEEE802.1x 与RADIUS 协议的认证管理系统。

本实验是RG-SAM2.1认证版系列实验的第一步。

在进行相关实验之前，首先要配置锐捷21系列接入层交换机开启802.1x 与Radius 协议。

【实现功能】实现LAN 接入的安全身份认证。

【实验拓扑】【实验设备】1．RG-S2126G 一台；2．PC 机一台，用于配置交换机的终端。

【实验步骤】第一步：查看交换机版本信息验证测试：查看交换机版本信息：Switch>show versionSystem description : Red-Giant Gigabit Intelligent Switch(S2126G) By Ruijie NetworkSystem uptime : 0d:0h:8m:40sRG-S2126G 192.168.0.2/24 RG-SAM Server 192.168.0.185/24PC1192.168.0.44/24System hardware version : 3.3System software version : 1.5(1) Build Mar 3 2005 TempSystem BOOT version : RG-S2126G-BOOT 03-02-02System CTRL version : RG-S2126G-CTRL 03-05-02Running Switching Image : Layer2Switch>第二步：初始化交换机配置所有的交换机在开始进行配置前，必需先进行初始化，清除原有的一切配置，命令如下：Switch>Switch>enableSwitch#delete flash:config.text !删除配置（在实验室实验时请实验指导老师清除相关配置）Switch#reload…..Switch#configure terminal !进入配置层Switch(config)#验证测试：使用命令show running-config命令查看配置信息，删除原始配置信息后该命令的打印结果如下：Switch#show running-configBuilding configuration...Current configuration : 318 bytes!version 1.0!hostname Switchvlan 1!endSwitch#第三步：Switch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#ip default-gateway 192.168.0.1 设置交换机默认网关，实现跨网段管理交换机Switch(config)#interface vlan 1Switch(config-if)#ip address 192.168.0.2 255.255.255.0Switch(config)#exitSwitch(config)#enable secret level 1 5 starSwitch(config)#enable secret level 15 5 starSwitch(config)#radius-server host 192.168.0.185 auth-port 1812指定RADIUS服务器的地址及UDP认证端口Switch(config)#aaa accounting server 192.168.0.185 指定记账服务器的地址Switch(config)#aaa accounting acc-port 1813 指定记账服务器的UDP端口Switch(config)#aaa authentication dot1x 开启AAA功能中的802.1x认证功能Switch(config)#aaa accounting 开启AAA功能中的记账功能Switch(config)#radius-server key star 设置RADIUS服务器认证字Switch(config)#snmp-server community public rw为通过简单网络管理协议访问交换机设置认证名（public为缺省认证名）并分配读写权限Switch(config)#interface fastEthernet 0/4实验中将在4号接口启动802.1x的认证Switch(config-if)#dot1x port-control auto 设置该接口参与802.1x认证Switch(config-if)#exitSwitch(config)#exitSwitch#writeBuilding configuration...[OK]Switch#验证测试：将两台PC（使用192.168.0.0/24网段的地址，实验中客户端PC使用地址192.168.0.44/24，服务器使用地址192.168.0.185/24）连接到交换机除4号端口外的其他任意两个端口上，在任何一个PC上进行连通性测试（ping）。