802.1X协议培训教程-华为

华为5700本机完成802.1X用户认证配置网络需求：需要公司人员根据自己的工号完成了802.1x认证之后才能进行通信和访问外网网络实验拓扑：第一步：建立802.1x认证用户[manage-converged]aaa[manage-converged-aaa]local-user cd00470 password cipher 12345 [manage-converged-aaa]local-user cd00470 service-type 8021x 指定用户的服务类型第二步：开启全局802.1x功能[manage-converged]dot1x enable[manage-converged]dot1x authentication-method chapPAP（Password Authentication Protocol）是一种两次握手认证协议，它采用明文方式传送口令。

CHAP（Challenge Handshake Authentication Protocol）是一种三次握手认证协议，它只在网络上传输用户名，而并不传输口令。

相比之下，CHAP认证保密性较好，更为安全可靠。

EAP认证功能，意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。

如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一，只需启动EAP认证即可第三步：开启接口802.1x功能[manage-converged-GigabitEthernet0/0/26]dot1x enable[manage-converged-GigabitEthernet0/0/26]dot1x port-method ?mac Authentication based on user MAC addressport Authentication based on switch port基于端口模式：只要连接在该端口的第一个MAC设备通过认证，该端口连接的其他MAC设备不用认证都允许接入。

华为802.1x认证客户端使用说明
新802.1x认证客户端使用方法
1.卸载原有的80
2.1x客户端。

2.下载安装新的客户端。

3.安装完后重启计算机。

4.双击桌面的H3C802.1X图标进入如下界面，网络适配器选择你自己的网卡。

5.点击属性进入设置，默认设置如下图，
把两个勾全部去掉，如果你要自动重拨，你可以把“握手超时后重认证”这个勾选上。

如下图：
完成后点击确定，然后点连接出现下图，连接成功后最小化到屏幕右下角，与老客户端一样的小电脑标志。

6.断开连接方法：点击屏幕右下角的小电脑图标右键，点断开连接或者退出程
序。

7.点击小电脑右键出现在菜单中，用户配置可以看自己的上网时间，可以累计，
也可以清零后重新计时。

网络配置则回到第5步进行配置。

8.一般用户使用以上功能即可，还有更高级的功能就是打开管理窗口，如下图：。

802．1x 接入配置指南一、Cisco 交换机的802.1x 接入配置采用CISCO 3560G 作为802.1x 接入设备，以EAP-MD5认证业务为例，IEEE 802.1x 认证配置。

组网：配置：Step 1 Enter Global configuration mode(进入全局模式)Switch>enablePassword: ciscoSwitch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#Step 2 Enable AAA(启用AAA)Switch(config)#aaa new-modelStep 3 Create IEEE 802.1x Authenticatin Method List(创建802.1x 认证方法列表)Switch(config)#aaa authentication dot1x default group radiusStep 4 Enable IEEE 802.1x authentication globally in the Switch (启用全局802.1x 认证）Switch(config)#dot1x system-auth-controlStep 5 (Optional) Configure the switch to use user-RADIUS authorization for all network-related service requests, such as per-user ACLs or VLAN assignment （创建授权网络列表）Switch(config)#aaa authorization network default group radiusStep 6 (Optional) Specify the IP address of the RADIUS server （配置radius 服务器信息包括配置配置radius 认证与计费共享密钥secospace ）Switch(config)#radius-server host 172.18.100.236 auth-port 1812 acct-port 1813 keysecospaceStep 7 Enter interface configuration mode(进入接口配置模式，启用802.1x 接入功能） Switch(config)#interface gigabitEthernet 0/1Cisco 3560G 终端/* Set the port to access mode only if you configured the RADIUS server in Step 6 and Step 7 */Switch(config-if)#switchport mode access/* Enable IEEE 802.1x authentication on the port */Switch(config-if)#dot1x port-control autoStep 8 Return to privileged EXEC mode (返回特权模式)Switch(config-if)#endStep 9 V erify your entries（验证802.1x配置）Switch#show dot1xStep 10 (Optional) Save your entries in the configuration file （保存配置文件）Switch#copy running-config startup-configTo display IEEE 802.1x statistics for all ports (查看所有端口状态)Swtch#show dot1x all [details | statistics | summary]To display IEEE 802.1x statistics for a specific port（查看指定端口状态）Swtch#show dot1x interface <interface-id> [statistics | details][上行接口与Access口对接]!interface GigabitEthernet0/23switchport access vlan 10switchport mode accessspanning-tree portfast![上行接口与Trunk口对接]!interface GigabitEthernet0/24switchport trunk encapsulation dot1qswitchport mode trunk![终端接入端口配置]!interface GigabitEthernet0/1switchport access vlan 110switchport mode accessdot1x pae authenticatordot1x port-control autodot1x guest-vlan 200spanning-tree portfast![vlan 接口配置]!Vlan 10Name SecTSM!Vlan 110Name LocalArea!Vlan 120Name Island!Vlan 130Name WorkArea!Vlan 200Name CasualWard!interface Vlan10ip address 172.18.10.73 255.255.255.0!二、华为交换机的802.1x 接入配置采用Quidway S3900作为802.1x 接入设备，以EAP-MD5认证业务为例，IEEE 802.1x 认证配置。

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

华为802.1X技术白皮书华为802.1X技术白皮书目录1概述 (1)2802.1X的基本原理 (1)2.1 体系结构 (1)2.1.1端口P AE (2)2.1.2受控端口 (2)2.1.3受控方向 (2)2.2 工作机制 (2)2.3 认证流程 (3)3华为802.1X的特点 (3)3.1 基于MAC的用户特征识别 (3)3.2 用户特征绑定 (4)3.3 认证触发方式 (4)3.3.1标准EAP触发方式 (4)3.3.2DHCP触发方式 (4)3.3.3华为专有触发方式 (4)3.4 T RUNK端口认证 (4)3.5 用户业务下发 (5)3.5.1VLAN业务 (5)3.5.2CAR业务 (5)3.6 P ROXY检测 (5)3.6.1Proxy典型应用方式 (5)3.6.2Proxy检测机制 (5)3.6.3Proxy检测结果处理 (6)3.7 IP地址管理 (6)3.7.1IP获取 (6)3.7.2IP释放 (6)3.7.3IP上传 (7)3.8 基于端口的用户容量限制 (7)3.9 支持多种认证方法 (7)3.9.1P AP方法 (7)3.9.2CHAP方法 (8)3.9.3EAP方法 (8)3.10 独特的握手机制 (8)3.11 对认证服务器的兼容 (8)3.11.1EAP终结方式 (8)3.11.2EAP中继方式 (9)3.12 内置认证服务器 (9)3.13 基于802.1X的受控组播 (9)3.14 完善的整体解决方案 (10)4典型组网 (10)4.1 集中认证方案 (10)4.2 边缘分布认证方案 (10)4.3 内置服务器认证方案 (11)5结论与展望 (11)摘要802.1X作为一种基于端口的用户访问控制安全机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，自从2001年6月正式成为IEEE 802系列标准开始，便迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯定。