51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

交换机802.1X认证配置

作者:caihua2222
网络 路由交换
IEEE802.1X(基于端口的访问控制Port based network access control)是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。

IEEE802.1X(基于端口的访问控制Port based network access control)是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持 802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。

IEEE802.1x的体系结构中包括三个部分:Supplicant System,客户端;Authenticator System,认证设备;Authentication Sever System,认证服务器。

在客户端(如LanSwitch)实现 IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端; IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。Authentication Sever可以采用标准的Radius认证服务器,也可以选用业务交换机来实现,后者主要用在网络规模不大的(300用户左右)情况中,华为3Com的 Quidway 3000系列以上交换机在新的软件版本中,都提供内嵌Authentication Sever(认证服务器)的功能,通过华为3Com内部集群通讯协议高效完成对用户的认证配置功能。

用户在通过认证之前,PC1所连接的物理端口E0/1只有认证端口是打开的,而数据端口是关闭状态,因此,当PC1通过dot1x认证之前,只有认证报文通过端口E0/1进行转发,而PC1无法上网;当PC1通过dot1x认证之后,端口E0/1的数据端口打开,PC1可以正常上网。

【配置环境参数】

1. PC1和PC2分别属于VLAN10和VLAN20,分别连接到交换机SwitchA的端口E0/1和E0/2;SwitchA通过G1/1端口连接到远端的Radius服务器

交换机连接RADIUS server接口interface vlan 100,地址为192.168.0.100/24

2. 下挂两个用户网段VLAN10和VLAN20,VLAN10包含端口为e0/1到e0/10网段为10.10.1.1/24,VLAN20包含端口为e0/11e0/20网段为10.10.2.1/24

【组网需求】

1. 在SwitchA上启动802.1X认证,对PC1、PC2完成认证

2. 在SwitchA上启动802.1X认证,对PC1和PC2进行远端RADIUS认证

【SwitchA相关配置】

1. 创建(进入)VLAN10

[SwitchA]vlan 10

2. 将E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

3. 创建(进入)vlan10的虚接口

[SwitchA]interface Vlan-interface 10

4. 给vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

5. 创建(进入)VLAN20

[SwitchA]vlan 20

6. 将E0/2加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

7. 创建(进入)vlan20虚接口

[SwitchA]interface Vlan-interface 20

8. 给vlan20虚接口配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

9. 创建(进入)VLAN100

[SwitchA]vlan 100

10. 将G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

11. 创建(进入)vlan100虚接口

[SwitchA]interface Vlan-interface 100

12. 给vlan100虚接口配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.100 255.255.255.0

【802.1X本地认证缺省域相关配置】

1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 这里采用缺省域system,并且缺省域引用缺省radius方案system。

[SwitchA]local-user test

4. 设置该用户密码(明文)

[SwitchA-user-test]password simple test

5. 设置该用户接入类型为802.1X

[SwitchA-user-test]service-type lan-access

6. 激活该用户

[SwitchA-user-test]state active

【802.1X本地认证自建域相关配置】

1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 设置认证方式为radius

[SwitchA]radius scheme radius1

4. 设置主认证服务器为本地,端口号1645

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

5. 设置主计费服务器为本地,端口号1646

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

6. 这里本地用户认证采用自建域huawei

[SwitchA]domain Huawei

7. 在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

8. 设置本地用户名test@huawei

[SwitchA]local-user test@huawei

9. 设置用户密码(明文)

[SwitchA-user-test@huawei]password simple test

10. 设置用户接入类型为802.1X

[SwitchA-user-test@huawei]service-type lan-access

11. 激活该用户

[SwitchA-user-test@huawei]state active

【802.1X RADIUS认证相关配置】

1. 在系统视图下开启802.1X功能,默认为基于MAC的方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 设置认证方式为radius,radius认证不成功取本地认证

[SwitchA]radius scheme radius1

4. 设置主认证服务器

[SwitchA-radius-radius1]primary authentication 192.168.0.100

5. 设置主计费服务器

[SwitchA-radius-radius1]primary accounting 192.168.0.100

6. 设置交换机与认证服务器的密钥,二者应保持一致

[SwitchA-radius-radius1]key authentication test

7. 设置交换机与计费服务器的密钥,二者应保持一致

[SwitchA-radius-radius1]key accounting test

8. 交换机送给radius的报文不带域名

[SwitchA-radius-radius1]user-name-format without-domain

9. 这里用户认证采用自建域huawei

[SwitchA]domain Huawei

10. 在域中引用认证方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

【补充说明】

端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式,缺省是接入控制方式为 macbased。两种方法的区别是:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。

例如,修改端口E0/1的接入控制方式为portbased方式:

[SwitchA]dot1x port-method portbased interface Ethernet 0/1

或者:

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]dot1x port-method portbased

如果RADIUS服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchA与RADIUS服务器之间的认证报文通讯正常

博客地址:http://caihua2222.blog.163.com/blog/static/1280139682010061645516/

责任编辑:张存 来源: 博客
交换机配置802.1X认证
相关推荐
802.1x加强cisco交换机安全认证方法
cisco交换机安全由此应运而生,在交换机中集成cisco交换机安全认证、ACL(AccessControlList,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的cisco交换机安全真的需要“武装到牙齿”。

2010-01-06 14:40:01

配置802.1x远端认证
为了保证网络的安全性,要求在用户接入网络时进行802.1x认证。认证服务器为两台Radius服务器,IP为10.10.10.124服务器作为主认证服务器,IP为10.10.10.224的服务器为备用认证服务器。

2020-10-09 09:04:16

802.1x远端认证网络
国内某设备厂商详细的终端安全解决方案
Secospace终端安全管理系统支持802.1x接入方式。终端用户通过802.1x交换机接入内部网络,802.1x交换机只负责用户的身份认证(标准802.1x功能),认证通过后,802.1x交换机的相应端口切换到授权状态(authorized),允许终端通过端口进行访问网络(含安全接入控制网关SACG(SecurityAccessControlGateway)以及Secospace终端安全管理系统),此时终端安全代...

2010-01-05 14:24:58

IEEE 802.1x协议认证基础流程
IEEE802.1x协议的认证体系和过程我们将在下面的文章中为大家详细介绍一下。首先我们对这个协议的基本情况先来做一个讲解。

2010-06-13 10:18:11

IEEE 802.1x
在cisco路由器上配置802.1x认证
如果交换机上配置了802.1x,那么要进行哪些操作呢?端口是否要改变呢?下面的文章将给出你详细的解答,同时会给出配置命令。

2010-08-04 13:13:48

路由器配置
Web准入认证—破除802.1x部署之争
在高校,网络应用普及,往往是最先尝试最先进的网络技术的。然而,由于用户群密集且活跃,校园网又成为安全问题的“重灾区”,管理也更为复杂、困难。

2009-11-17 12:33:55

802.1X认证用于WLAN访问控制是否合适?
今年DEFCON大会上展示了一个新的WiFi攻击:ChapCrack。是否不该在企业WLAN认证和访问控制上使用CHAP密码的802.1X认证?

2012-12-25 10:27:55

智能以太网交换机也需多样化发展
目前,智能以太网交换机还具备802.1x端口认证等安全控制功能,并在智能以太网交换机上实现与防火墙、IDS等网络安全系统的联动。

2010-01-12 13:47:57

802.1X验证的最佳实践
网络和安全团队一直在努力推行802.1X,因为它意味着在网络上手动触摸每一台设备成为了可能。网络基础架构组件和用户设备之间所面临的相互操作的挑战、可扩展性问题和管理复杂性也阻碍了802.1X的部署。

2010-10-19 09:44:34

802.1X验证最佳实践
IEEE 802.1x协议前景展望
无线网络的使用已经普及了,那么对于无线局域网中的IEEE802.1x协议我们今天来总结一下有关于它的应用和发展趋势。

2010-06-25 14:34:11

IEEE 802.1x
IEEE 802.1x协议的特点
文章简介:下面我们对IEEE802.1x协议的基本特点进行了总结,包括它的优势和劣势。之后的文章中,还对他的应用进行了介绍。

2010-06-13 12:53:41

解析802.1x网络安全机制
作为管理员,你应当理解IEEE802.1x标准是什么以及关注它的原因,这意味着理解三个独立的概念:PPP、EAP和802.1X自身。

2010-09-26 08:46:08

802.1x
CCNA认证交换机配置和端口安全
从基本原理上讲,PortSecurity特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。使用端口安全特性可以防止某些设备访问网络,并增强安全性。

2011-08-16 10:21:48

交换机端口安全
四点分析全千兆智能以太网交换机
H3CS5100SI全千兆智能以太网交换机支持802.1x认证标准,不仅支持协议所规定的端口接入认证方式,还对其进行了扩展、优化,方便了用户的使用。

2010-01-26 14:28:10

智能以太网交换机满足用户的主要需求
目前在以太网交换机上采用的用户身份的认证方式简单的主要有mac+port绑定、mac+IP绑定、IP+mac+port绑定,复杂点认证方式主要是802.1x、portal认证、强制portal等。

2010-01-05 14:56:56

交换机配置交换机种类 接触交换机入门必会
本文涉及到简单的交换机配置知识,后面还介绍了交换机种类:ATM交换机和局域网交换机,本文定会成为你进入交换机世界的入门书的。

2010-01-14 10:43:18

交换机配置交换机种类
IEEE 802.1x协议的应用和发展
下面我们对IEEE802.1x协议的应用进行一个具体的举例,之后对它的发展趋势做了总结。希望文章的归纳能对大家有所帮助。

2010-06-13 12:56:40

IEEE 802.1x
详谈DHCP SNOOP等多方面的安全设置
文章中,我们针对交换机安全802.1X、portsecurity、DHCPSNOOP、DAI、VACL、SPANRSPAN等等方面进行了分析和讲解,希望对大家有用。

2010-09-02 10:32:41

校园网基于802.1x无感知认证的研究与实现
随着教育信息化建设加快推进,各中小学校数字化校园硬件和软件系统也得到了不断完善,但仍存在身份无法确认及数据传输方面的安全隐患。本文给出一种基于802.1x协议的校园网无线认证方法,并阐述了其实现步骤。

2015-09-02 11:52:03

802.1xEAPPEAP
怎样避开网络接入控制NAC的方法
思科网络接入控制NAC架构:思科则用其设备上的优势,通过交换机支持802.1x来对接入网元进行控制,当然还有交换机二层,路由器三层等对数据包的控制。

2009-12-24 14:43:53

网络接入控制NAC
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服