一、802.1X技术(IEEE802.1X)
1、概述:是一种基于端口的网络接入控制协议。
起源于标准的无线局域网协议802.11.主要目的是为了解决有线局域网用户的接入认证问题。
2、体系结构:
客户端:客户端是位于局域网段一端的一个实体,由另一端的设备端对其进行认证。客户端必须支持EAPOL(局域网上可扩展认证协议)
设备端:是位于局域网段一端的一个实体,对另一端的实体进行认证。是支持802.1X协议的网络设备,它为客户端提供了提供接入局域网的端口,该端口可以是物理口或者是逻辑口。
认证服务器:为设备端提供认证服务的实体,认证服务器用于实现对用户进行认证、授权和计费。
认证方式:
本地认证:由设备端内置本地服务器对客户端进行认证
远程集中认证:由远程的认证服务器对客户端进行认证
3、端口PAE:
端口PAE(端口访问实体):设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。。客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息,客户端PAE也可以主动向设备端发送认证请求和下限请求。
受控端口和非受控端口:设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控和非受控端口。
→ :非受控始终处于双向,主要用来传递EAPOL协议帧,保证客户端始终能够给发出或接收认证报文
→ :受控端口在授权状态下双向连通状态。用于传递业务报文。在非授权状态下禁止从客户端接收认证报文。
→: 授权端口和非授权端是同一端口的两个部分,任何到达该端口的帧,在受控端口与非受控端口上均可见。
4、工作机制:
端口接入控制方式:
基于端口的认证
→ :采用基于端口方式时,只要该端口下的第一个用户认证成功后,其他计入用户无须认证就可使用网络资源,但当第一个用户下线后,其他用户也会被拒绝使用网络。
基于MAC的认证方式
→ :当采用基于MAC方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线,也只有该用户无法使用网络。
默认情况,802.1X在端口上进行接入控制的方式为基于MAC地址的认证方式。
本地认证配置:
[sw1]dot1x //系统视图
[sw1]local-user pc1
[sw1-luser-network-pc1]service-type lan-access
[sw1-luser-network-pc1]password simple 123456
//添加本地接入用户并设置相关参数
int g1/0/1
dot1x port-method portbased //dot1x的默认认证模式为mac地址
dot1x //开启端口的802.1x的特性
可选配置:
[H3C]dot1x authentication-method {chap|eap|pap} //配置系统的认证方法。默认情况下,设备启用EAP终结方式,并采用CHAP认证方法
[H3C-Ethernet1/0/13]dot1x port-control { authorized-force | auto | unauthorized-force } //配置端口的授权状态,默认情况下,端口的授权状态为auto
[H3C-Ethernet1/0/13]dot1x port-method { macbased | portbased } //配置端口接入控制方式,默认情况下,端口采用的接入控制方式为macbased
[H3C-Ethernet1/0/13]dot1x max-user 10 //配置端口同时接入用户数最大值,缺省最大值256
[H3C]dot1x retry 10 //设备接入用户发送认证请求报文的最大次数,默认情况下设备最多可向接入用户发送2次认证请求报文(重认证请求报文的最大次数)
[H3C]dot1x timer supp-timeout 10 //客户端认证超时定时器,默认为30s (1~120s)
[H3C]dot1x timer server-timeout 200 //认证服务器超时定时器,默认为100s(100~300s)
[H3C-Ethernet1/0/13]dot1x handshake //开启在线用户握手功能。默认开启
[H3C]dot1x timer handshake-period 15 //握手定时器,默认为15s(5~1024s)
[H3C]dot1x timer tx-period 30 //用户请求超时定时器,默认为30s(1~120s)
[H3C-Ethernet1/0/13]dot1x { multicast-trigger | unicast-trigger } //开启认证触发功能(默认为组播触发功能)
[H3C-Ethernet1/0/13]dot1x mandatory-domain system //指定端口上802.1x用户使用强制的认证域,默认未指定
[H3C]dot1x quiet-period //开启静默定时器功能,默认处于关闭状态
[H3C]dot1x timer quiet-period 60 //配置静默定时器,默认为60s
[H3C-Ethernet1/0/13]dot1x re-authenticate //开启周期性重认证功能,默认关闭
[H3C]dot1x timer reauth-period 60 //配置周期性重认证定时器,默认值为3600s
二、端口隔离及其配置:
1、概述:为了实现报文之间的二层隔离,可以将不同的端口加入不同的vlan。但是如果接入用户大于4096,就无法实现,所以采用端口隔离属性,实现同一VLAN内端口之间的隔离。
隔离组分为普通端口和上行端口,普通端口之间被二层隔离,但普通端口与和上行端口之间可以互通。
port-isolate enable //接口视图下,加入隔离组中成为普通端口
port-isolate uplink-port //接口视图下,加入隔离组中成为上行端口
注意:系统自动创建了了隔离组且组号为1,一个隔离组中只能配置一个上行端口
三、端口绑定技术:
概述:通过“MAC+IP+端口”绑定功能,可以实现设备对转发豹纹的过滤控制,提供安全性。配置后,只有指定MAC和IP的主机才能在指定端口上收发报文,访问网络资源。
进行“MAC+IP+端口”绑定配置后,当端口接收到报文是,会查看报文中的源MAC、源IP地址与交换机上所配置的静态表项是否一致。
如果报文中的源MAC、源IP地址与所设定的MAC、IP相同,端口将转发该报文。
如果报文中的源MAC、源IP中任一个所设定不同,端口将丢弃该报文。
[SW1-Ethernet0/4/1]user-bind ip-address [10.1.1.1] mac-address [mac-address]
配置IP和mac地址静态绑定
本文出自 “Network_伟” 博客,请务必保留此出处http://cwnetwork.blog.51cto.com/10718966/1970455
原文地址:http://cwnetwork.blog.51cto.com/10718966/1970455