远端认证:支持通过 RADIUS 协议或 HWTACACS 协议进行远端认证,设备(如 Quidway系列交换机)作为客户端,与 RADIUS服务器或 TACACS服务器通信。对于 RADIUS协议,可以采用标准或扩展的 RADIUS协议。
安全技术6:dot1x
说明:
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。
使用 802.1x 的系统为典型的 Client/Server 体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及 Authentication Server System(认证服务器)。
三个实体涉及如下四个基本概念:端口 PAE、受控端口、受控方向和端口受控方式。
1. PAE(Port Access Entity,端口访问实体)
PAE 是认证机制中负责执行算法和协议操作的实体。设备端 PAE 利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端 PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端 PAE也可以主动向设备端发送认证请求和下线请求。
2. 受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
z 非受控端口始终处于双向连通状态,主要用来传递 EAPOL协议帧,保证客户端始终能够发出或接受认证。
z 受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何禁止从客户端接收报文。
z 受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
3. 受控方向
在非授权状态下,受控端口可以被设置成单向受控: 实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。 默认情况下,受控端口实行单向受控。
4. 端口受控方式
Quidway系列交换机支持以下两种端口受控方式:
z 基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用
网络。
z 基于 MAC地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
IEEE 802.1x认证系统利用 EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。
z 在客户端 PAE与设备端 PAE之间,EAP协议报文使用 EAPOL封装格式,直接承载于 LAN环境中。
z 在设备端 PAE与 RADIUS服务器之间,EAP协议报文可以使用 EAPOR封装格式(EAP over RADIUS),承载于 RADIUS协议中;也可以由设备端 PAE进行终结,而在设备端 PAE 与 RADIUS 服务器之间传送 PAP 协议报文或CHAP协议报文。
z 当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据 RADIUS 服务器的指示(Accept 或 Reject)决定受控端口的授权/非授权状态。
802.1x在 S2000-HI交换机上的实现
配置802.1x简介
802.1x 提供了一个用户身份认证的实现方案,为了实现此方案,除了配置 802.1x相关命令外,还需要在交换机上配置 AAA 方案,选择使用 RADIUS 或本地认证方案,以配合 802.1x完成用户身份认证:
z 802.1x用户通过域名和交换机上配置的 ISP域相关联。
z 配置 ISP域使用的 AAA方案,包括本地认证方案和 RADIUS方案。
z 如果采用 RADIUS 方案,通过远端的 RADIUS 服务器进行认证,则需要在RADIUS 服务器上配置相应的用户名和密码,然后在交换机上进行 RADIUS客户端的相关设置。
z 如果是需要本地认证,则需要在交换机上手动添加认证的用户名和密码,当用户使用和交换机中记录相同的用户名和密码,启动 802.1x 客户端软件进行认证时,就可以通过认证。
z 也可以配置交换机先采用 RADIUS 方案,通过 RADIUS 服务器进行认证,如果 RADIUS服务器无效,则使用本地认证。
配置准备
z 配置 ISP域及其使用的 AAA方案,选择使用 RADIUS或者本地认证方案,以配合 802.1x完成用户的身份认证。
z 配置本地认证时,本地用户的服务类型(service-type)必须配置为
lan-access。
配置802.1x基本功能
开启全局的802.1x特性
dot1x 必选 缺省情况下,全局的802.1x特性为关闭状态
开启端口的802.1x特性 系统视图下
dot1x [ interface
interface-list ]
或端口视图下
dot1x 必选 缺省情况下,端口的802.1x特性均为关闭状态
设置端口接入控制的模式
dot1x port-control{ authorized-force | unauthorized-force | auto }[ interface
interface-list ] 缺省情况下,802.1x在端
口上进行接入控制的模式为auto
设置端口接入控制方式
dot1x port-method { macbased | portbased }[ interface
interface-list ] 缺省情况下,802.1x在端口上进行接入控制方式为macbased,即基于MAC地址进行认证
设置802.1x用户的认证方法
dot1x authentication-method { chap | pap | eap } 可选 缺省情况下,交换机采用EAP终结方式的CHAP认证方法
配置ISP域,并进入其视图
domain
isp-name
配置ISP域使用的AAA方案
scheme { radius-scheme radius-scheme-name [ local ] | local | none } 缺省情况下,交换机采用本地认证(local)
创建本地用户,并进入本地用户视图
local-user
user-name 如果配置ISP域采用本地认证,则必须配置此命令
设置本地用户的密码
password { simple | cipher } password
设置本地用户的服务类型及用户级别
service-type
lan-access 如果配置ISP域采用本地认证,则必须配置此命令
创建RADIUS方案,并进入其视图
radius scheme radius-scheme-name
设置主RADIUS认证/授权服务器的IP地址和端口号
primary authentication
ip-address [ port-number ]
注意:
z 802.1x的各项配置任务都可以在系统视图下完成。其中,设置端口接入控制的模式、设置端口接入控制方式还可以在端口视图下进行配置。
z 对于 dot1x port-control、dot1x port-method命令:在系统视图下,当没有指定任何确定的端口时,是对所有端口进行相关配置。在以太网端口视图下,不能输入 interface-list参数,仅对当前端口进行配置。
z 必须同时开启全局和端口的 802.1x特性后,802.1x的配置才能生效。
显示802.1x的配置信息、运行情况和统计信息
display dot1x [ sessions | statistics ] [ interface interface-list ]
清除802.1x的统计信息
reset dot1x statistics [ interface interface-list ]