基于北电5520及FUNK SBR的桌面控制

Radius 的安全认证――基于北电 5520 及 FUNK SBR

一、EAPOL. 1

二、配置（VLAN ID由Radius服务器返回，另一种方式更加简单）... 2

三、在配置了EAP认证的端口上配置non-EAP主机... 3

四、客户端认证方式说明... 3

五、AAA配置... 4

六、分布层交换机配置... 4

七、接入层交换机配置... 5

八、DHCP配置... 6

 

一、EAPOL

Extension Authentication Protocol over LAN ，当在交换机端口配置了 eapol 后，电脑接到端口上就会被要求输入用户名密码以通过验证，验证可以由本地或者远端的 Radius 服务器来完成。

Guest-vlan ：在 EAP 认证通过后，交换机会根据端口预先配置的 vlan 或者 Radius 服务器返回的 VSA 来将此端口分配到某个 vlan 中，如果在认证超过了规定次数后仍然不通过，则交换机会将端口放到 Guest-vlan 中，以达到访问控制的目的。当然，如果在端口上不启用 Guest-vlan ，除非认证通过，否则在此端口中只能由 EAP 的数据流，其他数据流都是被阻断的。

Guest-vlan 只有在端口处于 SHSA （ Single Host with Single Authentication ）模式下才能生效，在此模式下，一个端口只允许一个 MAC 地址进行注册，并在认证通过后也端口也只会被分配到一个基于端口的 VLAN 中。

SHSA 模式下的 VLAN 分配流程：

1、  端口处于 EAP 模式下

a)         如果配置了 Guest-vlan ，那么此时端口的 PVID ＝ Guest-vlan ID ；

b)        如果没有配置 Guest-vlan ，那么此时端口只允许通过 EAPOL 数据流，知道认证通过。

2、  在 EAP 的认证过程中

同 1

3、  认证通过

端口被放入预先配置的 VLAN 或者从 Radius 返回的 VLAN 中。这里 VLAN 的配置有两种方法：

a)         将这个端口配置到一个基于端口的 VLAN A 中，然后在端口上启用 EAPOL ，并配置端口的 Guest-vlan （首先要配置好全局的 Guest-vlan ），此时查看端口状态处于 Guest-vlan 中，当终端接上并认证通过时，端口会转到 VLAN A 中去。这时的 Radius 服务器只需要提供认证功能，并返回 accept 或 reject 的消息。

b)        端口预先不配置到任何 VLAN 中，只要启用 EAPOL ，并配置端口的 Guest-vlan ， Radius 服务器的返回值配置如下：

Tunnel-Type ： VLAN

Tunnel-Medium-Type ： 802

Tunnel-Private-Group-Id ： VLAN ID （认证通过后需要放入的 VLAN 号）

未认证或认证失败时端口处于 Guest-vlan 中，认证通过后交换机会江端口放入 Radius 服务器所返回的 VLAN ID 中，前提是这个 VLAN 必须是存在的。

4、  认证失败

a)         如果配置了 Guest-vlan ，端口被放入；

b)        如果没有配置，则端口保持接收认证状态。

二、配置（VLAN ID由Radius服务器返回，另一种方式更加简单）

1 、配置 Radius

radius-server password fallback

radius-server host 10.10.10 .1

radius-server secondary-host 10.10.10 .2

radius-server port 1812

radius-server key ********

 

2 、配置 EAPOL

首先在全局模式下：

eapol enable

 

再在端口模式下：

eapol port init status

如： eapol port 1/15 init status auto quiet-interval 2

port 即想要配置 EAP 认证的端口

init 初始化 EAP 认证

status 有三种状态： authorized, auto, unauthorized ，为了达到认证的目的，选择 auto 状态即可，再这种状态下，认证通过了及变为 authorized ，端口可以传送数据，否则只能传输 EAPOL 的数据流。

 

3 、配置 Guest-vlan

首先在全局配置模式下：

eapol guest-vlan enable vid <1-4096>

再在端口模式下配置 Guest-vlan

eapol guest-vlan enable vid <1-4096>

如： eapol guest-vlan port 1/15 enable vid 18

 

4         配置 Radius 服务器

新建一个 profile ，在 return-list 中加上下面三条返回值：

Tunnel-Type ： VLAN

Tunnel-Medium-Type ： 802

Tunnel-Private-Group-Id ： VLAN ID （ 认证通过后需要放入的 VLAN 号 ），

然后配置一个在此 profile 中的帐户， 配置好客户端的认证方式与 Radius 上设置的相同，接上客户端稍侯会弹出要求输入用户名密码的对话框，输入后即可通过认证。

 

通过这种方式可以达到对用户的控制，让他们处于不同的 VLAN ，通过 ACL 来控制访问策略。不过有一个地方需要注意的是，当一个用户 A 通过认证后并且交换机根据 Radius 的返回值将端口放到了 1111 中，此时在此端口上换另一个用户 B 进行登陆，并且 B 在 Radius 上的帐户没有 VLAN 的返回值，只要认证通过，此时 B 也会在 VLAN1111 中，即使配置了 Guest-vlan B 也会在 VLAN1111 中。这就要求在为用户建立帐号时，必须要指定 VLAN 返回值，否则会带来一定的问题。

三、在配置了EAP认证的端口上配置non-EAP主机

这种认证主要针对于打印机等无法进行客户端配置的设备来进行端口认证，虽然从字面上理解 non-EAP 即是不要进行 EAP 认证的意思，但是实际上还是需要认证的。有两种认证方式：本地认证和 Radius 认证。

这种方式的前提是端口要支持 multihost ，并且在端口上不能配置 Guest-vlan ：

no eapol guest-vlan enable 端口

eapol multihost port enable 端口

 

本地认证：

eapol multihost allow-non-eap-enable 全局和端口

再在端口上用 eapol multihost non-eap-mac 来配置 non-EAP 的主机 MAC 地址

Radius 认证

eapol multihost radius-non-eap-enable  全局和端口

在 AAA 上配置好约定的用户名和密码（ MAC 、 IP 、端口号的组合），终端（如打印机）无需作任何配置，连接好后交换机会自动到 AAA 上作认证。

默认情况下用户名为 MAC 地址，密码为 IP 地址 .MAC 地址 . 模块号端口号，可以通过下面的语句就来修改密码的格式，但用户名格式不可修改：

eapol multihost non-eap-pwd-fmt

 

eapol multihost non-eap-mac-max 端口最大认证数 1-32 ，默认为 1 。

四、客户端认证方式说明

1 令牌用户，无论是管理员还是普通用户 组，令牌只支持 ttls 认证，不支持 peap 和 md5 ，因此需要安装 ttls 插件。

2 静态密码用户，三种方式都可以使用， md5 ttls peap ，因此可以不安装 ttls 插件。

五、AAA配置

1 、 profile 修改

建立 profiel AUTOAU ：用来对打印机等设备建立自动认证帐户，为 普通用户组 增加 checklist ，将接入层交换机加入。

2 、认证方式修改

    在 Authentication Policies 的 Order of Methods 中增加 Native User 认证选项，认证方式设置为 MD5-Challenge ； SQL 认证选项的认证方式增加 MS-CHAP-V2 和 MD5-Challenge 。

3 、过滤器

为 EAP-PEAP 的认证方式增加过滤器

Request-filters ：设置为 ttls_calledstnID

Response-filters ：设置 ttls_accept 和 ttls_reject

六、分布层交换机配置

//_DS_01

config vlan 18 create byport 1

config vlan 18 name To_AS_02_guestvlan

config vlan 18 ip create 10.237.171.253/255.255.255.0

config vlan 18 ip vrrp 13 address 10.237.171.254

config vlan 18 ip vrrp 13 priority 254

config vlan 18 ip vrrp 13 backup-master enable

config vlan 18 ip vrrp 13 enable

 

 

config mlt 1 add vlan 18

config mlt 25 add vlan 18

 

config vlan 18 ip ospf interface-type passive

config vlan 18 ip ospf enable

config vlan 18 ip ospf are a 0.0.0 .1

 

config ip dhcp-relay create-fwd-path agent 10.237.171.253 server 10.237.128.131 mode dhcp state enable

config vlan 18 ip dhcp-relay enable

config vlan 18 ip dhcp-relay mode dhcp

 

// DS_02

config vlan 18 create byport 1

config vlan 18 name To_AS_02_guestvlan

config vlan 18 ip create 10.237.171.252/255.255.255.0

config vlan 18 ip vrrp 13 address 10.237.171.254

config vlan 18 ip vrrp 13 backup-master enable

config vlan 18 ip vrrp 13 enable

 

 

config mlt 1 add vlan 18

config mlt 25 add vlan 18

 

config vlan 18 ip ospf interface-type passive

config vlan 18 ip ospf enable

config vlan 18 ip ospf are a 0.0.0 .1

 

config ip dhcp-relay create-fwd-path agent 10.237.171.252 server 10.237.128.131 mode dhcp state enable

config vlan 18 ip dhcp-relay enable

config vlan 18 ip dhcp-relay mode dhcp

七、接入层交换机配置

//AS_02

vlan create 18 name gu-vlan type port 1

vlan members add 1/48,2/24

全局模式：

eapol  enable

eapol guest-vlan enable vid 18

 

端口模式：（分别在 1/15-1/17 ， 1/37-1/42 端口）

eapol port 1/15 init status auto quiet-interval 2 其中 quiet-interval 指定当第一次认证不通过时，间隔 2s 可以进行下一次认证，默认时间为 60s

eapol guest-vlan port 1/15 enable vid 18

八、DHCP配置

1 、在 DHCP 服务器上新增加一个作用域，网段为 10.237.171.0/24 ，起止 IP 地址分别设为 10.237.171.1 和 10.237.171.248 ，留出一点 IP 地址用于交换机配置。

2 、添加作用域选项：选项名 003 路由器

                   值 10.237.171.254

3 、激活作用域