锐捷交换机802.1X技术白皮书
绪论
这份文档能够给初学者展示一下1X的部分概貌,至于更深层的学习,还需读者自己对文档进行仔细的阅读。
我的一贯主张是学习与实践相结合,因此在 介绍1X之前我们有必要了解如何才能让1X跑起来。然后在此基础上进行更加深入的研究。
文档中并不能够面面俱到,只是对于我所熟悉的功能点进行介绍。
SU、NAS、SAM角色介绍
1X 认证中有三种角色:SU、NAS、SAM。
SU
supplicat一般我们简称SU,我们指的就是运行在PC上的 客户端软件。它主要负责传输一些用户的 信息,包括:用户名、密码、PC IP、PC MAC;它可以发起认证。
NAS
authenticator认证者,我们通常称为NAS(Network Access Server),说得通俗一点其实就是接入交换机。它也可以负责发起认证;负责SU与SAM之间的连接;也可以传送一些自己的信息到SAM上,如:NAS IP,用户所在的NAS PORT(下面会对这两个参数进行介绍);还可以传送一些记帐的信息(这一点在1X的计费一节中讲解)。
SAM
authenticate server也就是我们通常所说的sam,也叫做radius-server,因为我们公司现在就是使用SAM来作为authenticate server因此通常就叫做SAM了。主要负责对用户的认证和计费。
三者之间交流的报文
有三个角色,SU和SAM之间的交流是通过NAS作为中介的,因此我们有必要了解一下他们彼此之间交流所使用的报文。
SU和NAS之间交换的报文为eapol,是二层报文。
NAS与SAM之间的交换报文为radius报文,它是基于UDP的,而且能够将eap报文封装到其中。
SU和SAM是无法直接通信的,是需要通过NAS的中转来交换信息的。NAS将封装在SU发送上来的eapol报文(除eap start,eap log off外)中的eap报文与它自己的信息一起封装到radius报文中,并发送给SAM;同样SAM发送过来的radius报文也通过NAS的解封装再封装为eapol报文转发给SU。NAS也从其中读取自己需要的信息,通过这些信息可以对端口进行操作,对用户的状态进行设置。
SU和NAS的信息传送到SAM之后SAM会根据这些信息对用户的合法行进行判断,并且发送相应的报文(认证成功或者失败)回交换机。
在1X认证中最重要的一关就是交换机,因为交换机承担着SU和SAM之间的中介,而且对于用户最终是否能够 上网,也起着决定性的作用(即使认证没有通过,只要交换机进行了一些相应的操作,用户都可以上网)。因此我们测试的主要要点就是交换机是否实现了它应该实现的功能。
相关配置
实践在学习协议的过程中是非常重要的,以下就详细地介绍一下如何设置NAS、SAM(由于SU只是需要设置一下用户名和密码,相对比较简单,因此这里不作介绍)。
简单的交换机配置
之所以先介绍一个简单的配置,是让大家能够先将这个环境搭建起来,复杂的配置在此基础上就比较好扩展了。
1. 打开1X认证
aaa new-model /*这个是1X认证的总开关,只有打开了这个开关才能够进行1X认证以及某些有关设置。*/
aaa authentication dot1x default group radius/*指定认证使用的 服务器的地址以及端口,现在表示直接使用下面的设置作为服务器地址*/
radius-server host 10.2.24.3/*设置SAM的IP地址,默认的认证端口为1812,授权端口为1813*/
2. 打开端口认证功能
interface FastEthernet 2/0/29
dot1X port-control auto
3. 设置交换机的IP
交换机需要连接服务器,因此它自己应该有一个IP。
interface VLAN 20
ip address 173.16.20.251 255.255.255.0
no shutdown
4. 设置默认网关
ip default-gateway 173.16.20.254/*这个主要是考虑到运行1X的交换机一般都是二层的,只能够设置一个svi接口。假如是三层交换机,则没有这个必要。可以使用路由。*/
注意这一步之后最好能够ping一下服务器,看是否能够ping通,不通那就是 网络方面设置有问题了,这个的确认过程在这里就不详细讲述了。
5. 设置snmp使得sam能够同步交换机的参数:
snmp-server community public rw
这个非常重要,它的作用是使服务器端能够利用snmp来发送一些额外的信息来对交换机进行控制,比如说下面讲到的同步交换机参数(包括交换保证用的key,记帐时间)
来源: http://bbs.51cto.com/thread-471458-1.html
这份文档能够给初学者展示一下1X的部分概貌,至于更深层的学习,还需读者自己对文档进行仔细的阅读。
我的一贯主张是学习与实践相结合,因此在 介绍1X之前我们有必要了解如何才能让1X跑起来。然后在此基础上进行更加深入的研究。
文档中并不能够面面俱到,只是对于我所熟悉的功能点进行介绍。
SU、NAS、SAM角色介绍
1X 认证中有三种角色:SU、NAS、SAM。
SU
supplicat一般我们简称SU,我们指的就是运行在PC上的 客户端软件。它主要负责传输一些用户的 信息,包括:用户名、密码、PC IP、PC MAC;它可以发起认证。
NAS
authenticator认证者,我们通常称为NAS(Network Access Server),说得通俗一点其实就是接入交换机。它也可以负责发起认证;负责SU与SAM之间的连接;也可以传送一些自己的信息到SAM上,如:NAS IP,用户所在的NAS PORT(下面会对这两个参数进行介绍);还可以传送一些记帐的信息(这一点在1X的计费一节中讲解)。
SAM
authenticate server也就是我们通常所说的sam,也叫做radius-server,因为我们公司现在就是使用SAM来作为authenticate server因此通常就叫做SAM了。主要负责对用户的认证和计费。
三者之间交流的报文
有三个角色,SU和SAM之间的交流是通过NAS作为中介的,因此我们有必要了解一下他们彼此之间交流所使用的报文。
SU和NAS之间交换的报文为eapol,是二层报文。
NAS与SAM之间的交换报文为radius报文,它是基于UDP的,而且能够将eap报文封装到其中。
SU和SAM是无法直接通信的,是需要通过NAS的中转来交换信息的。NAS将封装在SU发送上来的eapol报文(除eap start,eap log off外)中的eap报文与它自己的信息一起封装到radius报文中,并发送给SAM;同样SAM发送过来的radius报文也通过NAS的解封装再封装为eapol报文转发给SU。NAS也从其中读取自己需要的信息,通过这些信息可以对端口进行操作,对用户的状态进行设置。
SU和NAS的信息传送到SAM之后SAM会根据这些信息对用户的合法行进行判断,并且发送相应的报文(认证成功或者失败)回交换机。
在1X认证中最重要的一关就是交换机,因为交换机承担着SU和SAM之间的中介,而且对于用户最终是否能够 上网,也起着决定性的作用(即使认证没有通过,只要交换机进行了一些相应的操作,用户都可以上网)。因此我们测试的主要要点就是交换机是否实现了它应该实现的功能。
相关配置
实践在学习协议的过程中是非常重要的,以下就详细地介绍一下如何设置NAS、SAM(由于SU只是需要设置一下用户名和密码,相对比较简单,因此这里不作介绍)。
简单的交换机配置
之所以先介绍一个简单的配置,是让大家能够先将这个环境搭建起来,复杂的配置在此基础上就比较好扩展了。
1. 打开1X认证
aaa new-model /*这个是1X认证的总开关,只有打开了这个开关才能够进行1X认证以及某些有关设置。*/
aaa authentication dot1x default group radius/*指定认证使用的 服务器的地址以及端口,现在表示直接使用下面的设置作为服务器地址*/
radius-server host 10.2.24.3/*设置SAM的IP地址,默认的认证端口为1812,授权端口为1813*/
2. 打开端口认证功能
interface FastEthernet 2/0/29
dot1X port-control auto
3. 设置交换机的IP
交换机需要连接服务器,因此它自己应该有一个IP。
interface VLAN 20
ip address 173.16.20.251 255.255.255.0
no shutdown
4. 设置默认网关
ip default-gateway 173.16.20.254/*这个主要是考虑到运行1X的交换机一般都是二层的,只能够设置一个svi接口。假如是三层交换机,则没有这个必要。可以使用路由。*/
注意这一步之后最好能够ping一下服务器,看是否能够ping通,不通那就是 网络方面设置有问题了,这个的确认过程在这里就不详细讲述了。
5. 设置snmp使得sam能够同步交换机的参数:
snmp-server community public rw
这个非常重要,它的作用是使服务器端能够利用snmp来发送一些额外的信息来对交换机进行控制,比如说下面讲到的同步交换机参数(包括交换保证用的key,记帐时间)
来源: http://bbs.51cto.com/thread-471458-1.html
锐捷交换机802.1X技术白皮书(二)SAM配置
这一节讲解如何配置服务器。下面讲的的东西在刚开始学习的时候,不一定都搞得清楚,可以跟着做,然后等学习完成之后再回过头去看某些不明白的地方就可以了。
计费策略
顾名思义,就是有关如何计费的一些设置。
这个就使用默认吧,因为对于计费策略,主要是涉及SAM端软件的实现,我们的主要任务是测试交换机软件,因此就没有必要在这里做文章了。这里之所以介绍一下,是因为下面的配置中需要用到这一个选项。
接入控制
这一个配置是最重要的,在我们的测试过程中经常需要用到这个设置。这里的设置直接影响到某一个用户是否能够认证得上。
接入控制组名:就是为接入控制的组取一个名字,因为我们可能会设置多个组,有个名字比较方便。
上行速率、下行速率:控制交换机上端口的上下行速率的,在我们公司的产品中有些支持,有些不支持,细节参见RSR。
接入控制组描述:说明,在区分不同的组作用的时候比较方便。
记帐更新:没有设置过
BACL设置:没有设置过
接入信息绑定限制:就是选择是否绑定后面四项的某一项或者几项是否绑定,如果绑定,那么在认证的时候,SAM就会判断这些信息是否与设置相符,如果不符则认证失败,SU会有相应的提示。
自动获取绑定信息:这个我也没有使用过。
客户端限制:使用过禁止再拨号和禁止架设代理。“禁止再拨号”是用来防止认证成功的用户再利用拨号的方式(需要通过认证端口的拨号)连接到外网去,而进行一些不法的行为的。“禁止架设代理”是为了防止多个用户同时使用一个用户名上网(即使是利用两张网卡,它也会认为是代理的一种)的一种手段(不过仍然是有漏洞的,并不能完全避免这个问题)。
拨号接入设置:没有用过。
接入IP地址限制:“必须由DHCP获取”PC认证时的状态是自动获取IP,要不然PC端的SU就会提示认证获取IP方式错误,而无法认证上;“只能静态设置”PC的IP只能是静态配置的,不能设置为自动获取IP,要不然SU会提示认证时获取ip方式错误;“不限制”随便用户设置为自动获取ip还是静态设置ip都可以认证上。
[ 本帖最后由 小俊 于 2008-4-23 17:07 编辑 ]
http://bbs.51cto.com/thread-471459-1.html
这一节讲解如何配置服务器。下面讲的的东西在刚开始学习的时候,不一定都搞得清楚,可以跟着做,然后等学习完成之后再回过头去看某些不明白的地方就可以了。
计费策略
顾名思义,就是有关如何计费的一些设置。
这个就使用默认吧,因为对于计费策略,主要是涉及SAM端软件的实现,我们的主要任务是测试交换机软件,因此就没有必要在这里做文章了。这里之所以介绍一下,是因为下面的配置中需要用到这一个选项。
接入控制
这一个配置是最重要的,在我们的测试过程中经常需要用到这个设置。这里的设置直接影响到某一个用户是否能够认证得上。
接入控制组名:就是为接入控制的组取一个名字,因为我们可能会设置多个组,有个名字比较方便。
上行速率、下行速率:控制交换机上端口的上下行速率的,在我们公司的产品中有些支持,有些不支持,细节参见RSR。
接入控制组描述:说明,在区分不同的组作用的时候比较方便。
记帐更新:没有设置过
BACL设置:没有设置过
接入信息绑定限制:就是选择是否绑定后面四项的某一项或者几项是否绑定,如果绑定,那么在认证的时候,SAM就会判断这些信息是否与设置相符,如果不符则认证失败,SU会有相应的提示。
自动获取绑定信息:这个我也没有使用过。
客户端限制:使用过禁止再拨号和禁止架设代理。“禁止再拨号”是用来防止认证成功的用户再利用拨号的方式(需要通过认证端口的拨号)连接到外网去,而进行一些不法的行为的。“禁止架设代理”是为了防止多个用户同时使用一个用户名上网(即使是利用两张网卡,它也会认为是代理的一种)的一种手段(不过仍然是有漏洞的,并不能完全避免这个问题)。
拨号接入设置:没有用过。
接入IP地址限制:“必须由DHCP获取”PC认证时的状态是自动获取IP,要不然PC端的SU就会提示认证获取IP方式错误,而无法认证上;“只能静态设置”PC的IP只能是静态配置的,不能设置为自动获取IP,要不然SU会提示认证时获取ip方式错误;“不限制”随便用户设置为自动获取ip还是静态设置ip都可以认证上。
[ 本帖最后由 小俊 于 2008-4-23 17:07 编辑 ]
http://bbs.51cto.com/thread-471459-1.html
锐捷交换机802.1X技术白皮书(三)接入时段
这个也不是我们的测试重点,因此使用默认设置即可。
帐号模版
这个就将接入时段、接入控制和计费策略组合起来,形成了帐号模版。
至于下面的几个选项我就不太清楚用来做什么了,平时测试的过程中也没有用到过这个。
用户组
其实用户组和帐号模版这里似乎没有什么区别,可能是为了让一组用户方便地从一个帐号模版更改到另外一个吧。
用户开户
用户登陆名:就是在SU端输入的用户名。
用户姓名:这个就不多说了,我主要的作用就是用来区分不同的用户,写上一些描述性的语句,我认为这里如果有一个描述项目就好了。
密码:就是SU端用来认证的密码。
一直到访问控制,这些都是用户信息的描述,这里就不讲解了,我在使用的过程中也是没有用到的。
用户下传IP:当用户认证成功之后SAM会交换机下发该信息,用于radius server授权。
用户下传VLAN:当用户认证成功后,SAM会向交换机下发该信息来设置认证端口的VLAN属性,这个必须要有交换机端动态VLAN的支持,要不然即使有这个下发信息也不会起作用的。
用户组:选择用户组,这个用户组也在前面介绍过。
自定义账号模版:可以自己定义自己想要使用的帐号模版。
用户IP:这个是用户认证的时候,判断该用户是否合法用户(即认证是否能够通过)的一个依据,但是如果需要进行这个判断,那么在接入控制的接入信息绑定限制中必须要勾选用户IP.其他的几个选项也是。
用户MAC、NAS IP、NAS PORT也就如法炮制了。
下面解释一下这四个选项的含义:
用户IP:就是认证PC的IP地址。
用户MAC:就是认证PC的MAC地址。
NAS IP:是认证交换机的IP地址,如果是二层交换机,那么这个IP地址就是管理IP地址。但是如果认证交换机是三层交换机,这个IP地址就有很多种可能了,这个时候我采用的方法就是在SAM端抓包,看发送出来的包源IP是什么。
NAS PORT:这个是认证交换机上认证端口的序列号,这个序列号可以在show interface xx xx中的index中看出来,这里填写用的是十进制。
来源: http://bbs.51cto.com/thread-471460-1.html
这个也不是我们的测试重点,因此使用默认设置即可。
帐号模版
这个就将接入时段、接入控制和计费策略组合起来,形成了帐号模版。
至于下面的几个选项我就不太清楚用来做什么了,平时测试的过程中也没有用到过这个。
用户组
其实用户组和帐号模版这里似乎没有什么区别,可能是为了让一组用户方便地从一个帐号模版更改到另外一个吧。
用户开户
用户登陆名:就是在SU端输入的用户名。
用户姓名:这个就不多说了,我主要的作用就是用来区分不同的用户,写上一些描述性的语句,我认为这里如果有一个描述项目就好了。
密码:就是SU端用来认证的密码。
一直到访问控制,这些都是用户信息的描述,这里就不讲解了,我在使用的过程中也是没有用到的。
用户下传IP:当用户认证成功之后SAM会交换机下发该信息,用于radius server授权。
用户下传VLAN:当用户认证成功后,SAM会向交换机下发该信息来设置认证端口的VLAN属性,这个必须要有交换机端动态VLAN的支持,要不然即使有这个下发信息也不会起作用的。
用户组:选择用户组,这个用户组也在前面介绍过。
自定义账号模版:可以自己定义自己想要使用的帐号模版。
用户IP:这个是用户认证的时候,判断该用户是否合法用户(即认证是否能够通过)的一个依据,但是如果需要进行这个判断,那么在接入控制的接入信息绑定限制中必须要勾选用户IP.其他的几个选项也是。
用户MAC、NAS IP、NAS PORT也就如法炮制了。
下面解释一下这四个选项的含义:
用户IP:就是认证PC的IP地址。
用户MAC:就是认证PC的MAC地址。
NAS IP:是认证交换机的IP地址,如果是二层交换机,那么这个IP地址就是管理IP地址。但是如果认证交换机是三层交换机,这个IP地址就有很多种可能了,这个时候我采用的方法就是在SAM端抓包,看发送出来的包源IP是什么。
NAS PORT:这个是认证交换机上认证端口的序列号,这个序列号可以在show interface xx xx中的index中看出来,这里填写用的是十进制。
来源: http://bbs.51cto.com/thread-471460-1.html
搞明白认证服务器中的一些策略设置,有助于大家使用客户端时,避免违反认证服务器的限制策略。