其实802.1x的问题并不复杂,但是又很多的朋友都不太了解ieee802.1x协议,因此呢,今天小编就来为大家分享802.1x的一些知识,希望可以帮助到大家,下面我们一起来看看这个问题的分析吧!
怎么查看一个路由器是否支持802.1X协议
支持并不代表可以配置
802.1X思科交换机配置
(config)#aaa new-model'启动AAA。
(config)#radius-server host 192.168.1.100 key netdigedu'配置RADIUS服务器地址及密钥。
(config)#aaa authentication dot1x default group radius'配置802.1x默认认证方法为RADIUS。
(config)#dot1x system-auth-control'在交换机上全局启用802.1x认证。
(config)#int fa0/24
(config-if)#switchport mode access
(config-if)#dot1x port-control auto'设置接口的802.1x状态。
这个命令一定要注意;
状态有三种:
force-authorized:端口始终处于认证状态并转发流量,这个是默认状态。
force-unauthorized:端口始终处于未认证状态并不能转发流量。
auto:端口通过使用802.1x与客户端交换消息在认证和未认证状态间切换。这个是我们需要的,所以dot1x port-control命令后一定要用auto。
(config-if)#dot1x host-mode multi-host'交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。
#show dot1x all'查看802.1x配置
802.1x是什么意思
需要看wifi用的是什么牌子的无线路由器。极路由搭建的802.1xwifi企业无线网络,使用的是手机号和管理员单独配置的密码,员工1人1号。如果是常规意义的802.1xwifi网络的话,登录用户名和密码是路由器管理员配置在redius服务器的,需要咨询wifi管理员。
Wi-Fi(发音:/wafa/,法语发音:/wifi/),在中文里又称作“行动热点”,是Wi-Fi联盟制造商的商标做为产品的品牌认证,是一个创建于IEEE802.11标准的无线局域网技术。基于两套系统的密切相关,也常有人把Wi-Fi当做IEEE 802.11标准的同义术语。“Wi-Fi”常被写成“WiFi”或“Wifi”,但是它们并没有被Wi-Fi联盟认可。
并不是每样匹配IEEE 802.11的产品都申请Wi-Fi联盟的认证,相对地缺少Wi-Fi认证的产品并不一定意味着不兼容Wi-Fi设备。
IEEE 802.11的设备已安装在市面上的许多产品,如:个人计算机、游戏机、MP3播放器、智能手机、平板电脑、打印机、笔记本电脑以及其他可以无线上网的周边设备。
细说802.1X协议(一)
最近花了一周的时间学习了802.1X协议,在这里做个学习总结。
802.1X是基于Client/Server的访问控制协议,简称dot1x。通俗的讲,它是一种认证技术,怎么认证的?交换机上的一个端口连接到PC,开启交换机端口的802.1X功能,PC需要输入正确的用户名和密码通过服务器认证,才能访问网络。那么,我们所熟悉的PPPoE也是类似于这种方式的,他们有什么区别呢?先不说,我们接着讲802.1X协议。这里我们将PC称为客户端,交换机称为设备端。
有协议就有报文,802.1X对应的数据包是EAP(Extensible Authentication Protocol)和EAPOL(Extensible Authentication Protocol over LAN),EAPOL是对EAP的封装(报文可以看出来)使其能够在局域网中以广播包或组播包的形式传输。通过EAP数据包再与远端的RADIUS(用户远程拨号接入服务系统)服务器进行认证,设备端与认证服务器之间交互信息采用的是radius数据包。
环境拓扑图
搭建环境
1、装有802.1X客户端的PC(H3C 802.1X客户端)
2、一台支持802.1X功能的交换机(H3C5120)
3、实验网
4、一台装有Radius服务器的PC(这里我采用的Radius服务器为tekradius,安装和使用步骤不去详述,可以百度《TekRadius安装及使用总结》)
安装完成tekradius后,在users菜单添加账户h3c密码h3c,在clients菜单中添加NAS(网络接入服务器)182.16.218.44,secret为h3c,此密钥为设备与radius服务器交互信息所有使用的密钥,在交换机上创建radius模板的时候要用到该密钥。vendor为ietf(也可选择相对应的厂商比如我这边为华3交换机我可以选择H3C),Enabled为yes。
配置H3C5120交换机
配置交换机前,我们先来了解一下AAA。AAA是认证、授权、计费,802.1X是AAA的一种技术,它包含于AAA。所以我们在配置交换机的802.1X功能时,也可以是说在配置交换机的AAA。
1、使交换机可以ping通radius服务器
[H3C]interface Vlan-interface 1
[H3C-Vlan-interface1]ip address dhcp-alloc
[H3C-Vlan-interface1]quit
[H3C]ping 182.16.91.91
PING 182.16.91.91: 56 data bytes, press CTRL_C to break
Reply from 182.16.91.91: bytes=56 Sequence=1 ttl=127 time=4 ms
Reply from 182.16.91.91: bytes=56 Sequence=2 ttl=127 time=4 ms
Reply from 182.16.91.91: bytes=56 Sequence=3 ttl=127 time=5 ms
2、创建radius相关参数模板
[H3C]radius scheme cxd
New Radius scheme
[H3C-radius-cxd]primary authentication 182.16.218.44 #主认证服务器为182.16.218.44
[H3C-radius-cxd]primary accounting 182.16.218.44 #主计费服务器为182.16.218.44
[H3C-radius-cxd]key authentication h3c #与radius认证通信共享key为h3c
[H3C-radius-cxd]key accounting h3c #与radius计费通信共享key为h3c
[H3C-radius-cxd]timer realtime-accounting 15 #系统向RADIUS服务器重发报文的时间间隔
[H3C-radius-cxd]timer response-timeout 5 #系统向RADIUS服务器重发报文次数
[H3C-radius-cxd]user-name-format without-domain #交换机发送用户名到radius服务器时,去除相关域名称
[H3C-radius-cxd]retry 5
3、创建域?这个不好理解。AAA是基于域来管理用户的,所以交换机也是基于域来进行管理用户的。一个域可以使用一个radius模板,不同的域可以使用不同的域模板。那么通过将用户划分到不同的域就可以实现用户的分类。
[H3C]domain h3c
New Domain added.
[H3C-isp-h3c]authentication default radius-scheme cxd #认证所采用的模板为cxd
[H3C-isp-h3c]authorization default radius-scheme cxd #授权所采用的模板为cxd
[H3C-isp-h3c]accounting default radius-scheme cxd #计费所采用的模板为cxd
[H3C-isp-h3c]access-limit enable 1000 #接入用户限制1000个
[H3C]domain default enable h3c #默认域使能为h3c
4、全局和端口开启dot1x功能(dot1x即802.1X的简称)
[H3C]dot1x
802.1x is enabled globally.
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]dot1x
802.1x is enabled on port GigabitEthernet1/0/1.
验证结果
总结
1、AAA是基于域来管理用户的
2、创建一个用户域,将其使能为默认域。
3、802.1X是AAA的一种实现技术
802.1X本地认证
既然是本地认证,就不需要借助于远端的radius服务器了,所以认证过程相对简单。
1、创建本地认证账户Local-user帐号,用于本地认证。
2、创建认dot1x认证域,并在域中引用local账户
3、开启全局802.1x功能和需要认证端口的802.1x功能
创建本地认证账户
[H3C]local-user h3c
New local user added.
[H3C-luser-h3c]password simple h3c
[H3C-luser-h3c]service-type lan-access
创建域
H3C]domain h3c
New Domain added.
[H3C-isp-h3c]display domain h3c
Domain= h3c
State= Active
Access-limit= Disabled
Accounting method= Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Domain User Template:
Idle-cut= Disabled
Self-service= Disabled
[H3C-isp-h3c]quit
[H3C]domain default enable h3c
全局和端口开启dot1x功能(dot1x即802.1X的简称)
[H3C]dot1x
802.1x is enabled globally.
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]dot1x
802.1x is enabled on port GigabitEthernet1/0/1.
802.1X本地认证和远端认证配合使用
使用场景:当设备无法连接到远端的radius服务器时启用本地认证。
修改domain配置命令(首先配置正确的radius模板和local账户)
[H3C-isp-h3c]authentication default radius-scheme cxd local
[H3C-isp-h3c]authorization default radius-scheme cxd local
[H3C-isp-h3c]accounting default radius-scheme cxd local
此时,将radius服务器stop,点击802.1X客户端进行连接。会发现,再尝试了提交request报文给radius服务器没回应后,立即采取本地认证通过。