【交换机】交换机如何配置dot1x认证

发布时间：2013-10-09

点击量：32514

功能简介
IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的基础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。
IEEE802.1x （Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN 提供点对点式的安全接入。这是IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用 IEEE 802 LAN 优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。
IEEE 802.1x 标准定义了一种基于“客户端——服务器”（Client-Server ）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN）可以在网络上通行。在认证成功之后，正常的数据流便可在网络上通行。

一、组网要求：
    在交换机上配置dot1x认证配置。
二、组网拓扑
    交换机---radius服务器
三、配置要点:
   1) 锐捷RGOS10.X平台，如S2628G
   2）锐捷RGOS非10.X平台，如S2126G
四、配置步骤
注意：配置之前建议使用 Ruijie#show interface status查看接口名称，常用接口名称有FastEthernet（百兆）、GigabitEthernet（千兆）和TenGigabitEthernet(万兆),以下配置以百兆接口为例。
锐捷RGOS10.X平台配置步骤：
1、全局配置AAA
Ruijie>enable
Ruijie# configure terminal
Ruijie(config)# aaa new-model ------>开启认证
Ruijie(config)#aaa accounting        ------>打开计费
Ruijie(config)#aaa accounting update      ------>开启记费更新
Switch(config)# aaa accounting network ruijie start-stop group radius    ------>配置身份认证方法
Switch(config)# aaa group server radius ruijie
Switch(config-gs-radius)# server 192.168.5.131                  ------>指定记帐服务器地址
Switch(config-gs-radius)# exit
Switch(config)# aaa authentication dot1x ruijie group radius local   ------>配置dot1x认证方法
Switch(config)# radius-server host 192.168.5.100                ------>指定认证服务器地址
Switch(config)# radius-server key 0 password              ------>指定radius共享口令
Switch(config)# dot1x accounting ruijie                          ------>开启计帐功能
Switch(config)# dot1x authentication ruijie                     ------>开启认证功能
Switch(config)# snmp-server community ruijie rw       ------>指定SNMP共同体字段
Ruijie(config)# end
2、接口下开启dot1x功能
Ruijie# configure terminal
Ruijie(config)# interface FastEthernet 0/1
Ruijie(config-if)# dot1x port-control auto
3、保存配置
Ruijie(config-if)# end
Ruijie#write   ------>确认配置正确，保存配置

锐捷RGOS非10.X平台配置步骤：
1、全局配置dot1x
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)# aaa authentication dot1x            ------>打开802.1x
Ruijie(config)#radius-server host 192.168.5.183    ------>配置认证服务器IP地址
Ruijie(config)#radius-server key ruijie    ------>配置认证服务器的key为test字符串
Ruijie(config)#aaa accounting server 192.168.5.100    ----指定记帐服务器地址
Ruijie(config)#aaa accounting         ------>打开计费
Ruijie(config)#aaa accounting update      ------>开启记费更新
Ruijie(config)#snmp-server community ruijie rw     ------>配置snmp属性值为ruijie,并赋予读写权限

2、接口下开启dot1x功能
Ruijie(config)# interface FastEthernet 0/1
Ruijie(config-if)# dot1x port-control auto

3、保存配置
Ruijie(config-if)# end
Ruijie#write ------>确认配置正确，保存配置

四、配置步骤
10.X验证

Ruijie#sho dot1x    查看802.1x 配置
802.1X Status:        enable
Authentication Mode: eap-md5
Total User Number:    0(exclude dynamic user)
Authed User Number:   0(exclude dynamic user)
Dynamic User Number: 0
Re-authen Enabled:    disable
Re-authen Period:     3600 sec
Quiet Timer Period:   10 sec
Tx Timer Period:      3 sec
Supplicant Timeout:   3 sec
Server Timeout:       5 sec
Re-authen Max:        3 times
Maximum Request:      3 times
Private supplicant only:   disable
Client Online Probe: disable
Eapol Tag Enable:     disable
Authorization Mode:   disable
802.1x redirect:      disable

Ruijie#show dot1x summary --------->查看用户认证状态信息
ID MAC Interface VLAN Auth-State Backend-State Port-Status User-Type
-------- -------------- --------- ---- --------------- ------------- ----------- ---------

Ruijie#sho dot1x port-control -------->查看接口是否开启dot1x功能
Interface Mode Dynamic-User Static-User Max-User Authened Mab
--------- ---------- ------------ ----------- -------- -------- ---------
Fa0/1 mac-based 0 0 6000 no disable

非10.X验证
Ruijie#sho dot1x   ---->查看802.1x 配置
IEEE 802.1X Status    : Disabled
Authentication mode : EAP-MD5
Authentication user number : 0
Current user number        : 0
radius server fail         : No

reauth-enabled    : Disabled
reauth-period     : 3600
quiet-period      : 10
tx-period         : 3
supp-timeout      : 3
server-timeout    : 3
reauth-max        : 2
max-req           : 1
dot1x accout-update-interval   : 900
filter-nonRG-su   : Disable
server-retry-max : 20

client probe : Disabled
eapol-tag : Disabled

Ruijie#sho dot1x port-control -------->查看接口是否开启dot1x功能
Ports                 Status
-------------------- ----------
Fa0/1                 Enabled     ----->enable表示开启了dot1.x
Fa0/2                 Disabled
Fa0/3                 Disabled
Fa0/4                 Disabled
Fa0/5                 Disabled
Fa0/6                 Disabled
Fa0/7                 Disabled
Fa0/8                 Disabled
Fa0/9                 Disabled
Fa0/10                Disabled
Fa0/11                Disabled
Fa0/12                Disabled
Fa0/13                Disabled
Fa0/14                Disabled