配置802.1x认证
通过配置802.1x认证可以实现基于接口的网络接入控制,即在接入控制设备的接口这一级对所接入的用户进行认证和控制。
前提条件
802.1x提供了一个用户身份认证的实现方案,但是仅仅依靠802.1x不足以实现该方案。为了完成用户的身份认证还需要结合AAA方案,因此,需要首先完成以下配置任务:
- 配置AAA客户端,即用户所属的认证域及其使用的AAA方案。
- 如果需要通过RADIUS或HWTACACS服务器进行认证,则应该在RADIUS或HWTACACS服务器上添加接入用户的用户名和密码。
- 如果需要本地认证,则应该在接入设备上手动添加接入用户的用户名和密码。
配置AAA客户端请参见“AAA配置”。
- 使能802.1x认证功能
- (可选)配置接口授权状态
- (可选)配置接口接入控制方式
- (可选)配置对认证报文的处理方式
- (可选)使能MAC旁路认证功能
- (可选)配置接口下允许接入的最大802.1x认证用户数量
- (可选)配置802.1x认证用户强制域
- (可选)配置用户下线探测报文的源地址
- (可选)配置802.1x认证的定时器
- (可选)配置802.1x认证的静默功能
- (可选)配置对802.1x认证用户进行重认证
- (可选)配置802.1x在线用户握手功能
- (可选)配置Guest VLAN功能
- (可选)配置Restrict VLAN功能
- (可选)配置Critical VLAN功能
- (可选)配置接入认证过程中的用户网络访问权限
- (可选)配置终端类型感知功能
- (可选)配置Open功能
- (可选)配置允许DHCP报文触发802.1x认证
- (可选)配置单播报文触发802.1x认证
- (可选)配置802.1x快速部署功能
- (可选)配置静态用户
- (可选)配置MAC迁移功能
- (可选)配置用户组功能
- 检查配置结果
使能802.1x认证功能
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令dot1x enable,使能全局802.1x认证功能。
缺省情况下,未使能全局802.1x认证功能。
- 使能接口802.1x认证功能,可在系统视图或接口视图下进行配置。
- 系统视图下:
- 执行命令dot1x enable interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ,使能指定接口的802.1x认证功能。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x enable,使能接口的802.1x认证功能。
缺省情况下,未使能接口的802.1x认证功能。
(可选)配置接口授权状态
背景信息
- 自动识别模式(auto):接口初始状态为非授权状态,仅允许收发EAPOL报文,不允许用户访问网络资源;如果认证通过,则接口切换到授权状态,允许用户访问网络资源。
- 强制授权模式(authorized-force):接口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
- 强制非授权模式(unauthorized-force):接口始终处于非授权状态,不允许用户访问网络资源。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置接口授权状态,可在系统视图或接口视图下进行配置。
- 系统视图下:
- 执行命令dot1x port-control { auto | authorized-force | unauthorized-force } interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,配置接口的授权状态。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x port-control { auto | authorized-force | unauthorized-force },配置接口的授权状态。
缺省情况下,接口的授权状态为auto。
(可选)配置接口接入控制方式
背景信息
- 基于接口方式:若该接口下的第一个用户认证成功,则其它接入用户无须认证即可接入网络,但是当该认证成功的用户下线后,其它用户也将被拒绝接入网络。此认证方案比较适合集团用户。
- 基于MAC方式:接口下的所有接入用户均需单独认证,当某个用户下线时,不影响其他用户接入网络。此认证方式比较适合零散用户。
当有802.1x用户在线时,则不允许更改接口接入控制方式。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置接口接入控制方式,可在系统视图或接口视图下进行配置。
- 系统视图下:
- 执行命令dot1x port-method { mac | port } interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,配置接口接入控制方式。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x port-method { mac | port },配置接口的接入控制方式。
缺省情况下,接口接入控制方式为基于MAC方式。
(可选)配置对认证报文的处理方式
背景信息
在802.1x认证中,用户对EAP认证报文的处理方式有EAP终结与EAP中继方式。EAP终结认证方式又可采用PAP或CHAP认证协议,其中CHAP认证协议保密性较好。
如果认证服务器的处理能力比较强,能够解析大量用户的EAP报文后再进行认证,可以采用EAP中继方式;如果认证服务器处理能力较弱以致无法同时解析大量EAP报文并完成认证,建议采用EAP终结方式,由设备帮助认证服务器完成前期的EAP解析工作。
在配置对认证报文的处理方式时,务必保证客户端与服务器均支持该种方式,否则用户无法通过认证。
只有采用RADIUS认证时,802.1x用户的认证方式才可以配置为EAP中继方式。
如果802.1x客户端采用MD5加密方式,则设备端用户的认证方式可配置为EAP或CHAP方式;如果802.1x客户端采用PEAP认证方式,则设备端用户的认证方式可配置为EAP。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置802.1x用户的认证方式,可在系统视图或接口视图下进行配置。
系统视图下:
执行命令dot1x authentication-method { chap | eap | pap },配置设备对认证报文的处理方式。
接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x authentication-method { chap | eap | pap },配置设备对认证报文的处理方式。
缺省情况下,全局802.1x用户认证方式为CHAP认证;接口下802.1x用户认证方式与全局配置的认证方式一致。
(可选)使能MAC旁路认证功能
背景信息
对于无法安装和使用802.1x客户端软件的终端,例如打印机等,可以通过MAC旁路认证方式进行认证。在接口上配置MAC旁路认证功能后,用户首先会进行802.1x认证,同时启动MAC旁路认证延迟定时器。如果MAC旁路认证延迟时间到达而802.1x认证仍未成功,则设备会对用户启动MAC认证流程。
在使能了MAC旁路认证功能的接口下,如果无法安装和使用802.1x客户端的终端需要快速通过认证,则可使能旁路认证过程中优先进行MAC认证功能。之后,设备将优先对用户启动MAC认证流程,在认证失败后才会触发802.1x认证。
在未使能802.1x功能的接口上配置了MAC旁路认证功能后,将会同时使能接口的802.1x功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 使能接口的MAC旁路认证功能,可在系统视图或接口视图下进行配置。
- 系统视图下:
- 执行命令dot1x mac-bypass interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,使能接口的MAC旁路认证功能。
缺省情况下,未使能接口的MAC旁路认证功能。
用户可通过执行dot1x mac-bypass access-port all命令使能设备上所有下行口的MAC旁路认证功能。
- 接口视图下:
在使用命令undo dot1x mac-bypass去使能接口的MAC旁路认证功能时,将会同时关闭接口的802.1x认证功能。
- 执行命令dot1x timer mac-bypass-delay delay-time-value,配置MAC认证延迟定时器。
缺省情况下,MAC旁路认证延迟时间为30秒。
若使能了旁路认证过程中优先进行MAC认证功能,则该定时器功能不生效。
(可选)配置接口下允许接入的最大802.1x认证用户数量
背景信息
- 在配置接口允许接入的最大用户数量之前,若该接口下的在线用户数量已经超过此最大值,此时不会影响在线用户,只会限制后续请求接入的用户。
- 此功能只在接口的接入模式为基于MAC模式时有效。当接口接入模式为基于port模式时,接口允许接入的最大用户数量将自动设置为1。因为此时接口只需一个用户认证成功,其他用户无需认证即可上线。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置接口允许接入的最大用户数量,可在系统视图或接口视图下进行配置:
- 系统视图下:
- 执行命令dot1x max-user user-number interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,配置接口下允许接入的最大802.1x用户数量。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x max-user user-number,配置接口下允许接入的最大802.1x用户数量。
缺省情况下,在规格范围内,设备允许接入的最大802.1x认证用户数没有限制。
(可选)配置802.1x认证用户强制域
(可选)配置用户下线探测报文的源地址
背景信息
为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。
- 修改用户下线探测报文的默认源IP地址;
- 直接指定某个IP地址作为用户下线探测报文的源IP地址。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户下线探测报文的源地址。
执行命令access-user arp-detect default ip-address ip-address,配置用户下线探测报文的默认源IP地址。
缺省情况下,用户下线探测报文的默认源IP地址是255.255.255.255。
仅V200R005C00SPC500版本支持该步骤。
执行命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
缺省情况下,未配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。
建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
(可选)配置802.1x认证的定时器
背景信息
- 客户端认证超时定时器(client-timeout):当设备向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备启动此定时器。若在该定时器设置的时长内,设备没有收到客户端的响应,则设备将重发该报文。
- 认证请求超时定时器(tx-period):该定时器定义了两个时间间隔。其一,当设备向客户端发送EAP-Request/Identity请求报文后,设备启动该定时器。若在该定时器设置的时间间隔内,设备没有收到客户端的响应,则将重发认证请求报文;其二,为兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。此定时器则定义了该组播报文的发送时间间隔。
(可选)配置802.1x认证的静默功能
(可选)配置对802.1x认证用户进行重认证
背景信息
若管理员在认证服务器上修改了某一用户的信息,从而更改用户的访问权限、授权属性等参数。此时如果用户已经在线,则需要及时对该用户进行重认证以确保用户的合法性。
用户上线后,设备上会保存有该用户的认证信息。配置对802.1x用户进行重认证后,设备将会把保存的在线用户的认证参数发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,则用户正常在线;若用户的认证信息已更改,则用户将会被下线,此后需要用户根据更改后的认证参数重新进行接入认证。
- 对指定接口下所有在线802.1x用户进行周期重认证。
- 对指定MAC地址的在线802.1x用户进行重认证,且仅进行一次重认证。
如果使能了802.1x的周期重认证功能,则会导致802.1x认证的日志信息较多。
操作步骤
- 配置对指定接口下所有在线802.1x用户进行周期重认证。
- (可选)配置802.1x认证重认证周期,可在系统视图或接口视图下进行配置。
一般情况下,重认证周期建议采用默认值。如果用户授权时需要下发多条ACL,为提高设备处理性能,建议关闭重认证功能或将重认证周期调长。
在采用远端认证、授权的情况下,如果配置的重认证周期过短则可能导致CPU占用率较高。
当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。
- 系统视图下:
- 执行命令dot1x timer reauthenticate-period reauthenticate-period-value,配置802.1x认证重认证周期。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x timer reauthenticate-period reauthenticate-period-value,配置802.1x认证重认证周期。
- 执行命令quit,返回到系统视图。
缺省情况下,802.1x认证重认证周期为3600秒。
- (可选)配置802.1x认证重认证周期,可在系统视图或接口视图下进行配置。
- 配置对指定MAC地址的在线802.1x用户进行重认证。
(可选)配置802.1x在线用户握手功能
背景信息
为确保用户的实时在线,可配置在线用户握手功能。之后,设备将定时向通过802.1x认证的在线用户发送握手请求报文,如果用户在最大重传次数内没有回应此握手报文,设备会将用户置为下线状态。
若802.1x客户端不支持与设备进行握手报文的交互,则握手周期内设备将不会收到握手回应报文。因此,为了防止设备错误地认为用户下线,需要将在线用户握手功能关闭。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令dot1x handshake,使能802.1x的在线用户握手功能。
缺省情况下,未使能802.1x在线用户握手功能。
- (可选)执行命令dot1x handshake packet-type { request-identity | srp-sha1-part2 },配置802.1x认证握手报文的类型。
缺省情况下,802.1x认证握手报文的类型是request-identity。
- (可选)配置设备与802.1x在线用户的握手周期。
- 执行命令dot1x timer handshake-period handshake-period-value,配置设备与非Eth-Trunk接口下的802.1x在线用户的握手周期。
缺省情况下,握手报文的发送时间间隔为15秒。
- 执行命令dot1x timer eth-trunk-access handshake-period handshake-period-value,配置设备与Eth-Trunk接口下的802.1x在线用户的握手周期。
缺省情况下,握手报文的发送时间间隔为120秒。
- 执行命令dot1x timer handshake-period handshake-period-value,配置设备与非Eth-Trunk接口下的802.1x在线用户的握手周期。
- (可选)执行命令dot1x retry max-retry-value,配置向802.1x用户发送认证请求的最大次数。
缺省情况下,设备向802.1x用户发送认证请求的最大次数为2次。
(可选)配置Guest VLAN功能
操作步骤
- 执行命令system-view,进入系统视图。
- 配置Guest VLAN功能,可在系统视图或接口视图下进行配置。
- 系统视图下:
- 执行命令authentication guest-vlan vlan-id interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,配置接口加入的Guest VLAN。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令authentication guest-vlan vlan-id,配置接口加入的Guest VLAN。
缺省情况下,接口未加入Guest VLAN。
(可选)配置Restrict VLAN功能
背景信息
为了满足用户在认证失败时也能够访问某些网络资源的需求,比如更新病毒库等。可在设备接口上配置Restrict VLAN。之后,用户在认证失败时将被加入Restrict VLAN进而能够访问Restrict VLAN中的资源。需要注意的是,这里的认证失败是指认证服务器因某种原因而明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接断开等原因造成的认证失败。
Restrict VLAN和Guest VLAN的功能相似,都是为了满足用户在未通过802.1x认证前能够访问有限的网络资源。通常在Restrict VLAN中部署的网络资源比Guest VLAN中的更少,从而更加严格的限制认证失败用户的网络访问权限。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置Restrict VLAN功能,可在系统视图或接口视图下进行配置。
- 系统视图下:
- 执行命令authentication restrict-vlan vlan-id interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>,配置接口加入的Restrict VLAN。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令authentication restrict-vlan vlan-id,配置接口加入的Restrict VLAN。
缺省情况下,接口未加入Restrict VLAN。
- Super VLAN不能作为Restrict VLAN。
- 如果配置了免认证IP网段,则Restrict VLAN功能立即失效。
- 如果使能了内置Portal服务器认证功能,则不能配置接口的Restrict VLAN。
- 只有在用户发往设备的报文为Untagged时,Restrict VLAN功能才生效。
- 接口下配置Restrict VLAN以后,不能直接删除该VLAN。
- VLAN授权功能生效,对认证接口的链路类型和接入控制方式有如下要求:
- 接口链路类型是Untagged的Hybrid类型时,其接入控制方式可以为基于MAC地址或基于接口的。
- 接口链路类型是Access或Trunk类型时,其接入控制方式只能是基于接口的。
(可选)配置Critical VLAN功能
背景信息
如果配置了free-ip功能,则802.1x认证的Critical VLAN功能立即失效。
接口是Untagged方式加入VLAN的Hybrid接口或Access接口时,Critical VLAN功能才能生效,在其他类型的接口上Critical VLAN功能不生效。
配置802.1x认证的Critical VLAN功能,可在系统视图或接口视图下进行配置。
(可选)配置接入认证过程中的用户网络访问权限
操作步骤
- 执行命令system-view,进入系统视图。
- 配置用户在接入认证各阶段的网络访问权限,可在系统视图或接口视图下进行配置。
- (可选)配置用户在接入认证各阶段所加入网络访问权限的老化时间。可在系统视图或接口视图下进行配置。
视图
操作步骤
系统视图 执行命令authentication event { pre-authen | authen-fail | authen-server-down | client-no-response } session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
缺省情况下,用户在接入认证各阶段所加入网络访问权限的老化时间为15分钟。
接口视图 执行命令interface interface-type interface-number,进入二层物理接口视图。
- 执行命令authentication event { pre-authen | authen-fail | authen-server-down | client-no-response } session-timeout session-time,配置用户在接入认证各阶段所加入网络访问权限的老化时间。
缺省情况下,用户在接入认证各阶段所加入网络访问权限的老化时间为15分钟。
- 执行命令quit,返回到系统视图。
- (可选)配置在用户接入认证失败或者认证服务器无响应时,设备回应认证失败报文。可在系统视图或接口视图下进行配置。
(可选)配置终端类型感知功能
背景信息
在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。
通过终端类型感知功能,设备能够获悉终端的类型并发送给认证服务器,进而使认证服务器能够根据用户的终端类型为其部署网络访问权限或报文处理优先级等策略。
- 通过DHCP选项字段方式:设备在接收到DHCP Request报文后解析出所需的Option字段(该字段中携带有终端类型信息)。之后,设备会把Option字段信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备的DHCP Snooping功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-安全配置-DHCP Snooping配置》中的“使能DHCP Snooping功能”。
- 通过LLDP TLV类型方式:设备在接收到LLDP报文后能够解析出所需的TLV类型(TLV携带了终端类型信息)。之后,设备会把TLV类型信息通过RADIUS计费报文发送到RADIUS服务器。该方式需要首先使能设备以及下挂的对端设备的LLDP功能,请参见《S2750, S5700, S6700 系列以太网交换机 配置指南-网络管理配置-LLDP配置》中的“使能LLDP功能”。
为保证终端类型感知功能生效,需确保AAA方案中的认证或计费模式为RADIUS。
终端类型感知功能仅为接入设备提供了一种获取用户终端类型的方案,其本身并无法为终端分配网络访问策略。为不同类型的终端部署网络访问策略由管理员在RADIUS服务器上进行配置。
(可选)配置Open功能
(可选)配置允许DHCP报文触发802.1x认证
背景信息
在802.1x认证网络中,若存在用户使用PC操作系统(如Windows系统)自带的802.1x客户端,则该用户将不能够主动输入用户名与密码触发认证。
针对此类用户管理员可配置允许DHCP报文触发802.1x认证功能。在使能允许DHCP报文触发802.1x认证后,设备在收到用户的DHCP请求报文后即触发对用户的802.1x认证,此时用户终端将自动弹出操作系统自带的802.1x认证界面。之后,用户输入用户名与密码即可进行认证。
另一方面,通过使能DHCP报文触发802.1x认证功能,可使用户能够利用操作系统自带的802.1x客户端进行认证,认证通过后用户即可访问802.1x客户端下载界面下载并安装802.1x客户端软件,这将有助于快速部署网络。
(可选)配置单播报文触发802.1x认证
背景信息
在802.1x认证网络中,若存在用户使用PC操作系统(如微软Windows XP系统)自带的802.1x客户端,则该用户将不能够主动输入用户名与密码触发认证。
针对此类用户管理员可配置单播报文触发802.1x认证功能。在使能单播报文触发802.1x认证功能后,设备在接收到客户端发送的ARP或DHCP请求报文时,将主动向该客户端发送单播认证报文以触发认证。用户PC在收到设备发来的认证报文后,将会自动弹出操作系统自带的802.1x认证界面。之后用户输入用户名与密码即可进行认证。
另一方面,通过使能单播报文触发802.1x认证功能,可使用户能够利用操作系统自带的802.1x客户端进行认证,认证通过后用户即可访问802.1x客户端下载界面下载并安装802.1x客户端软件,这将有助于快速部署网络。
操作步骤
- 执行命令system-view,进入系统视图。
- 使能单播报文触发802.1x认证功能,可在系统视图和接口视图下进行配置。
- 系统视图下:
- 执行命令dot1x unicast-trigger interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ,使能单播报文触发802.1x认证功能。
- 接口视图下:
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令dot1x unicast-trigger,使能单播报文触发802.1x认证功能。
缺省情况下,未使能单播报文触发802.1x认证功能。
(可选)配置802.1x快速部署功能
背景信息
在802.1x网络部署中,若需为每一个接入用户下载、升级802.1x客户端软件,则在接入用户数目较多时将给管理员带来巨大的工作量。通过为用户配置免认证IP网段和URL重定向功能,可以实现用户802.1x客户端的快速部署。
接入用户在802.1x认证成功前,通过配置免认证IP网段,用户就能够访问免认证IP网段内的网络资源,通过配置802.1x用户HTTP访问URL重定向功能,当用户使用浏览器访问网络时,设备会将用户访问的URL重定向到已配置的URL(例如,重定向到802.1x客户端下载界面),这样只要用户打开浏览器,就必须进入管理员预设的界面。需要注意的是,提供重定向URL的服务器必须位于用户的免认证IP网段内。
为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1x用户认证功能。
配置了free-ip功能后,Guest VLAN、Critical VLAN以及Restrict VLAN功能将不再生效。
free-ip功能只在端口授权状态为auto的情况下生效。
未通过802.1x认证的用户,如果希望通过DHCP服务器动态获得IP地址,需要把DHCP服务器所在的网段配置成免认证IP网段,使用户能够访问DHCP服务器。
当802.1x用户通过客户端主动下线后,为了防止恶意攻击,用户会在一段时间内受到限制而无法访问免费区网络资源。
用户成为802.1x快速部署用户后,不能访问除免认证IP网段以外的资源,但能够访问设备的一些资源。
免认证IP网段可配置多条,其中S5710HI、S5700HI、S5710EI最多支持配置256个free-ip网段,其余款型最多支持配置8个free-ip网段。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令dot1x free-ip ip-address { mask-length | mask-address },配置免认证IP网段。
缺省情况下,未配置免认证IP网段。
- (可选)执行命令dot1x timer free-ip-timeout free-ip-time-value,配置免认证用户表项的老化时间。
缺省情况下,免认证用户表项不老化。
- 执行命令dot1x
url url-string,配置802.1x认证的重定向URL。
缺省情况下,未配置802.1x认证的重定向URL。
S2750、S5700-10P-LI-AC以及S5700-10P-PWR-LI-AC不支持配置dot1x url。设备可以通过配置免认证IP网段,实现用户未认证成功即能够访问free-ip网段地址的网络资源,比如更新病毒库等。
(可选)配置静态用户
背景信息
在网络部署中,对于打印机和服务器等哑终端,管理员一般都是为其分配静态IP地址。对于这类用户,为了更加灵活的对其进行认证,可将其配置为静态用户。
在配置完成静态用户后,只要在静态用户所连接的接口上使能了802.1x认证、MAC认证以及Portal认证中的任意一种,设备就能够使用静态用户的IP地址等信息作为用户名进行认证。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令static-user start-ip-address [ end-ip-address ] [ vpn-instance vpn-instance-name ] [ domain-name domain-name | interface interface-type interface-number [ detect ] | mac-address mac-address | vlan vlan-id ] *(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置静态用户。
缺省情况下,未配置静态用户。
仅二层以太网接口和二层Eth-Trunk接口支持配置为静态用户所属的接口。如果已配置的接口加入Eth-Trunk或者切换成三层接口,则该接口的静态用户功能不生效。
配置静态用户所属的接口时(即参数interface interface-type interface-number),必须同时配置该接口所属的VLAN(即参数vlan vlan-id)。
- 执行命令static-user
username format-include { ip-address | mac-address | system-name },配置静态用户进行认证时使用的用户名。
缺省情况下,静态用户的用户名为system-name和ip-address。
- 执行命令static-user password cipher password,配置静态用户进行认证时使用的密码。
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
(可选)配置MAC迁移功能
背景信息
企业用户终端的接入位置经常变化,比如使用笔记本的用户移动到其他办公室办公或进行演示交流。但是,缺省情况下,用户从新接口接入后,无法立即发起认证也无法上线;必须等到设备上用户下线探测周期结束或手动将认证接口UP/DOWN清除用户在线表项后,用户才能在后接入的接口上发起认证。为提升用户体验,使用户在切换接入接口后能够立即认证上线,可以使能MAC迁移功能。
MAC迁移功能是指,允许在线的NAC认证用户移动到设备的其他接入接口后,可以立即认证上线。如果用户在后接入的接口上认证成功,原接口上的用户在线表项会立即被清除,保证该用户仅在一个接口上记录在线表项信息。
如图3-13所示,典型的MAC迁移场景有两种。第一种:认证点部署在接入交换机,用户终端从同一台交换机的一个认证控制点迁移到另一个认证控制点;第二种:认证点部署在汇聚交换机,用户终端的认证控制点不变,其接入接口从汇聚交换机下挂的同一台接入交换机的不同接口之间迁移或者从汇聚交换机下挂的不同接入交换机的接口之间迁移。
通常情况下,不建议开启MAC迁移功能,只有在用户有漫游迁移需求时才建议开启。这是为防止非法用户仿冒已在线用户的MAC地址,在其他认证控制接口上发送ARP、802.1x或DHCP报文触发MAC迁移功能,导致合法用户下线。
- 策略联动和SVF场景下,设备不支持MAC迁移功能。
- 不支持用户通过中间设备级联迁移,因为级联的时候用户迁移后不会发ARP、DHCP等报文。
- 不支持三层Portal认证用户和PPPoE认证用户的MAC迁移功能。
- 用户从配置了NAC认证的接口迁移到未配置NAC认证的接口时,由于未配置NAC认证的接口不能发送认证报文触发MAC迁移,用户必须等到原在线表项老化后,才能够接入网络。
- 传统模式下,VLANIF接口上线的用户,在发送ARP报文走下线流程后才能够触发Portal认证,否则只能等到原用户在线表项老化后才能重新上线。物理接口不支持用户迁移后进行Portal认证,直到原用户在线表项老化后才能重新上线。
- 如果authentication mac-move enable vlan命令中的VLAN使用的是授权VLAN,建议配置MAC迁移前探测功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } &<1–10> },使能MAC迁移功能。
缺省情况下,未使能MAC迁移功能。
MAC迁移功能需要指定允许用户移动的VLAN。该VLAN可以是用户移动前所属的VLAN,也可以是用户移动后所属的VLAN。用户移动前后所属的VLAN可以相同也可以不同。
- (可选)配置MAC迁移静默功能。
用户频繁切换接入接口(特别是环路等原因造成的频繁切换),会导致设备处理大量认证报文和认证表项,出现CPU占用率高的问题。为解决该问题,可以配置MAC迁移静默功能。配置MAC迁移静默功能后,若某一用户在60秒内迁移的次数超过设置的值,设备会将该用户静默一段时间。在静默时间内,设备不再处理该用户的认证请求并回应用户认证失败,从而避免频繁切换对设备CPU的冲击。
另外,为提高MAC迁移静默功能的可维护性,设备支持记录MAC迁移的相关日志和告警。
执行命令authentication mac-move { quiet-times times | quiet-period quiet-value } *,配置MAC迁移用户被静默前60秒内允许迁移的次数和静默时间间隔。
缺省情况下,MAC迁移用户被静默前60秒内允许迁移的次数为3次、静默的时间间隔为60秒。
执行命令authentication mac-move quiet-log enable,使能设备记录MAC迁移静默相关日志的功能。
缺省情况下,已使能设备记录MAC迁移静默相关日志的功能。
使能该功能后,设备在添加或删除MAC迁移静默表项时记录日志。
执行命令authentication mac-move quiet-user-alarm percentage lower-threshold upper-threshold,配置MAC迁移静默用户数的告警上下限阈值。
缺省情况下,MAC迁移静默用户数的告警下限阈值是50、上限阈值是100。
执行命令authentication mac-move quiet-user-alarm enable,使能设备发送MAC迁移静默相关告警的功能。
缺省情况下,未使能设备发送MAC迁移静默相关告警的功能。
使能该功能后,当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。
(可选)配置用户组功能
背景信息
在NAC实际应用场景中,接入用户数量众多但用户类别却是有限的。针对这种情况,可在设备上创建用户组,并使每个用户组关联到一组ACL规则,则同一组内的用户将共用一组ACL规则。
在创建用户组后,可为用户组配置优先级以及VLAN,这样不同用户组内的用户即具有了不同的优先级以及网络访问权限。这将能够使管理员更灵活的管理用户。
除了S5700HI、S5710HI、S5710EI和S6700型号外,其他产品型号使能用户组功能时,每个用户会单独下发ACL规则,无法通过用户组来节省ACL资源。
认证服务器下发的用户组授权优先级高于AAA域下应用的用户组授权,当认证服务器下发的用户组授权失败后,用户会采用AAA域下应用的用户组授权。例如,认证服务器下发用户组A,设备仅配置了用户组B并在AAA域下应用,此时,用户组A授权失败,用户采用用户组B授权。如果用户希望使用认证服务器下发的用户组授权,需要保证认证服务器上下发的用户组在设备上已经配置。
若认证服务器向设备授权多个属性,并且所授权的属性存在包含关系,则授权属性按照最小原则生效。例如,认证服务器向设备授权了VLAN以及用户组,并且设备上用户组中配置了VLAN参数,则认证服务器授权VLAN功能生效。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令user-group group-name,创建用户组并进入用户组视图。
- 执行命令acl-id acl-number,在用户组下绑定ACL。
缺省情况下,用户组下未绑定ACL。
- 执行命令user-vlan vlan-id,配置用户组VLAN。
缺省情况下,未配置用户组VLAN。
执行该命令之前,需确保已使用命令vlan创建了VLAN。
- 执行命令remark { 8021p 8021p-value | dscp dscp-value }*,配置用户组优先级。
缺省情况下,未配置用户组优先级。
- 执行命令car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *,配置对用户组内的用户进行流量监管。
缺省情况下,不对用户组内的用户进行流量监管。
- 执行命令quit,退出到系统视图。
- 执行命令user-group group-name enable,使能用户组功能。
只有在使能用户组功能后,其上的配置才能生效。
缺省情况下,未使能用户组功能。
检查配置结果
操作步骤
- 执行命令display dot1x [ statistics ] [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ],查看802.1x的配置信息。
- 执行命令display mac-address authen [ interface-type interface-number | vlan vlan-id ] * [ verbose ],查看系统当前存在的authen类型的MAC地址表项。
- 执行命令display user-group [ group-name ],查看用户组的相关配置信息。
- 执行命令display access-user,查看NAC接入用户的信息。
- 使能802.1x认证功能
- (可选)配置接口授权状态
- (可选)配置接口接入控制方式
- (可选)配置对认证报文的处理方式
- (可选)使能MAC旁路认证功能
- (可选)配置接口下允许接入的最大802.1x认证用户数量
- (可选)配置802.1x认证用户强制域
- (可选)配置用户下线探测报文的源地址
- (可选)配置802.1x认证的定时器
- (可选)配置802.1x认证的静默功能
- (可选)配置对802.1x认证用户进行重认证
- (可选)配置802.1x在线用户握手功能
- (可选)配置Guest VLAN功能
- (可选)配置Restrict VLAN功能
- (可选)配置Critical VLAN功能
- (可选)配置接入认证过程中的用户网络访问权限
- (可选)配置终端类型感知功能
- (可选)配置Open功能
- (可选)配置允许DHCP报文触发802.1x认证
- (可选)配置单播报文触发802.1x认证
- (可选)配置802.1x快速部署功能
- (可选)配置静态用户
- (可选)配置MAC迁移功能
- (可选)配置用户组功能
- 检查配置结果
