所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

802.1X原理及配置

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
802.1X原理及配置

802.1X原理及配置

关于本章

IEEE 802.1X标准(以下简称802.1X)是由IEEE制定的关于用户接入网络的认证标准,全称是“基于端口的网络接入控制”。通过验证该端口的用户权限,控制该端口上接入的用户设备对网络资源的访问。

介绍

背景

随着网络的逐渐普及,越来越多的企业、校园、小区、SOHO用户选择以太网这种价格低廉、使用方便、带宽高的接入方式,这种简单的接入方式成为当前数据通信网络最主要的接入方式之一,任何一台电脑只要接入网络便有访问网络资源的权限,这将给网络环境带来极大的安全隐患;另一方面,运营商不同网络业务的开展及维护需要底层以太网提供必要的安全认证机制,那么如何正确处理用户访问权限就成为了日益突出的问题。

目的

利用802.1X可以对连接到局域网的用户进行认证和授权,接受合法用户接入,进而达到保护网络安全的目的。

受益

IEEE802.1X协议具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和管理要求,对网络运营商的运营和管理具有极大的帮助。

802.1X设备角色

采用802.1X认证协议的网络设备角色如图1-1所示。

图1-1 802.1X设备角色
  • 客户端:请求访问网络的用户终端设备,根据是否支持主动触发802.1X认证,终端可分为普通终端和哑终端。
    1. 普通终端能够安装和运行802.1X认证客户端软件,例如办公PC。终端用户输入帐号和密码后主动触发认证,认证通过后接入网络。
    2. 哑终端是指无法安装802.1X认证客户端软件的设备,例如网络打印机、摄像头等。哑终端无法通过主动触发认证方式接入网络,而是通过设备端主动触发MAC旁路认证(MAB:MAC Address Bypass),认证通过后接入网络。
  • 设备端:为客户端提供接入局域网的端口,根据客户端的身份验证状态控制其对网络的访问权限或范围。设备端作为客户端和认证服务器之间的中介,从客户端请求身份信息,封装和解封装EAP(Extensible Authentication Protocol,可扩展认证协议)帧,并与认证服务器交互该信息,再将响应中继到客户端。
  • 认证服务器:执行客户端的实际身份验证,并通知设备端待认证端口是否可以授权访问网络,实现对用户进行认证、授权和计费,通常为RADIUS服务器。

当设备端接收到EAPOL帧(Extensible Authentication Protocol over LAN,以太帧封装的EAP帧)并将它们中继到认证服务器时,以太网报头被剥离,剩余的EAP帧以RADIUS格式重新封装(EAPOR)。在封装期间不会修改或检查EAP帧,认证服务器会解析RADIUS封装下的EAP帧。反方向当设备端从认证服务器接收到帧时,服务器的帧头被删除,留下EAP帧,然后将其封装为以太帧并发送给客户端。

基于端口的认证过程

当端口802.1X功能开启,但还未触发认证时,端口的所有业务都使用Guest VLAN。此VLAN主要应用于部分终端没有802.1X终端软件,需要通过Guest VLAN来下载802.1X拨号软件或者访问受限的WEB页面。当802.1认证被触发后,系统对客户端的认证流程如下:

  • 如果客户端支持符合802.1X的客户端软件且客户端的身份有效,则802.1X身份验证成功,该端口将被分配动态业务VLAN(Dynamic Service VLAN),客户端可以正常访问网络。
  • 如果在等待EAPOL消息交换时802.1X身份验证超时,此时若启用了MAC旁路验证,则设备端设备会将客户端的MAC地址中继到认证服务器以进行授权,如果客户端的MAC地址有效,则授权成功,同样被分配动态业务VLAN(Dynamic Service VLAN),可以正常访问网络。
  • 若端口802.1X验证超时,MAC地址认证未开启或认证不成功,则端口仍使用Guest VLAN受限接入网络。
  • 如果认证被服务器验证客户端身份失败(如输入了错误的用户名和密码),此端口下的所有业务都走Restrict VLAN。Restrict VLAN和Guest VLAN的功能相似,都是满足用户在通过认证前可以访问有限的网络资源。但通常在Restrict VLAN中部署的网络资源比Guest VLAN中更少,从而更严格的限制未通过认证的用户对网络资源的访问。
  • 如果在进行认证时发现认证服务器无法连接上(如设备端与认证服务器之间的网络断开或者认证服务器出现故障)时,端口下所有业务使用Critical VLAN进而能够访问Critical VLAN中的资源,例如紧急语音通话或业务保障。

图1-2展示了系统认证流程:

图1-2 认证流程图
说明:

MAC旁路认证(MAB:MAC Address Bypass)开关与802.1X端口级开关的关系为:开启了802.1X开关,同时开启MAB,则端口优先进行802.1X认证,超时后才进行MAB认证;当关闭802.1X开关,但开启MAB时,则无需等802.1X认证超时即进行MAC认证;关闭MAB开关,不影响802.1X开关状态

802.1X的信息交互

802.1X授权/非授权端口

客户端是否被授予对网络的访问权限取决于所连接的设备端端口状态。端口以未授权状态启动,在此状态下,端口不允许通过除802.1X协议数据包之外的所有入口和出口流量。当客户端成功通过身份验证后,端口将转换为授权状态,从而允许客户端的所有流量正常流动。

如果不支持802.1X身份验证的客户端连接到未经授权的802.1X端口,则设备端会请求验证客户端的身份。在这种情况下,客户端不响应请求,端口仍处于未授权状态,客户端无网络访问权限。当前设备可以使用port dot1x port-control命令和以下关键字来控制端口授权状态:

force-authorized:指定端口的控制模式为强制授权模式,端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。端口在没有基于802.1X的客户端认证的情况下发送和接收正常流量。此配置有安全风险,不建议配置。

force-unauthorized:指定端口的控制模式为强制非授权模式,端口保持未授权状态,不允许用户访问网络资源。

auto:指定端口的控制模式为自动识别,使能802.1X认证后,端口初始状态为非授权状态,仅允许收发EAPOL报文,当端口收到EAPOL-start帧时,认证过程开始。设备端请求客户端的身份,并开始在客户端和身份验证服务器之间中继身份验证消息。如果客户端成功通过身份验证(从身份验证服务器接收到Accept帧),则端口状态将更改为已授权,并允许来自经过身份验证的客户端的所有帧通过该端口。如果验证失败,则端口仍处于未授权状态。

802.1X信息交互

802.1X可以由客户端触发,也可以由设备端触发。如果使用port dot1x port-control auto命令在端口上启用身份验证,则设备端会在发现链路接通时(链路状态从down变为up)时向客户端发送EAP-request/identity帧以请求其身份,客户端接收到后,会响应EAP-response/identity帧。

如果客户端在启动期间没有从设备端接收到EAP-request/identity帧,则客户端可以通过发送EAPOL-start帧来启动身份验证,该帧会提示设备端发出请求。

当客户端提供其身份时,设备端开始充当中介,在客户端和身份验证服务器之间传递EAP帧,直到身份验证成功或失败。如果验证成功,则端口将获得授权。如果身份验证失败,可以重试身份验证,根据最终的认证结果将端口分配给提供有限服务的VLAN,或者不授予网络访问权限。详细过程如图1-3所示。

图1-3 802.1X的信息交互过程

(1) 当用户访问网络时自动打开802.1X客户端程序,客户端程序向设备端发出认证请求帧(EAPOR-start),启动认证过程。

(2) 设备端在收到客户端的认证请求帧后,发送EAP请求帧(EAP-Request/Identity)到客户端,要求其发送用户名。

(3) 客户端将用用户名信息通过EAP响应帧(EAP-Response/Identity)发送给设备端,响应设备端发出的请求。

(4) 设备端将客户端发送的EAP报文原封不动地使用EAPOR格式封装在RADIUS Access-Request中,发送给认证服务器进行处理。

(5)~(9) RADIUS服务器通过特定的方法来对客户端的用户名及密码进行校验,若校验通过判断是合法用户,则向设备端发送认证通过报文(RADIUS Access-Accept)。上图中采用的是MD5-Challenge方法,除此之外还支持EAP-TLS、PEAP等,此处不进行详细介绍。

(10) 设备收到RADIUS Access-Accept 报文后,经过EAPOR解封装再以EAP-Success报文向客户端,并将端口改为授权状态,允许用户通过端口访问网络。

MAC旁路认证(MAB)

如果在等待EAPOL消息交换时802.1X身份验证超时启用了MAC身份验证旁路,则设备端可以在检测到来自客户端的以太网数据包时授权客户端。设备端使用客户端的MAC地址作为其标识,将此信息包含在RADIUS-access/request帧中发送给RADIUS服务器。在服务器向设备端发送RADIUS-access/accept帧(授权成功)后,端口即被授权。如果MAB授权失败并且指定了Guest VLAN,则设备端会将该端口分配给Guest VLAN。如果设备端在等待以太网数据包时检测到EAPOL数据包,则设备端将停止MAB启动802.1X身份验证。详细过程如图1-4所示。图中PAE指端口访问实体,即参与认证及授权的具体设备。

图1-4 MAC旁路认证信息交互过程

配置802.1X认证

介绍ONU在两种组网环境下配置802.1X认证功能的过程。

ONU作为802.1X认证设备端

ONU作为802.1X认证设备端,通过OLT将802.1X认证的相关配置下发到ONU设备上。

前提条件

  • OLT已经与三层交换机建立连接。
  • ONU已上线,且可以通过OLT正常管理。
  • 远端Radius服务器已部署好,且网络通畅。

采用RADIUS认证组网图如图1-5所示。

图1-5 采用RADIUS认证组网图

数据规划

配置项

数据

组网数据

PON端口:0/6/0

上行端口:0/10/0

ONU ID:0

ONU IP:10.10.10.20

802.1X认证

端口认证方式:auto

认证方法:EAP

VLAN 规划

  • 管理WAN口VLAN:11
  • Guest VLAN(访客VLAN),SVLAN:10; CVLAN:10
  • Restrict VLAN(限制VLAN),SVLAN:20; CVLAN:20
  • Critical VLAN(紧急VLAN),SVLAN:30; CVLAN:30
  • Dynamic Service VLAN(动态业务VLAN),SVLAN:40; CVLAN:40
说明:

以上用到的VLAN需要在网络规划时在线路模板和业务模板中完成gemport 映射。

RADIUS服务器

  • 主认证服务器IP :10.10.66.66;端口号1812
  • 备认证服务器IP :10.10.66.67;端口号1812
  • 主共享密钥:0123456789123456
  • 从共享密钥:0123456789123456
  • 认证服务器,授权服务的IP地址及共享密钥与认证服务器相同

操作步骤

  1. 创建并配置dot1x(802.1X)模板。

    配置ONU端口1的dot1x参数,使能dot1x认证,端口认证方式为auto,认证方法为EAP,配置相关VLAN。若ONU的端口1需要接入不支持802.1X的终端,则还需配置MAB认证使能。

    huawei(config)#ont dot1x-profile profile-id 1 
    huawei(config-dot1x-profile-1)#port dot1x eth 1 enable 
    huawei(config-dot1x-profile-1)#port dot1x authentication-method eth 1 eap 
    huawei(config-dot1x-profile-1)#port dot1x port-control eth 1 auto 
    huawei(config-dot1x-profile-1)#port dot1x guest-vlan eth 1 10 
    huawei(config-dot1x-profile-1)#port dot1x restrict-vlan eth 1 20 
    huawei(config-dot1x-profile-1)#port dot1x critical-vlan eth 1 30 
    huawei(config-dot1x-profile-1)#port mac-bypass eth 1 enable

  2. 配置WAN模板。

    huawei(config)#ont wan-profile profile-id 9 profile-name wan_prof_hwtest 
    huawei(config-wan-profile-9)#connection-type route 
    huawei(config-wan-profile-9)#quit

  3. 配置ONU设备的IP地址及internet业务IP接口索引,绑定wan模板。

    配置ONU的静态IP地址为10.10.10.20,internet业务IP接口索引为0。

    huawei(config)#gpon ont home-gateway config-method omci 
    huawei(config)#interface gpon 0/6 
    huawei(config-if-gpon-0/6)#ont ipconfig 0 0 ip-index 0 static ip-address 10.10.10.20 mask 255.255.255.0 vlan 11 gateway 10.10.10.10 
    huawei(config-if-gpon-0/6)#ont internet-config 0 0 ip-index 0 
    huawei(config-if-gpon-0/6)#ont wan-config 0 0 ip-index 0 profile-id 9 
    huawei(config-if-gpon-0/6)#quit

  4. 配置RADIUS服务器地址以及认证域。

    配置RADIUS服务器10.10.66.66为主认证服务器,RADIUS服务器10.10.66.67为备认证服务器,主、从共享密钥为0123456789123456。配置认证超时时间为20s,重传次数为3。

    huawei(config-dot1x-profile-1)#radius-server authentication 10.10.66.66 1812 
    huawei(config-dot1x-profile-1)#radius-server shared-key 0123456789123456 
    huawei(config-dot1x-profile-1)#radius-server authentication 10.10.66.67 1812 secondary 
    huawei(config-dot1x-profile-1)#radius-server shared-key 0123456789123456 secondary 
    huawei(config-dot1x-profile-1)#radius-server user-name domain-included 
    huawei(config-dot1x-profile-1)#radius-server timeout 20 
    huawei(config-dot1x-profile-1)#radius-server retransmit 3 
    huawei(config-dot1x-profile-1)#quit

  5. 将ONU绑定dot1x模板。

    huawei(config)#interface gpon 0/6 
    huawei(config-if-gpon-0/6)#ont dot1x-config 0 0 profile-id 1  
    huawei(config-if-gpon-0/6)#quit

  6. 配置用于802.1X认证的相关业务流。

    • 添加到RADIUS认证的业务流,SVLAN和CVLAN为11;
      huawei(config)#vlan 11 smart  
      huawei(config)#port vlan 11 0/10 0 
      huawei(config)#service-port vlan 11 gpon 0/6/0 ont 0 gemport 0 multi-service user-vlan 11
    • 添加Guest网络的业务流,SVLAN和CVLAN为10;
      huawei(config)#vlan 10 smart  
      huawei(config)#port vlan 10 0/10 0 
      huawei(config)#service-port vlan 10 gpon 0/6/0 ont 0 gemport 0 multi-service user-vlan 10
    • 添加到Restrict网络的业务流,SVLAN和CVLAN为20;
      huawei(config)#vlan 20 smart  
      huawei(config)#port vlan 20 0/10 0 
      huawei(config)#service-port vlan 20 gpon 0/6/0 ont 0 gemport 0 multi-service user-vlan 20
    • 添加到Critical网络的业务流,SVLAN和CVLAN为30;
      huawei(config)#vlan 30 smart  
      huawei(config)#port vlan 30 0/10 0 
      huawei(config)#service-port vlan 30 gpon 0/6/0 ont 0 gemport 0 multi-service user-vlan 30
    • 添加到Dynamic Service网络的业务流,SVLAN和CVLAN为40;
      huawei(config)#vlan 40 smart 
      huawei(config)#port vlan 40 0/10 0 
      huawei(config)#service-port vlan 40 gpon 0/6/0 ont 0 gemport 0 multi-service user-vlan 40 
      huawei(config)#save

  7. (可选)配置802.1X认证记录用户在线功能。

    配置主、备用计费服务器地址(计费服务器共享密钥可以与鉴权共用,也可以单独配置)。

    huawei(config)#ont dot1x-profile profile-id 1 
    huawei(config-dot1x-profile-1)#radius-server accounting 10.10.66.66 1812 
    huawei(config-dot1x-profile-1)#radius-server accounting 10.10.66.67 1812 secondary 
    huawei(config-dot1x-profile-1)#quit

  8. (可选)配置802.1X认证强制用户下线功能。

    配置RADIUS授权服务器地址。

    huawei(config)#ont dot1x-profile profile-id 1 
    huawei(config-dot1x-profile-1)#radius-server authorization 10.10.66.66 1812 shared-key 0123456789123456 
    huawei(config-dot1x-profile-1)#quit

操作结果

ONU配置完成后即可作为802.1X认证接入点,终端设备即可通过用户名密码或MAC地址接入局域网。

核心交换机作为802.1X认证设备端

核心交换机作为802.1X认证设备端,在OLT上配置802.1X相关协议报文透传。

前提条件

  • ONU/OLT正常上线,且状态正常。
  • ONU默认透传EAPOL和BPDU报文。

采用RADIUS认证组网图如图1-6所示。

图1-6 采用RADIUS认证组网图

操作步骤

  • 在OLT上将EAPOL报文配置为透传。
huawei(config)#protocol permit-forwarding eapol enable
  • 在OLT上将BPDU报文配置为透传。
huawei(config)#vlan service-profile profile-id 10
huawei(config-vlan-srvprof-10)#bpdu tunnel enable
huawei(config-vlan-srvprof-10)#commit
huawei(config-vlan-srvprof-10)#quit
huawei(config)#vlan bind service-profile 11 profile-id 10

操作结果

配置完成后,802.1X相关协议报文即可透传至核心交换机,由核心交换机完成802.1X认证。

翻译
下载文档
更新时间:2019-10-25

文档编号:EDOC1100097572

浏览量:752

下载量:68

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页