评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置通过802.1X认证控制企业内网用户访问网络示例
组网需求
如图3-16所示,某公司内部大量用户终端通过Switch(作为接入设备)的接口GE0/0/1接入网络。在该网络运行一段时间后,发现存在用户对公司内网进行攻击。为确保网络的安全性,管理员需对用户终端的网络访问权限进行控制,只有用户终端通过认证后,Switch才允许其访问Internet中的资源。
配置思路
为实现对用户网络访问权限进行限制的需求,在将IP地址为192.168.2.30的服务器用作RADIUS服务器后,管理员可在Switch上配置802.1X认证功能。
具体配置思路如下(均在Switch上进行配置):
- 创建并配置RADIUS服务器模板、AAA方案以及认证域,并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Switch与RADIUS服务器之间的信息交互。
- 配置802.1X认证。
- 使能全局与接口的802.1X认证功能。
- 使能MAC旁路认证功能,保证了无法安装和使用802.1X认证的终端(如打印机)能够通过认证。
配置本举例之前,需确保网络中各设备之间已能互通。
本举例中,由于接入交换机Switch与用户之间存在透传交换机LAN Switch,为保证用户能够通过802.1X认证,则务必在LAN Switch上配置EAP报文透传功能:方法一:此处LAN Switch以S5720-LI为例,操作步骤如下:
- 在LAN Switch系统视图下执行命令l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002定义二层透明传输EAP报文。
- 在LAN Switch的下行与用户连接的接口以及上行与Switch连接的接口上执行命令l2protocol-tunnel user-defined-protocol 802.1X enable以使能接口的二层协议透明传输功能。
- 系统视图下执行如下命令:
- undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
- bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
- bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
- bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
- bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
- (从方法一切换到方法二时,该步骤必须执行,如果直接使用方法二则不必执行)接口视图下执行命令undo l2protocol-tunnel user-defined-protocol 802.1X enable删除透传802.1X协议报文。
操作步骤
- 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
# 创建并配置RADIUS服务器模板“rd1”。
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] radius-server template rd1 [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812 [Switch-radius-rd1] radius-server shared-key cipher Example@2012 [Switch-radius-rd1] quit
# 创建AAA方案“abc”并配置认证方式为RADIUS。
[Switch] aaa [Switch-aaa] authentication-scheme abc [Switch-aaa-authen-abc] authentication-mode radius [Switch-aaa-authen-abc] quit
# 创建认证域“isp1”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[Switch-aaa] domain isp1 [Switch-aaa-domain-isp1] authentication-scheme abc [Switch-aaa-domain-isp1] radius-server rd1 [Switch-aaa-domain-isp1] quit [Switch-aaa] quit
# 配置全局默认域为“isp1”。用户进行接入认证时,以格式“user@isp1”输入用户名即可在isp1域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[Switch] domain isp1# 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test@example.com,用户密码Example2012)
[Switch] test-aaa test@example.com Example2012 radius-template rd1 Info: Account test succeeded. - 配置802.1X认证。
# 将NAC配置模式切换成传统模式。
[Switch] undo authentication unified-mode Warning: Switching the authentication mode will take effect after system restart . Some configurations are invalid after the mode is switched. For the invalid co mmands, see the user manual. Save the configuration file and reboot now? [Y/N] y- 缺省情况下,NAC配置模式为统一模式。
- 统一模式切换到传统模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。
# 在全局和接口下使能802.1X认证。
<Switch> system-view [Switch] dot1x enable [Switch] interface gigabitethernet 0/0/1 [Switch-GigabitEthernet0/0/1] dot1x enable
设备默认支持用户通过ARP报文触发802.1X认证,如果用户希望通过DHCP报文触发802.1X认证,可在系统视图下执行命令dot1x dhcp-trigger配置。
# 配置MAC旁路认证。
[Switch-GigabitEthernet0/0/1] dot1x mac-bypass
- 验证配置结果。
- 执行命令display dot1x查看802.1X认证的各项配置信息。从显示信息中能够看到接口GE0/0/1下已使能802.1X认证(802.1X protocol is Enabled)。
- 用户在终端上启动802.1X客户端,输入用户名和密码,开始认证。
- 如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。
- 用户上线后,管理员可在设备上执行命令display access-user查看在线802.1X用户信息。
配置文件
Switch的配置文件
# sysname Switch # undo authentication unified-mode # domain isp1 # dot1x enable # radius-server template rd1 radius-server shared-key cipher %^%#t67cDelRvAQg;*"4@P/3~q_31Sn{ST\V8'Ci633)%^%# radius-server authentication 192.168.2.30 1812 weight 80 # aaa authentication-scheme abc authentication-mode radius domain isp1 authentication-scheme abc radius-server rd1 # interface GigabitEthernet0/0/1 dot1x mac-bypass # return
