- 1一文讲透:2G/3G/4G/5G移动通信的身份认证与鉴权机制_2g鉴权过程
- 2CPASSOC代码详解
- 3利用ZXing生成二维码的工具类_生成二维码时zxingutils
- 4如何在VMware Workstation的Mac OS X系统下,安装VMsvga2_v1.2.5_OS_10.9.pkg 改变显示分辨率(亲测有效)
- 5MySQL中的lower_case_tables_names_怎么关闭lower case table names
- 6利用Putty连接树莓派
- 7rocketmq消息注解基于springboot的简单应用及默认详细配置_rocketmq springboot 配置
- 82024最新 yolov5 环境配置详细教程_yolov5配置
- 9超越分众的互联网新媒体_最早由思科提出:把计算机技术与传统通信技术融为一体的新通信模式,让人们无论任何
- 10手把手教你在本机安装Stable Diffusion秋叶整合包(附安装包和大模型)_stable diffustion安装包有多大
802.1x 命令说明以及配置方法_802.1x配置
赞
踩
- 802.1x 命令说明以及配置方法
- 配置802.1x任务列表
- 配置端口的802.1x认证
- 配置802.1x多主机端口认证
- 配置802.1x的重认证
- 配置802.1x的认证重试次数
- 配置802.1x发送频率
- 配置混合MAB认证的刷新时间
- 配置混合MAB认证的老化时间
- 配置802.1x用户绑定
- 配置802.1xmac地址绑定
- 配置802.1x端口的认证方法
- 选择802.1x端口的认证类型
- 配置端口的mab认证
- 配置802.1x记账
- 配置802.1x guest-vlan
- 禁止拥有多网卡的Supplicant
- 802.1x恢复默认配置
- 监控802.1x认证配置和状态
- 配置802.1x任务
- 配置端口的802.1x认证
- 配置802.1x任务
802.1x定义了三种端口的控制方式:强制认证通过、强制认证不通过和启动802.1x认证。
强制认证通过,表示端口已经认证通过,不需要再对端口进行认证,所有的用户都可以通过该端口进行数据访问控制;该模式是端口的默认模式。强制认证不通过,表示端口认证不通过,即使使用任何认证手段对端口进行认证,该端口都不会认证通过,所有的用户都无法通过该端口进行数据访问控制。
启动802.1x认证,即端口将运行802.1x认证协议,对访问该端口的用户进行802.1x认证,只有认证通过后用户都可以通过该端口进行数据访问控制。启动端口的802.1x的认证后还要配置AAA的认证方法。
在配置802.1x前,必须将802.1x功能使能,使用下面的命令可以使能802.1x:
| 命令 | 目的 |
| dot1x enable | 使能802.1x功能 。 |
使用下面的命令可以启动802.1x认证:
| 命令 | 目的 |
| dot1x port-control auto | 配置端口为802.1x协议认证模式。 |
| aaa authentication dot1x {default |list name} method | 配置802.1x的AAA认证。 |
选择802.1x控制方式,可以在接口配置模式下使用下面的任意一个命令:
| 命令 | 目的 |
| dot1x port-control auto | 端口启动802.1x认证。 |
| dot1x port-control force-authorized | 端口强制认证通过。 |
| dot1x port-control force-unauthorized | 端口强制认证不通过。 |
| dot1x port-control misc-mab | 多用户和mab认证的混杂模式 |
-
-
- 配置802.1x多用户认证
-
802.1x端口访问控制主要是对单个用户进行认证,其他用户不能同时进行认证和访问,除非前一个用户退出认证、访问过程。实际上,认证端口可能与多个用户相连接,为了使这些用户都能进行认证、访问,可以启动多用户认证功能。
多用户认证包含两种模式,一种是multiple-hosts模式:当用户进行认证时,只需要其中某一用户通过认证,就将端口置为up状态,其他用户无需认证也可以通过该端口进行访问;另一种是multiple-auth模式:交换机将对每个用户分别进行认证,每个用户认证之间互不影响。只要有一个用户认证成功,端口就up,只有当所有的用户都认证失败,即认证端口下不存在认证成功的用户时,端口才down。这样可以保证对每个用户分别认证,且一个用户认证失败不影响其他用户的正常访问权限。
注意:multi-auth模式与guest vlan功能不能同时配置,与mab认证不能同时配置。修改端口的多用户认证模式后,会对端口下所有用户进行重新认证。
激活802.1x多主机端口认证,可以在接口配置模式下使用下面的任意一个命令:
| 命令 | 目的 |
| dot1x authentication multiple-hosts | 设置802.1x多主机端口访问模式。只需一个用户认证通过,端口就up。 |
| dot1x authentication multiple-auth | 设置802.1x多主机端口认证模式。每个用户认证之间互不影响。 |
-
-
- 配置802.1x的重认证
-
在认证通过后,为了保证认证客户端的合法性,间隔一段时间后还会向客户端发起认证,这时就需要启动重认证功能。
启动重认证功能,当端口认证通过以后,将会周期性的向主机进行认证请求。
配置重认证功能,可以使用下面的命令:
| 命令 | 目的 |
| dot1x re-authentication | 启动重认证功能。 |
| dot1x timeout re-authperiod time | 配置重认证的周期。 |
-
-
- 配置802.1x的认证重试次数
-
在认证失败之后,交换机会继续发送request/ID报文来发起认证,当超过该次数的认证后,客户机依然没有响应,认证将会被挂起。
配置重复认证次数的功能,可以使用下面的命令:
| 命令 | 目的 |
| dot1x reauth-max time | 配置重认证失败后的重试次数。 |
-
-
- 配置802.1x发送频率
-
802.1x认证过程中,它会向客户主机发送数据报文,通过控制802.1x发送频率可以调节数据发送以保证客户主机的响应。
配置发送频率,可以使用下面的命令:
| 命令 | 目的 |
| dot1x timeout tx-period time | 设定802.1x报文发送频率。 |
-
-
- 配置混合MAB认证的刷新时间
-
该命令可以配置混合MAB认证的刷新时间,在每个刷新事件中会重新读取端口下的动态mac地址。
配置发送频率,可以使用下面的命令:
| 命令 | 目的 |
| dot1x timeout misc-mab-refresh time | 设置混合MAB认证的刷新时间 |
-
-
- 配置混合MAB认证的老化时间
-
该命令可以配置配置混合MAB认证mac auth的老化时间。在每个刷新事件中会重新读取端口下的动态mac地址,如果该mac地址存在对应的auth,则刷新该auth的老化时间,如果不存在,则老化。
配置发送频率,可以使用下面的命令:
| 命令 | 目的 |
| dot1x timeout misc-mab-aging time | 设置混合MAB认证的老化时间 |
-
-
- 配置802.1x用户绑定
-
802.1x认证时,可以将用户与某一个端口进行绑定,保证端口访问的安全。启动802.1x用户绑定功能,可以在接口配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x user-permit xxxz | 配置端口下绑定的用户。 |
-
-
- 配置802.1x mac地址绑定
-
802.1x认证时,可以将mac地址与某一个端口进行绑定,保证端口访问的安全。启动802.1x mac地址绑定功能,可以在接口配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x macr-permit h:h:h:h:h:h | 配置端口下绑定的mac地址。 |
-
-
- 配置802.1x端口的认证方法
-
802.1x认证时不同的端口可以使用不同的认证方法,缺省时,802.1x认证使用default方法。
配置802.1x认证方法,可以在接口配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x authentication method yyy | 配置802.1x认证方法。 |
-
-
- 选择802.1x端口的认证类型
-
802.1x认证时可以选择认证类型,该类型将决定AAA使用Chap或Eap认证(eap认证支持md5-challenge和eap-tls方式);使用Chap时MD5所需的challenge将在本地产生,而使用Eap时challenge将在认证服务器上产生;每一个端口只使用一种认证类型,默认情况下该类型使用全局配置的认证类型,当端口配置了认证类型时就一直使用该认证类型,除非使用No命令恢复到默认值。
eap-tls采用电子证书作为认证凭证,遵循tls(Translation Layer Security)中handshake协议规范,具有更好的安全性。
配置认证类型,可以在全局配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x authen-type {chap|eap} | 选择chap或eap。 |
也可以在接口配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x authentication type {chap|eap} | 选择chap或eap或使用全局下的配置类型。 |
-
-
- 配置端口的mab认证
-
当对端设备无法使用802.1x客户端软件时,交换机使用Mab(MAC Authentication Bypass)认证方式,将对端设备的mac地址作为用户名和密码发往radius服务器进行认证。
注意:交换机上可以通过dot1x mabformat命令指定账号、密码格式,确保其与radius服务器上的设置一致。
开启 mab功能后,如果对端设备既没有发送eapol_start报文,也没有响应request_identity报文,超时后,交换机认为对端设备不支持802.1x认证客户端,转而进入mab认证过程。交换机将获取到的设备的mac地址作为用户名和密码发送给radius服务器进行认证,如果在radius服务器上已经授权该mac地址,则认证成功,交换机允许用户通过该端口访问网络。
注意:开启mab认证时,不能同时配置multi-auth多主机认证模式。
开启mab认证,可以在接口配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x mab | 端口上开启mab认证功能。 |
可以在全局配置模式下使用下面的命令配置mac地址的格式:
| 命令 | 目的 |
| dot1x mabformat{1|2|3|4|5|6} | 可以选择格式1到格式6之间的六种mac地址格式中的一种。默认为格式1。 |
-
-
- 配置802.1x记帐
-
采用dot1x认证的同时,可以进行记帐,实现机制是,在dot1x认证通过后,判断是否在该认证接口下打开了记帐功能,如果是,则使用AAA接口发送记帐请求,在收到AAA模块的请求成功信息后,该接口才可以通过报文。
记帐方法可以采用AAA配置中各种记帐方法,相关内容请参考AAA配置。
为了保证记帐信息的准确性,在记帐开始后,dot1x会周期性的使用AAA接口向server端发送update信息,但根据AAA配置的不同,AAA模块决定是否真正发送该报文。
同时,请打开dot1x重认证功能,确保supplicant出现异常时,能够被交换机知晓。
为了打开dot1x记帐功能及配置记帐采用的方法,可以在接口配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x accounting enable | 打开802.1x记帐功能 |
| dot1x accounting method {method name} | 配置记帐方法,缺省为default |
-
-
- 配置802.1x guest-vlan
-
Guest-vlan功能可以在客户端没有响应时,给予相应端口有限的访问权限(例如下载客户端软件)。Guest-vlan可以是系统中任何一个已配置的vlan,如果配置的guest-vlan不满足该条件,则该端口无法进入该guest-vlan。
注意:认证失败没有访问权限。
全局模式下打开guest-vlan功能,使用下面的命令:
| 命令 | 目的 |
| dot1x guest-vlan | 在所有端口下打开guest-vlan功能 |
初始时,每个端口的guest-vlan id为0,此时即使打开了全局guest-vlan功能,也不起作用,只有在端口配置模式下,配置了guest-vlan id后,guest-vlan才起作用。
端口模式下使用下面命令配置guest-vlan id:
| 命令 | 目的 |
| dot1x guest-vlan {id(1-4094)} | 在端口下配置guest-vlan的Vlan id |
-
-
- 禁止拥有多网卡的Supplicant
-
禁止拥有多张网络适配器的Supplicant端,防止代理的发生。可以在端口配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x forbid multi-network-adapter | 禁止拥有多张网络适配器的Supplicant端。 |
-
-
- 802.1x恢复默认配置
-
将所有的全局配置恢复到默认配置。可以在全局配置模式下使用下面的命令:
| 命令 | 目的 |
| dot1x default | 将所有的全局配置恢复到默认配置。 |
-
-
- 监控802.1x认证配置和状态
-
为了监控802.1x认证配置和状态,决定哪个802.1x参数需要调整,可以在管理模式下使用下面的命令:
| 命令 | 目的 |
| show dot1x { interface|statistics|misc-mab-db } | 802.1x认证配置和状态。 |
-
- 配置802.1x示例
Host A与交换机的端口G0/2相连,Host B与交换机的端口G0/4相连,Host C与交换机的端口G0/6相连,radius-server host的ip地址为192.168.20.2,radius的key为TST;端口G0/2的认证使用远程的radius认证并且使用了用户绑定和开启记账功能和重认证功能,端口G0/4的认证使用本地认证没使用用户绑定,但用eap类型,并且启用了Multi-hosts和开启guest-vlan功能,端口G0/6使用mab认证,mac地址格式为AA:BB:CC:DD:EE:FF。
全局的配置
username switch password 0 TST
username TST password 0 TST
aaa authentication dot1x TST-G0/2 group radius
aaa authentication dot1x TST-G0/4 local
aaa authentication dot1x TST-G0/6 group radius
aaa accounting network dot1x_acc start-stop group radius
dot1x enable
dot1x re-authentication
dot1x timeout re-authperiod 10
dot1x mabformat 2
dot1x guest-vlan
interface VLAN1
ip address 192.168.20.24 255.255.255.0
!
vlan 1-2
radius-server host 192.168.20.2 auth-port 1812 acct-port 1813
radius-server key TST
端口G0/2的配置
interface GigaEthernet0/2
dot1x port-control auto
dot1x authentication method TST-G0/2
dot1x user-permit radius-TST
dot1x accounting enable
dot1x accounting method dot1x_acc
端口G0/4的配置
Interface GigaEthernet0/4
dot1x authentication multiple-hosts
dot1x port-control auto
dot1x authentication method TST-G0/4
dot1x guest-vlan 2
端口G0/6的配置
interface GigaEthernet0/6
dot1x mab
dot1x authentication method TST-G0/6
