s8500路由交换机 操作手册(V2.00)7-1 802.1x配置

QuidwayS8500系列路由交换机操作手册802.1x目录i目录第1章802.1x配置.................................................................................................................1-11.1802.1x简介........................................................................................................................1-11.1.1802.1x的体系结构...................................................................................................1-11.1.2802.1x的工作机制...................................................................................................1-21.1.3EAPOL消息的封装.................................................................................................1-31.1.4EAP属性的封装......................................................................................................1-41.1.5802.1x的认证过程...................................................................................................1-51.1.6802.1x的定时器......................................................................................................1-81.1.7802.1x在Quidway设备中的实现............................................................................1-91.1.8和802.1x配合使用的特性.......................................................................................1-91.2配置802.1x......................................................................................................................1-101.2.1配置准备................................................................................................................1-101.2.2配置802.1x...........................................................................................................1-111.3配置GuestVlan................................................................................................................1-131.3.1配置准备................................................................................................................1-131.3.2配置GuestVlan.....................................................................................................1-141.4802.1x显示和维护...........................................................................................................1-141.5802.1x典型配置举例........................................................................................................1-141.6GuestVlan的典型配置举例..............................................................................................1-17QuidwayS8500系列路由交换机操作手册802.1x第1章802.1x配置1-1第1章802.1x配置1.1802.1x简介IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议（portbasednetworkaccesscontrolprotocol）。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源，相当于连接被物理断开。1.1.1802.1x的体系结构使用802.1x的系统为典型的Client/Server体系结构，包括三个实体，如图1-1所示分别为：SupplicantSystem（客户端）、AuthenticatorSystem（设备端）以及AuthenticationServerSystem（认证服务器）。客户端PAE客户端认证服务器认证服务器设备端提供的服务设备端PAE设备端受控端口端口非授权非受控端口LAN/WLAN图1-1802.1x认证系统的体系结构z客户端是位于局域网段一端的一个实体，由另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL（EAPoverLANs，局域网上的EAP）协议。z设备端是位于局域网段一端的一个实体，对另一端的实体进行认证。设备端通常为支持802.1x协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。QuidwayS8500系列路由交换机操作手册802.1x第1章802.1x配置1-2z认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费。三个实体涉及如下三个基本概念：端口PAE、受控端口和受控方向。1.端口PAE（PortAccessEntity，端口访问实体）端口PAE为802.1x系统中，在一个给定的设备端口上执行算法和协议操作的实体对象。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应地控制受控端口的授权/非授权状态。客户端PAE负责响应设备端的认证请求，向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。2.受控端口z设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。z非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接受认证。z受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。z受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控端口与非受控端口上均可见。3.受控方向z在非授权状态下，受控端口可以被设置成单向受控和双向受控。实行双向受控时，禁止帧的发送和接收；实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。目前，设备支持单向受控。1.1.2802.1x的工作机制IEEE802.1x认证系统利用EAP（ExtensibleAuthenticationProtocol，可扩展认证协议）协议，作为在客户端、设备端和认证服务器之间交换认证信息的手段。z在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。z在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR封装格式（EAPoverRADIUS），承载于RADIUS协议中；也可以由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送包含PAP协议或CHAP协议属性的报文。QuidwayS8500系列路由交换机操作手册802.1x第1章802.1x配置1-3z认证服务器通常为RADIUS服务器，该服务器可以存储有关用户的信息。例如，用户名、密码以及用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。z当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示（Accept或Reject）决定受控端口的授权/非授权状态。客户端PAE设备端PAE认证服务器EAPOLRADIUS图1-2802.1x认证系统的工作机制1.1.3EAPOL消息的封装1.EAPOL数据包的格式EAPOL是802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。格式如图1-3所示。PAEEthernettypeProtocolversionLength0234Packetbody6NTypebytes图1-3EAPOL数据包格式PAEEthernetType：表示协议类型，为0x888E。ProtocolVersion：表示EAPOL帧的发送方所支持的协议版本号。Type：zEAP-Packet（值为0x00），认证信息帧，用于承载认证信息；zEAPOL-Start（值为0x01），认证发起帧；zEAPOL-Logoff（值为0x02），退出请求帧；zEAPOL-Key（值为0x03），密钥信息帧；zEAPOL-Encapsulated-ASF-Alert（值为0x04），用于支持ASF（AlertStandardForum）的Alerting消息。Length：表示数据长度，也就是“PacketBody”字段的长度，单位为字节。如果为0，则表示没有后面的数据域。PacketBody：根据不同的Type有不同的格式。其中，EAPOL-Start，EAPOL-Logoff和EAPOL-Key仅在客户端和设备端之间存在；在设备端和认证服务器之间，EAP-Packet报文重新封装承载于RADIUS协议上，QuidwayS8500系列路由交换机操作手册802.1x第1章802.1x配置1-4以便穿越复杂的网络到达认证服务器；EAPOL-Encapsulated-ASF-Alert封装与网管相关信息，例如各种警告信息，由设备端终结。2.EAP数据包的格式当EAPOL数据包格式Type域为EAP-P