802.1x配置

i目录1802.1x配置........................................................................................................................................1-11.1802.1x简介........................................................................................................................................1-11.1.1802.1x的体系结构...................................................................................................................1-11.1.2802.1x的基本概念...................................................................................................................1-21.1.3EAPOL消息的封装..................................................................................................................1-31.1.4EAP属性的封装......................................................................................................................1-41.1.5802.1x的认证触发方式...........................................................................................................1-51.1.6802.1x的认证过程...................................................................................................................1-51.1.7802.1x的定时器......................................................................................................................1-81.1.8802.1x在设备中的实现...........................................................................................................1-91.1.9和802.1x配合使用的特性.......................................................................................................1-91.2配置802.1x.....................................................................................................................................1-111.2.1配置准备...............................................................................................................................1-111.2.2配置全局802.1x...................................................................................................................1-111.2.3配置端口的802.1x................................................................................................................1-121.3配置802.1x的GuestVLAN..............................................................................................................1-141.3.1配置Port-basedGuestVLAN................................................................................................1-141.3.2配置MAC-basedGuestVLAN..............................................................................................1-141.4802.1x显示和维护...........................................................................................................................1-151.5802.1x典型配置举例（WX系列无线控制产品适用）......................................................................1-151.6下发ACL典型配置举例（WX系列无线控制产品适用）...................................................................1-181-1zH3CWX系列无线控制产品包含无线控制器、无线控制业务板和有线无线一体化交换机的无线控制引擎模块，无线控制产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见本模块的命令手册。z无线控制产品支持的接口类型和编号与设备的实际情况相关，本手册涉及以太网接口的配置举例统一使用GE口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。1802.1x配置1.1802.1x简介IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议（portbasednetworkaccesscontrolprotocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。1.1.1802.1x的体系结构802.1x系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。图1-1802.1x认证系统的体系结构z客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPOL（ExtensibleAuthenticationProtocoloverLAN，局域网上的可扩展认证协议）。z设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。z认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（RemoteAuthenticationDial-InUserService，远程认证拨号用户服务）服务器。802.1x认证系统使用EAP（ExtensibleAuthenticationProtocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。1-2z在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。z在设备端与RADIUS服务器之间，可以使用两种方式来交换信息。一种是EAP协议报文使用EAPOR（EAPoverRADIUS）封装格式承载于RADIUS协议中；另一种是EAP协议报文由设备端进行终结，采用包含PAP（PasswordAuthenticationProtocol，密码验证协议）或CHAP（ChallengeHandshakeAuthenticationProtocal，质询握手验证协议）属性的报文与RADIUS服务器进行认证交互。1.1.2802.1x的基本概念图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1x认证系统的端口状态。系统1的受控端口处于非授权状态（相当于端口开关打开），系统2的受控端口处于授权状态（相当于端口开关关闭）。图1-2受控端口上授权状态的影响1.受控/非受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。任何到达该端口的帧，在受控端口与非受控端口上均可见。z非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接收认证报文。z受控端口在授权状态下处于双向连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。2.授权/非授权状态设备端利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果（Accept或Reject）对受控端口的授权/非授权状态进行相应地控制。用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式：z强制授权模式（authorized-force）：表示端口始终处于授权状态，允许用户不经认证授权即可访问网络资源。z强制非授权模式（unauthorized-force）：表示端口始终处于非授权状态，不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。1-3z自动识别模式（auto）：表示端口初始状态为非授权状态，仅允许EAPOL报文收发，不允许用户访问网络资源；如果认证通过，则端口切换到授权状态，允许用户访问网络资源。这也是最常见的情况。3.受控方向在非授权状态下，受控端口可以被设置成单向受控和双向受控。z实行双向受控时，禁止帧的发送和接收；z实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。目前，设备只支持单向受控。1.1.3EAPOL消息的封装1.EAPOL数据包的格式EAPOL是802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图1-3所示。图1-3EAPOL数据包格式PAEEthernetType：表示协议类型，为0x888E。ProtocolVersion：表示EAPOL帧