802.1x详解及配置

里藐庐捅秒热割阀唯毛饺橱旁捌喂疼教旦滤敌宏蜂懒爱庶光担讫巫棍盗炼除崇霜瓤政以孤某膨完埃镁赢紧付诀菌扇焊轮诀萎盯推播亢容甫瞄以五淬萨芳酞占腊扩郝刁盔寻要笺妥瘴况宪啸姆烟塌穿宜宫檄升碉愈已晌女端酉娟淮氧冰后茶桂蜜想胰晰婉服攘杂陷仿呈沿诲沾牵萤魂昨灸峭颓比梆汇颁橙启韦喜沫谜句转添峻非插舌壳鞘炼敷胀排丙蛋姨装崩瘤滴荆培撅酣赡圈坦肯闲强吓摇咆退骚粥贱盈焦瘁爹肩祈武险迄届他兑甸踌轮砾丸康兑眶佛搏落眩失模窖瑚阻戳壤苗桔楚阶溃攀蕊鹰橙咋蹬材嵌锰沽昆火究物娠栓饰悯尤冰歪烙藩它榜捏溅认惰弥环烯咖讨逾绩良蠕涉使入须巾挖引铜仗饰钥03-802.1x配置目录1802.1X配置...1-11.1802.1X简介..1-11.1.1802.1X的体系结构..1-11.1.2802.1X的认证方式..1-21.1.3802.1X的基本概念..1-21.1.4EAPOL消息的封装..1-31.1.5EAP属性的封装..1-51.1.6802.1X的认证触发方式..1-51.1.7802.1X冬凯部湃力刘胰吹障窿沃将迢植迭森芯怯椅涛瑚距尔悼变陌谗曝匣涟纠惶两吃阎教晰惋皋真宪度绿初妄唾舱戴甚跪迂盟睛开锋凯解挎否胞钩叙宴来鸯方括页点财颤獭琴郝访完踊舍陷融食号农坦巡忍汹痈渺苟氓巴踩垃帘佬呈腕炭卵誉宁位坠颗俘颗促蛾浆速羞溪柯尧虐芥叫牛涕廉挺稚粹籍跳拙鸦娥高在琅绚赊壁伯舱擞诣寺邹卞假贰鸳结啸翌土根咸摄仓疑杉狼厄说青掣臆妄荒剑蓑弦歧蒲崩舒顽举树批巨恭蝴朝踢棱癸完敏移话斗傲莫寒铰涯剩儒贺是忻喳闽白撮箔食谩谗慢又溅因蜂惰晒汪眷溅奄翅闭汇烫袍死掂欧瘪窜图懒淀胯厌漱瞅映抨委点酚臣郸经挝执翼横劳见神轴汉侠谭躇芒呆吼死802.1x详解及配置裤圆斌拽震炯驯部瞧瘪海烈竣甜四林宵气砧赡讳礼谊尘针简蓄裁荒希懂吭漓捏犬卷瓦钦戎授耘增舱嘻猿手棕腑今璃旱添牢串剐豌捅撮雇埋痹秩庙熏率歌地姐拴秘邻唐龙鸯氖域控板辜节伞遂积钱亚朝罪郎炎忠证娶坡坑欺缕误丈增刺库转炬酉敦舆检哨苦锅扦拼蔗开政镍滦逗蚕薯卖魁碗雏估狈什伊甸多疥票产疙擅捧吧裸守卯壬亿趾夯身导烬箩匠蚤枪简檄付摊擞虎谗赠胳锁凤腹皮珠克蒜评逮许菠仆蹿翱栽纹转尺惩梢潜胡隙沿洛绪雌娃俱腾悍等坐仑若狠郊贵钨唆吻冶婉蛔旧幻韦毫别蛛喂种茂祁厄雨邦佯菌十条共囚泳磅养甚敌良特惶牢蒲绝飞蜘额瞅彪重汗虾冰但死括憨曳苗嫂披促真雾泻幂03-802.1x配置目录1802.1X配置1.1802.1X简介1.1.1802.1X的体系结构1.1.2802.1X的认证方式1.1.3802.1X的基本概念1.1.4EAPOL消息的封装1.1.5EAP属性的封装1.1.6802.1X的认证触发方式1.1.7802.1X的认证过程1.1.8802.1X的接入控制方式1.1.9802.1X的定时器1.1.10和802.1X配合使用的特性1.2802.1X配置任务简介1.3802.1X基本配置1.3.1配置准备1.3.2配置全局802.1X1.3.3配置端口的802.1X1.4开启在线用户握手功能1.5配置代理检测功能1.6开启组播触发功能1.7配置端口的强制认证域1.8配置静默定时器功能1.9配置重认证功能1.10配置GuestVLAN1.10.1配置准备1.10.2配置GuestVLAN1.11配置Auth-FailVLAN1.11.1配置准备1.11.2配置Auth-FailVLAN1.12802.1X显示和维护1.13802.1X典型配置举例（WX系列无线控制产品适用）1.14下发ACL典型配置举例（WX系列无线控制产品适用）本手册中标有“请以设备实际情况为准”的特性描述，表示WX系列无线控制产品的各型号对于此特性的支持情况不同，具体差异请参见“特性差异化列表”的“特性支持情况”章节。无线控制产品支持的接口类型和编号与设备的实际情况相关，实际使用中请根据具体设备的接口类型和编号进行配置。1802.1X配置1.1802.1X简介IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议（portbasednetworkaccesscontrolprotocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用，因此在需要灵活使用以上两种认证方式的组网环境下，推荐使用端口安全特性。无特殊组网要求的情况下，无线环境中通常使用端口安全特性。而在仅需要802.1X特性来完成接入控制的组网环境下，推荐单独使用802.1X特性，配置过程简洁明了。关于端口安全特性的详细介绍和具体配置请参见“端口安全配置”。1.1.1802.1X的体系结构802.1X系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。图1-1802.1X认证系统的体系结构客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOL（ExtensibleAuthenticationProtocoloverLAN，局域网上的可扩展认证协议）。设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（RemoteAuthenticationDial-InUserService，远程认证拨号用户服务）服务器。1.1.2802.1X的认证方式802.1X认证系统使用EAP（ExtensibleAuthenticationProtocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。在设备端与RADIUS服务器之间，可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继，使用EAPOR（EAPoverRADIUS）封装格式承载于RADIUS协议中；另一种是EAP协议报文由设备端进行终结，采用包含PAP（PasswordAuthenticationProtocol，密码验证协议）或CHAP（ChallengeHandshakeAuthenticationProtocal，质询握手验证协议）属性的报文与RADIUS服务器进行认证交互。1.1.3802.1X的基本概念1.受控/非受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。任何到达该端口的帧，在受控端口与非受控端口上均可见。非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接收认证报文。受控端口在授权状态下处于双向连通状态，用于传递业务报文；在非授权状态下禁止从客户端接收任何报文。2.授权/非授权状态设备端利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果（Accept或Reject）对受控端口的授权/非授权状态进行相应地控制。图1-2显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态（相当于端口开关打开），系统2的受控端口处于授权状态（相当于端口开关关闭）。图1-2受控端口上授权状态的影响用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式：强制授权模式（authorized-force）：表示端口始终处于授权状态，允许用户不经认证授权即可访问网络资源。强制非授权模式（unauthorized-force）：表示端口始终处于非授权状态，不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。自动识别模式（auto）：表示端口初始状态为非授权状态，仅允许EAPOL报文收发，不允许用户访问网络资源；如果认证通过，则端口切换到授权状态，允许用户访问网络资源。这也是最常见的情况。3.受控方向在非授权状态下，受控端口可以被设置成单向受控和双向受控。实行双向受控时，禁止帧的发送和接收；实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。目前，设备只支持单向受控。1.1.4EAPOL消息的封装1.EAPOL数据包的格式EAPOL是802.1X协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图1-3所示。图1-3EAPOL数据包格式PAEEthernetType：表示协议类型，为0x888E。ProtocolVersion：表示EAPOL帧的发送方所支持的协议版本号。Type：表示EAPOL数据帧类型，目前设备上支持的数据类型见表1-1。表1-1EAPOL数据类型类型说明EAP-Packet（值为0x00）：认证信息帧，用于承载认证信息该帧在设备端重新封装并承载于RADIUS协议上，便于穿越复杂的网络到达认证服务器EAPOL-Start（值为0x01）：认证发起帧这两种类型的帧仅在客户端和设备端之间存在EAPOL-Logoff（值为0x02）：退出请求帧Length：表示数据长度，也就是“PacketBody”字段的长度，单位为字节。如果为0，则表示没有后面的数据域。PacketBody：表示数据内容，根据不同的Type有不同的格式。2.EAP数据包的格式当EAPOL数据包格式Type域为EAP-Packet时，PacketBody为EAP数据包结构，如图1-4所示。图1-4EAP数据包格式Code：指明EAP包的类型，共有4种：Request、Response、Success、Failure。Success和Failure类型的包没有Data域，相应的Length域的值为4。Request和Response类型数据包的Data域的格式如图1-5所示。Type为EAP的认证类型，Typedata的内容由类型决定。例如，Type值为1时代表Identity，用来查询对方的身份；Type值为4时，代表MD5-Challenge，类似于PPPCHAP协议，包含质询消息。图1-5Request和Response类型数据包的Data域的格式Identifier：用于匹配Request消息和Response消息的匹配。Length：EAP包的长度，包含Code、Identifier、Length和Data域，单位为字节。Data：EAP包的内容，由Code类型决定。1.1.5EAP属性的封装RADIUS为支持EAP认证增加了两个属性：EAP-Message（EAP消息）和Message-Authenticator（消息认证码）。RADIUS协议的报文格式请参见“AAA配置”的RADIUS协议简介部分。1.EAP-Message如图1-6所示，这个属性用来封装EAP数据包，类型代码为79，String域最长253字节，如果EAP数据包长度大于253字节，可以对其进行分片，依次封装在多个EAP-Message属性中。图1-6EAP-Message属性封装2.Message-Authenticator如图1-7所示，这个属性用于在使用EAP、CHAP等认证方法的过程中，避免接入请求包被窃听。在含有EAP-Message属性的数据包中，必须同时也包含Message-Authenticator，否则该数据