锐捷无线802.1x常见问题

无线设备指标参数请参见锐捷官网

1802.1X功能介绍

    IEEE802.1X Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为LAN 提供点对点式的安全接入。这是IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE 802 LAN 优势的基础上,提供一种对连接到局域网设备的用户进行认证的手段。

    IEEE 802.1X  标准定义了一种基于客户端——服务器Client-Server )模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。 在客户端通过认证之前,只有EAPOL报文(Extensible Authentication Protocol over LAN )可以在网络上通行。在认证成功之后,正常的数据流便可在网络上通行。

    应用802.1X我司的设备提供了AuthenticationAuthorization and Accounting 三种安全功能,简称AAA

    Authentication  认证,用于判定用户是否可以获得访问权,限制非法用户;

    Authorization   授权,授权用户可以使用哪些服务,控制合法用户的权限;

    Accounting   计账,记录用户使用网络资源的情况,为收费提供依据。

 

2、无线设备是否支持使用本地账号进行802.1x认证

    截止1B19 P2 180086 均无法支持。

 

3AP胖模式是否支持802.1x认证

    可以,胖AP模式下无线也可以支持AP作为NAS设备与SAM进行802.1x认证,AP上关于SSID及认证服务器配置方法与瘦APAC配置一样。在SAM上,添加设备时选无线交换机,型号选53025708都可以。

 

4、无线802.1X认证中是否支持安全通道,是否支持配置免认证资源?

    不支持安全通道,不支持配置免认证资源。

    因为无线1x认证是空口报文交互,STA去关联无线的时候就开始做1x认证,这个时候访问资源的动作还没有开始,无法实现免认证资源部署 ;所以安全通道在无线中是不可行的。

    如果要放通内网的一些资源免认证,那么可以再创建一个SSID,免认证,并在wlansec应用ACL控制访问范围。

 

5、AC是否支持同时跟两个radius服务器进行认证,以1x认证为例,两个信号分别跟两个服务器对接做认证?

1)配置 AAA认证和服务器

aaa new-model  

aaa group server radius smp1 

  server   192.168.33.244 

  exit

aaa group server radius smp2

  server   192.168.33.245

  exit 

aaa authentication dot1x smp1 group smp1

aaa accounting network smp1 start-stop group smp1

aaa authentication dot1x smp2 group smp2

aaa accounting network smp2 start-stop group smp2

2)配置radius服务器

radius-server host 192.168.33.244 key ruijie

radius-server host 192.168.33.245 key ruijie

3)AC上对wlan开启1x认证功能

      wlansec 1   
        security rsn enable     

        security rsn ciphers aes enable    
        security rsn akm 802.1x enable   
        dot1x authentication smp1 
        dot1x accounting smp1          
        exit
      wlansec 2  
        security rsn enable     
        security rsn ciphers aes enable    

        security rsn akm 802.1x enable  

        dot1x authentication smp2 

        dot1x accounting smp2     

        exit

4)配置snmp服务器(eportalSAM

snmp-server host 192.168.33.244 traps version 2c ruijie

snmp-server host 192.168.33.245 traps version 2c ruijie

snmp-server community ruijie rw 


6、AC主备radius服务器认证案例,以1x认证为例?

1)配置 AAA认证和服务器

aaa new-model  

aaa group server radius  smp

  server   192.168.33.244        ----第一个ip地址对应的服务器为主服务器

  server   192.168.33.245

  exit

aaa authentication dot1x smp group smp

aaa accounting network smp start-stop group smp

2)配置radius服务器

radius-server host 192.168.33.244 key ruijie

radius-server host 192.168.33.245 key ruijie

3)AC上对wlan开启1x认证功能

      wlansec 1   
        security rsn enable     

        security rsn ciphers aes enable    

        security rsn akm 802.1x enable   

        dot1x authentication smp

        dot1x accounting smp      
        exit

4)配置snmp服务器(eportalSAM

snmp-server host 192.168.33.244 traps version 2c ruijie

snmp-server host 192.168.33.245 traps version 2c ruijie

snmp-server community ruijie rw


7、MAC地址旁路认证与1X认证是否可以在同一个WLAN上共用

不支持。

 

8、802.1X是否支持认证流量检测

    10.4(1T13)及以上版本中802.1X增加了流量检测功能,同WEB认证的流量检测,不同的地方是,802.1X的流量检测支持全局和wlansec两种模式的配置。

    基于wlan配置的优先级高于全局配置,并且基于全局和基于wlan的低流量检测功能都默认打开,时间间隔8小时,流量阈值0Byte。如果需要关闭低流量检测功能,必须同时关闭对应wlan和全局的低流量检测功能。胖AP中因为不支持流量监测,所以低流量检测默认是关闭的。

    参考命令:dot1x offline-detect {[interval] | [flow num]}

 

9、设备启用了802.1x认证,怎么查看认证成功的用户mac地址

使用show dot1x summary查看,show mac-address-table不能看到

 

10、AC 是否有命令清除1x的在线用户

10.x版本,设备上没有命令清除,可以在radius设备上把该用户踢下线。 1x认证场景下,如果用户离开无线网络,1.8S时间将会把该用户删除并同时发出记账更新结束的报文到服务器。

 

11、802.1x认证时为何必须配置dot1x eap-tag

集中转发时,客户端通过EAPOL发起1X认证,由AP封装成capwap数据报文发给ACAC解封装时,根据用户的VLAN打上相应的vlan-tag,将报文转到AC1x处理模块。由于AC1x处理模块默认会将带tagEAP报文丢弃,因此需要在config模式下配置dot1x eap-tag

 

12802.1x主动发起认证请求的使用场景

场景一:使用我司的supplicant客户端

建议如下配置:

no dot1x auto-req //关闭主动发起认证请求

场景二:不使用我司的supplicant客户端

建议如下配置:

dot1x auto-req    //开启主动发起认证请求

dot1x auto-req   packet-num 0 //发出的认证请求包不限制个数

dot1x auto-req   req-interval interval //发出认证请求包的间隔

no dot1x auto-req user-detect  //当端口有用户的时候也不会停止认证包的发送

 

13、无线1XMAB认证环境下如何实现IP地址上传radius,从哪个报文中获取?

       IP地址上传是通过AC发送的第一个记账报文,即记账开始报文上传给radius服务器,那么在1XMAB认证的环境下有可能存在记账开始已经发出用户还未获取到IP地址,为了解决这个问题无线设备上开发一个功能:终端先DHCPAC发出记账开始。

    实现原理如下:

      1)AC开启DHCP snooping功能。用于检测无线用户是否获取到IP地址,并生成DHCP snooping表项;

      2)AC上开启dot1x dhcp-before-acct enable,保证在AC上没有生成DHCP snooping表项前不发出记账开始报文。

    在开启该功能后如果用户是手动配置IP地址或者因为配置错误导致dhcp snooping表无法生成,那么会导致无线用户在记账更新周期后被AC踢下线。

 

14、无线1x 和旁路认证MAB是否同时使用

不可以。

 

15802.1x无线认证windows系统客户端设置

参见附件《无线802.1x认证windows客户端设置.pdf》,参见一本通章节09无线产品常用show命令和附件里面的附件。

 

 16802.1x VLAN跳转配置咨询

参考RG-AC系列无线控制器RGOS 10.4(1b19)p2版本配置手册(V4.0)802.1x下发VLAN配置举例 章节

 

17、查看用户认证状态信息,包括用户mac地址、所属vlan、认证状态等

Ruijie#show dot1x summary 

ID               MAC           Interface     VLAN        Auth-State      Backend-State Port-Status 

---      ---------------- -----------  --------  ------------------    -----------    -----------

1       00d0f8000001        Gi3/1          1           Authenticated          IDLE          Authed

 

18、查看Radius Server  的相关配置 

Ruijie#show radius server

Server IP:    192.168.33.244

Accounting Port:  1813

Authen  Port:     1812

Test Username:    <Not Configured>

Test Idle Time:   60 Minutes

Test Ports:       Authen and Accounting

Server State:     active     ------>radius正常

    Current duration 35116s, previous duration 0s

    Dead: total time 0s, count 0

 

19、查看802.1X  配置和启用的功能:

Ruijie#show dot1x

802.1X Status:        Enabled    

Authentication Mode:  EAP

Authed User Number:   0     

Re-authen Enabled:    Disabled

Re-authen Period:     3600 sec

Quiet Timer Period:   10 sec

Tx Timer Period:      3 sec

Supplicant Timeout:   3 sec

Server Timeout:       5 sec

Re-authen Max:        3 times

Maximum Request:      3 times

Filter Non-RG Supp:   Disabled

Client Oline Probe:   Disabled

Eapol Tag Enable:     Disabled

Authorization Mode:   Disabled

 

20、两个radius服务器,选择的机制是什么?

    Ruijie(config-gs-radius)#aaa group server radius smp  

    Ruijie(config-gs-radius)# server 172.18.34.16

    Ruijie(config-gs-radius)# server 172.18.34.18

    先找主服务器,如果主服务器不通了,判断规则是:发送的保活包如果5s内没有收到服务器的响应就认为超时  超时了会进行重传重传3 还是不通就认为挂了 时间20s  切换到备机,如果主机恢复了 那么会新用户认证会走主服务器,旧用户走备服务器,认证表项内的用户理解为旧用户,不在认证表项内的为新用户。

 

21、801.1X认证,踢用户下线的DM机制使用的是哪个端口?

DM下线机制,要用AC的UDP 3799端口。


22无线1x认证用户名长度是否有限制?如何查看完整的用户名信息?

show dot11 sum用户名显示最长7位,超过了用...表示

需要看完整的用户名,可以show dot1x user mac xxx查看

23.如何查看认证用户的用户名信息?
web认证show web-auth user all,1x认证show dot1x sum;
查看web和1x认证的详细信息包括用户名等:show ac-config debug client

24、AC是否支持iphone dot1x无感知认证

 支持。无感知认证为iphone自身行为,不需要设备进行特别的操作。


25、没有测试终端,如何探测radius服务器是否存活?

     下面的示例定义一个 IPv4 环境下的 RADIUS 安全服务器主机,开启主动探测功能,检测间隔周期默认为 60 分钟。    
         Ruijie(config)#radius-server host  192.168.100.1  test username  ceshi  idle-time  60  key  ruijie
     关闭对记账UDP口的检测,命令如下:
          Ruijie(config)#radius-server host 192.168.100.1 test username  ceshi  ignore-acct-port idle-time  60  key  ruijie

26、Win7操作系统1x认证,原生客户端配置示例(请确保认证服务器和AC设备上关于1x配置无误):

1.打开右下角网络连接,点击打开网络和共享中心.

2).点击左侧边栏的管理无线网络

3). 点击添加,创建网络连接.

4). 选择第一个手动创建网络配置文件.

5). 输入网络配置信息,网络名就是搜索到的1x认证的SSID名字HUST_WIRELESS_AUTO,安全类型选择WPA2-企业,加密类型选择AES.

6). 修改其配置信息,点击更改连接设置.

7).选择安全.

8). 点击设置.

9). 去掉验证服务器证书前面的勾,再点击该页面的配置

10).查看是否有勾上,如有勾上去掉,点击确定.

11).点击确定.

12).在此界面点击高级设置.

13).802.1x设置选项卡下,勾选指定身份验证模式,选择用户身份验证

14).点击确定,回到前一界面,再确定完成配置.

15).点击电脑右下角无线网络,选择信号HUST_WIRELESS_AUTO

16).输入自己的账号和密码,点击确定就可以上网了.