1、什么是802.1X认证
802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说这个“端口”就是一条信道)。802.1X的认证的最终目的就是确定一个端口是否可用,对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible
Authentication Protocol over LAN)通过。
2、802.1X认证的典型体系结构
802.1X系统的典型体系结构分为:客户端设备、NAS设备、认证服务器,各个设备的功能如下。
客户端:一般为用户终端设备,用户可以通过客户端软件发起 802.1X 认证
设备端:通常为支持802.1X 协议的网络设备,它为客户端提供接入局域网的端口
认证服务器:用于实现对用户进行认证、 授权和计费,通常为 RADIUS服务器
3、802.1X认证的交互过程
1)客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求
2)设备端收到请求连接的帧后,发出请求客户端用户名的帧
3) 客户端响应设备的请求, 将用户名信息通过数据帧发送给设备端。设备端将此数据帧封包处理后,再送给认证服务器处理
4)RADIUS服务器收到用户名信息后, 将与数据库中的用户名表对比,
找到该用户名对应的密码信息, 用随机生成的一个加密字对它进行加密处理, 同时也将此加密字发送给设备端,由设备端转发给客户端程序
5) 客户端程序收到加密字后,用该加密字对密码进行加密处理,生成
EAP-Response/MD5 Challenge报文,并通过设备端传给认证服务器
6)RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息
7) 设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络
4、哪些设备支持802.1X认证
RSR10-02E、RSR20-14E/F支持802.1X认证。
5、什么是802.1X的用户迁移功能
默认情况下,802.1x用户在某一端口上认证通过后,该用户的MAC地址绑定在该端口上,不允许出现在其它端口上。但是,某些情况下,用户认证通过后,可能需要迁移到其它的端口。配置允许MAC地址迁移功能。当用户出现在新端口时,原端口上的用户被强制下线,同时在新端口上重新发起认证交互过程。
配置命令:
Ruijie(config)# dot1x
mac-move permit //打开用户的MAC迁移功能
6、什么是802.1X的重认证功能
802.1x 能定时主动要求用户重新认证,这样可以防止已通过认证的用户不会被其他用户冒用,还可以检测用户是否断线,使记费更准确。除了可以设定重认证的开关,我们还可以定义重认证的间隔。默认的重认证间隔是3600
秒。在根据时长进行记费的场景下,要根据具体的网络规模确定重认证间隔,使之既有足够时间完成一次认证又尽可能精确。
配置命令:
dot1x re-authentication //打开重认证
dot1x timeout re-authperiod
seconds //设置重认证时间间隔:
7、什么是802.1X的客户端在线探测功能
为了保证计费的准确性,需要一种在线探测机制能够在短时间内获知用户是否在线。在标准实现中的重认证机制能够满足这种需求,但是标准实现中需要RADIUS
服务器的参与,要实现准确的探测用户是否在线将会占用设备端和RADIUS 服务器的大量资源。为了满足在占用少量资源的基础上实现计费的准确性,我们采用了一种新的客户端在线探测机制。这种机制只需要在设备端和客户端之间交互,并且对网络流量的占用极小,能够实现分钟级的计费精度
。
配置命令:
dot1x client-probe
enable //打开在线探测
dot1x probe-timer interval
seconds //设置在线探测时间间隔
8、如何防止非法802.1X客户端的恶意认证
当用户认证失败时,设备将等待一段时间后,才允许用户再次认证。Quiet
Period 的时间长度便是允许再认证的时间间隔。该值的作用是避免设备受恶意攻击。Quiet Period 的默认间隔为10 秒,我们可以通过设定较短的Quiet
Period 使用户可以更快地进行再认证。
配置命令:
dot1x timeout quiet-period
seconds //设置Quiet Period时间间隔
9、什么是802.1X的强制用户下线功能
当用户认证成功后,网络管理员可以通过认证服务器对已经在线的用户进行强制的踢下线,而不对其他认证的用户产生影响,增强网络管理的功能。该功能设备端无需要额外的配置,但需要SMP认证服务器的支持,在SMP服务器上对在线用户进行强制下线。
10、什么是802.1X的VLAN跳转功能
动态VLAN自动跳转功能需要在远端RADIUS服务器上设置针对用户的下传VLAN,RADIUS服务器通过相应定义的RADIUS属性封装下传VLAN信息,接入设备收到该信息并在用户认证后会自动把该用户所在端口加入到RADIUS服务器下传的VLAN中,整个过程无需管理员再手工配置设备。
配置命令:
1)dot1x dynamic-vlan
enable //打开受控接口的VLAN跳转功能
2)SMP上做相应的设置
11、什么是802.1X的MAC旁路认证功能
在某些情况下,出于网络管理的安全考虑,即便无802.1X认证客户端,网络管理员仍然需要控制这些接入设备的合法性。MAC旁路认证(MAC
Authentication Bypass,简称MAB)为这种应用提供了一种解决方案,802.1x会监听该认证口下学习到的MAC地址,并且以该MAC地址为用户名和密码向认证服务器发起认证,通过服务器返回的认证结果判断该MAC地址是否允许访问网络。
配置命令:
interface FastEthernet 1/0
dot1x port-control auto //端口启用802.1X认证
dot1x port-control-mode port-based //需要先把端口的802.1X认证模式改为基于端口的认证模式
dot1x mac-auth-bypass //启用mac旁路认证
12、802.1x认证下是否支持逃生功能
支持,在radius认证组后增加一个为“none”的认证组,设备将会在radius服务器认证超时转为“none”认证,即dot1x认证客户端直接认证成功。
aaa
authentication dot1x default group radius none
13、端口下布署了802.1X功能后,能否同时开启端口安全功能
802.1X和端口安全是互斥的,因此不能同时开启。
14、RSR系列路由器交换卡是否支持802.1X认证下的二层安全通道功能
RSR10-02E、RSR20-14E/F 10.4(3b23)以下版本不支持,这些交换卡安全通道的机制是只有二层报文才能够触发,当一个局域网内时,没有三层报文到设备,故安全通道无法生效。
【规避方案】RSR10-02E、RSR20-14E/F 10.4(3b23)以下版本,可以使用mac地址白名单功能来放通客户端的源mac地址,替代安全通道的功能,配置命令如下:
Ruijie(config)#mac-address-table static
00d0.f8fb.8888 vlan 1 interface fastEthernet 1/39
说明:
00d0.f8fb.8888-----客户端的源mac地址
vlan 1-----客户端所在vlan
fastEthernet 1/39 ----客户端连接的端口
注意:
需要注意终端的mac地址,有的终端mac地址不合法,使用的是组播mac地址,那么绑定mac地址白名单就会报错。判断mac地址是否为组播mac地址的方式如下:
15、RSR系列路由器交换卡MAC认证和802.1x是否能同时共存
可以,
Ruijie(config)# interface fa 0/1
Ruijie(config-if)# dot1x port-control auto
Ruijie(config-if)# dot1x mac-auth-bypass
multi-user
1、该端口下的用户都需要认证;
2、1X和mac认证可以共存,即有的用户可以1X认证成功,有的用户可以使用MAB认证成功。MAC 旁路认证有两种模式:基于端口的
MAB 模式我们称之为单 MAB 模式,该模式下只需要一个用户(准入用户)完成认证,其他的用户不需要认证。基于 MAC 模式的 MAB 认证我们称之为多
MAB 认证,该模式下,所有的用户都需要独立的完成认证。认证过的用户可以访问网络资源,没有认证过的用户不能访问网络资源。在 802.1X 认证端口部署了
MAB 功能后, 802.1x 会向该端口持续发送认证请求报文并期望得到客户端响应。如果在 tx-period*reauth-max 时间内并无客户端响应,则
802.1x 会监听该认证口下学习到的 MAC 地址,并且以该 MAC 地址为用户名和密码向认证服务器发起认证,通过服务器返回的认证结果判断该 MAC 地址是否允许访问网络。
16、RSR20-14E/F 1X环境下如何查看下联主机的mac地址
查看认证成功的地址:show dot1x su
查看免认证成功的用户:sho security-channel active-mac
查看没有认证的用户:sho security-unauth