锐捷无线802.1x常见问题    

指标参数请参见锐捷官网    

1、802.1X功能介绍    

IEEE802.1X （Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN 提供点对点式的安全接入。这是IEEE 标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN 优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。    

IEEE 802.1X  标准定义了一种基于“客户端——服务器”（Client-Server ）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过服务器的认证。 在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN ）可以在网络上通行。在认证成功之后，正常的数据流便可在网络上通行。    

应用802.1X我司的设备提供了Authentication，Authorization ，and Accounting 三种安全功能，简称AAA。    

Authentication：  认证，用于判定用户是否可以获得访问权，限制非法用户；    

Authorization ：  授权，授权用户可以使用哪些服务，控制合法用户的权限；    

Accounting ：  计账，记录用户使用网络资源的情况，为收费提供依据。        

2、EG是否支持使用本地账号进行802.1x认证    

不支持。         

3、无线802.1X认证中是否支持安全通道，是否支持配置免认证资源？是否支持逃生？

不支持安全通道，不支持配置免认证资源。    

因为无线1x认证是空口报文交互，STA去关联无线的时候就开始做1x认证，这个时候访问资源的动作还没有开始，无法实现免认证资源部署 ；所以安全通道在无线中是不可行的。

如果要放通内网的一些资源免认证，那么可以再创建一个SSID，免认证，并在wlansec中应用ACL控制访问范围。    

不支持逃生，可以使用1x认证ssid异常后设备开放一个免认证的ssid用于终端接入使用。

4、查看用户认证状态信息，包括用户mac地址、所属vlan、认证状态等

Ruijie#show dot1x summary

ID  Username   MAC   Interface VLAN  Auth-State  Backend-state Port-Status User-Type  Time

--- -------- -------------- --------- ------ ------------ ---------------- ------------- --------- ---------

3   ts-user  b048.7a7f.f9f3  wlan 1    1   Authenticated     Idle              Authed    static    0days 0h 0m12s

通过 show aaa user all 查看 aaa 是否有用户表

5、查看Radius Server  的相关配置     

Ruijie#show radius server    

Server IP:    192.168.33.244    

Accounting Port:  1813    

Authen  Port:     1812    

Test Username:    <Not Configured>    

Test Idle Time:   60 Minutes    

Test Ports:       Authen and Accounting    

Server State:     active     ------>radius正常    

    Current duration 35116s, previous duration 0s    

    Dead: total time 0s, count 0       

6、查看802.1X  配置和启用的功能：    

Ruijie#show dot1x    

802.1X Status:        Enabled        

Authentication Mode:  EAP    

Authed User Number:   0         

Re-authen Enabled:    Disabled    

Re-authen Period:     3600 sec    

Quiet Timer Period:   10 sec    

Tx Timer Period:      3 sec    

Supplicant Timeout:   3 sec    

Server Timeout:       5 sec    

Re-authen Max:        3 times    

Maximum Request:      3 times    

Filter Non-RG Supp:   Disabled    

Client Oline Probe:   Disabled    

Eapol Tag Enable:     Disabled    

Authorization Mode:   Disabled

7、如何查看用户认证类型：show wclient security 

EG#show wclient security  9c4e.36cc.f6dc      

    Security policy finished      :TRUE      

    Security policy type:WPA-802.1X      

    WPA version:WPA2 (RSN)      

    Security cipher mode:CCMP      

    Security EAP type:PEAP      

    Security NAC status:CLOSE

8、查看1x表项是否存在（在EG上查看）

show dot1x user mac  0001.0001.0001  

9、如何查看认证用户的用户名信息？

查看详细信息包括用户名等：show ac-config debug client       

10、EG是否支持两个信号分别跟两个服务器对接做认证？ 

1)配置 AAA认证和服务器    

aaa new-model      

aaa group server radius smp1     

  server   192.168.33.244     

  exit    

aaa group server radius smp2    

  server   192.168.33.245    

  exit 

aaa authentication dot1x smp1 group smp1    

aaa accounting network smp1 start-stop group smp1    

aaa authentication dot1x smp2 group smp2    

aaa accounting network smp2 start-stop group smp2    

2)配置radius服务器    

radius-server host 192.168.33.244 key ruijie    

radius-server host 192.168.33.245 key ruijie    

3)在EG上对wlan开启1x认证功能    

      wlansec 1   
        security rsn enable     

        security rsn ciphers aes enable    
        security rsn akm 802.1x enable   
        dot1x authentication smp1 
        dot1x accounting smp1          
        exit
      wlansec 2  
        security rsn enable     
        security rsn ciphers aes enable    

        security rsn akm 802.1x enable  

        dot1x authentication smp2 

        dot1x accounting smp2     

        exit

4)配置snmp服务器（eportal，SAM）

snmp-server host 192.168.33.244 traps version 2c ruijie    

snmp-server host 192.168.33.245 traps version 2c ruijie    

snmp-server community ruijie rw 

11、EG1x认证主备radius服务器认证案例  

1)配置 AAA认证和服务器    

aaa new-model      

aaa group server radius  smp    

  server   192.168.33.244        ----第一个ip地址对应的服务器为主服务器    

  server   192.168.33.245    

  exit    

aaa authentication dot1x smp group smp    

aaa accounting network smp start-stop group smp    

2)配置radius服务器    

radius-server host 192.168.33.244 key ruijie    

radius-server host 192.168.33.245 key ruijie    

3)在EG上对wlan开启1x认证功能    

      wlansec 1   
        security rsn enable     

        security rsn ciphers aes enable    

        security rsn akm 802.1x enable   

        dot1x authentication smp

        dot1x accounting smp      
        exit

4)配置snmp服务器（eportal，SAM）    

snmp-server host 192.168.33.244 traps version 2c ruijie    

snmp-server host 192.168.33.245 traps version 2c ruijie    

snmp-server community ruijie rw

12、两个radius服务器，选择的机制是什么？    

Ruijie(config)#aaa group server radius smp      

Ruijie(config-gs-radius)# server 172.18.34.16    

Ruijie(config-gs-radius)# server 172.18.34.18    

先找主服务器，如果主服务器不通了，判断规则是：发送的保活包如果5s内没有收到服务器的响应就认为超时  超时了会进行重传重传3次 还是不通就认为挂了 时间20s  切换到备机，如果主机恢复了 那么会新用户认证会走主服务器，旧用户走备服务器，认证表项内的用户理解为旧用户，不在认证表项内的为新用户。    

13、无线1x认证用户名长度是否有限制？如何查看完整的用户名信息？

show dot1x summary用户名显示最长7位，超过了用...表示

需要看完整的用户名，可以show dot1x user mac xxx查看

14、设备启用了802.1x认证，怎么查看认证成功的用户mac地址    

使用show dot1x summary查看，show mac-address-table不能看到       

15、EG上 是否有命令清除1x的在线用户？

Ruijie#clear dot1x user ?

  all   All user

  ip    Clear user by ip

  mac   Clear user by mac

  name  Clear user by name

1x认证场景下，如果用户离开无线网络，在1.8S时间将会把该用户删除。

16、MAC地址旁路认证与1X认证是否可以在同一个WLAN上共用    

不支持。         

17、802.1X是否支持认证流量检测    

802.1X的流量检测支持全局和wlansec两种模式的配置。    

基于wlan配置的优先级高于全局配置，并且基于全局和基于wlan的低流量检测功能都默认打开，时间间隔8小时，流量阈值0Byte。如果需要关闭低流量检测功能，必须同时关闭对应wlan和全局的低流量检测功能。胖AP中因为不支持流量监测，所以低流量检测默认是关闭的。    

全局配置参考命令：offline-detect {[interval] | [flow num]}

wlansec下参考命令：dot1x offline-detect {[interval] | [flow num]}              

18、无线1x 和旁路认证MAB是否可以同时使用    

不可以。          

19、801.1X认证，踢用户下线的DM机制使用的是哪个端口？      

DM下线机制，要用EG的UDP 3799端口。

20、EG是否支持iphone dot1x无感知认证？

支持，无感知认证为iphone自身行为，不需要设备进行特别的操作。

21、没有测试终端，如何探测radius服务器是否存活？

下面的示例定义一个IPv4环境下的RADIUS安全服务器主机，开启主动探测功能，检测间隔周期默认为60分钟。

    Ruijie(config)#radius-server host 192.168.100.1 test username ceshi idle-time 60 key ruijie

关闭对记账UDP口的检测，命令如下：

    Ruijie(config)#radius-server host 192.168.100.1 test username ceshi ignore-acct-port idle-time  60 key ruijie

22、终端发生漫游，1x认证，是否会发起重认证?

跟终端行为有关，一般终端会触发发起eap-pol start，所以会重认证。

23、1x认证，EG跟客户端，EG跟Radius服务器的超时时间都是多久？

1x认证三个角色为：1x客户端------EG-----Radius服务器： 

1）、客户端跟EG之间交互eap报文，request id，默认4s、6次（1x认证   的第一个报文是   eapol-start报文，请求用户名的）；后续其他的request，默认3s、3次 。EG上配置等待终端request超时时间的配置方法为dot1x timeout supp-timeout xx  xx单位是秒。

2）、EG跟Radius之间交互radius报文，默认5秒，重传3次，即20s。

24、EG是否支持内置radius服务器的1x认证？   

不支持，1x认证时需要有外置的radius服务器。

25、Win7操作系统1x认证，原生客户端配置示例（请确保认证服务器和EG设备上关于1x配置无误）：  

1）.打开右下角网络连接,点击打开网络和共享中心.    

    

2).点击左侧边栏的管理无线网络    

    

3). 点击添加,创建网络连接.    

    

4). 选择第一个手动创建网络配置文件.    

    

5). 输入网络配置信息,网络名就是搜索到的1x认证的SSID名字HUST_WIRELESS_AUTO,安全类型选择WPA2-企业,加密类型选择AES.    

    

6). 修改其配置信息,点击更改连接设置.    

    

7).选择安全.    

    

8). 点击设置.    

    

9). 去掉验证服务器证书前面的勾，再点击该页面的配置    

    

10).查看是否有勾上,如有勾上去掉,点击确定.    

    

11).点击确定.    

    

12).在此界面点击高级设置.    

    

13).在802.1x设置选项卡下，勾选指定身份验证模式，选择用户身份验证    

    

14).点击确定,回到前一界面,再确定完成配置.    

    

15).点击电脑右下角无线网络，选择信号HUST_WIRELESS_AUTO    

    

16).输入自己的账号和密码,点击确定就可以上网了.