接入交换机配置NAC - 802.1X认证（Dot1x）

两个逻辑端口用于实现业务与认证的分离。非受控端口主要用于传递EAPOL协议帧始终处于双向连通状态保证客户端始终能够发出或接收认证报文而受控端口用于传递业务报文因此在授权状态下处于双向连通状态在非授权状态下不从客户端接收任何报文。换言之基于802.1X协议的认证其最终目的就是确定用户的接入端口是否可用。如果认证成功那么就打开端口允许客户端的所有报文通过如果认证不成功就保持端口的关闭状态只允许EAPOL协议帧通过。什么时候需要使用802.1X通常在新建网络、用户集中或者信息安全要求严格的场景中使用802.1X认证。802.1X认证具有以下优点对接入设备的性能要求不高。802.1X协议为二层协议不需要到达三层可以有效降低建网成本。在未授权状态下不允许与客户端交互业务报文因此保证了业务安全。以企业网络为例。员工终端一般需要接入办公网络安全要求较高此时推荐使用802.1X认证。但802.1X认证要求客户端必须安装802.1X客户端软件。在机场、商业中心等公共场所用户流动性大终端类型复杂且安全要求不高可以使用Portal认证。对于打印机、传真机等哑终端可以使用MAC认证以应对哑终端不支持安装802.1X客户端软件或者不支持输入用户名和密码的情况。802.1X是如何工作的如下图所示802.1X认证系统为典型的Client/Server结构包括三个组件客户端、接入设备和认证服务器。802.1X系统中的组件客户端通常是用户终端设备。客户端必须支持局域网上的可扩展认证协议Extensible Authentication Protocol over LANsEAPoL并且安装802.1X客户端软件从而使用户能够通过启动客户端软件发起802.1X认证。接入设备通常是支持802.1X协议的网络设备例如交换机。它为客户端提供接入局域网的端口该端口可以是物理端口也可以是逻辑端口。认证服务器用于实现对用户进行认证、授权和计费通常为RADIUS服务器。在用户终端安装802.1X客户端软件后用户可向接入设备发起认证申请。接入设备和用户终端交互信息后把用户信息发送到认证服务器进行认证。若认证成功则接入设备打开与该用户相连的接口允许其访问网络若认证失败则接入设备将不允许其访问网络。802.1X认证系统使用可扩展认证协议Extensible Authentication ProtocolEAP来实现客户端、设备端和认证服务器之间的信息交互。EAP协议可以运行在各种底层包括数据链路层和上层协议如UDP、TCP等而不需要IP地址。因此使用EAP协议的802.1X认证具有良好的灵活性。在客户端与接入设备之间EAP协议报文使用EAPoLEAP over LANs封装格式直接承载于LAN环境中。在接入设备与认证服务器之间可以采用EAP终结方式或者EAP中继方式交互认证信息。EAP终结方式接入设备直接解析EAP报文把报文中的用户认证信息封装到RADIUS报文中并将RADIUS报文发送给RADIUS服务器进行认证。EAP终结方式的优点是大多数RADIUS服务器都支持PAP和CHAP认证无需升级服务器但对接入设备的要求较高接入设备要从EAP报文中提取客户端认证信息通过标准的RADIUS协议对这些信息进行封装且不能支持大多数EAP认证方法MD5-Challenge除外。EAP中继方式接入设备对接收到的EAP报文不作任何处理直接将EAP报文封装到RADIUS报文中并将RADIUS报文发送给RADIUS服务器进行认证。EAP中继方式也被称为EAPOREAP over Radius。EAP中继方式的优点是设备端处理更简单支持更多的认证方法缺点则是认证服务器必须支持EAP且处理能力要足够强。以客户端发送EAPoL-Start报文触发认证为例EAP中继方式的802.1X认证流程如下图所示。EAP中继认证流程客户端发送EAPoL-Start报文触发802.1X认证。接入设备发送EAP请求报文请求客户端的身份信息。客户端程序响应接入设备发出的请求将身份信息通过EAP响应报文发送给接入设备。接入设备将EAP报文封装在RADIUS报文中发送给认证服务器进行处理。RADIUS服务器收到接入设备转发的身份信息后启动和客户端EAP认证方法的协商。RADIUS服务器选择一个EAP认证方法将认证方法封装在RADIUS报文中发送给接入设备。接入设备收到RADIUS报文将其中的EAP信息转发给客户端。客户端收到EAP信息解析其中的EAP认证方法。如果支持该认证方法客户端发送EAP响应报文给接入设备否则客户端在EAP响应报文中封装一个支持的EAP认证方法并发送给接入设备。接入设备将报文中的EAP信息封装到RADIUS报文中并发送RADIUS报文到RADIUS服务器。RADIUS服务器收到后如果客户端与服务器选择的认证方法一致EAP认证方法协商成功开始认证。以EAP-PEAP认证方法为例服务器将自己的证书封装到RADIUS报文中通过接入设备发送给客户端。客户端与RADIUS服务器协商TLS参数建立TLS隧道。TLS隧道建立完成后用户信息将通过TLS加密在客户端、接入设备和RADIUS服务器之间传输。RADIUS服务器完成对客户端身份验证之后通知接入设备认证成功。接入设备向客户端发送认证成功报文并将端口改为授权状态允许用户通过该端口访问网络。以客户端发送EAPoL-Start报文触发认证为例EAP终结方式的802.1X认证流程如下图所示。EAP终结认证流程EAP终结方式与EAP中继方式的认证流程相比不同之处在于EAP认证方法协商由客户端和设备端完成之后设备端会把用户信息送给RADIUS服务器进行相关的认证处理。而在EAP中继方式中EAP认证方法协商由客户端和服务器完成设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器整个认证处理都由认证服务器来完成。简介1. 802.1X认证简介定义基于端口的网络接入控制协议Port-Based NAC。优势工作在二层不依赖三层IP地址降低网络建设成本认证报文与数据报文分离提高安全性。2. 系统架构三大组成部分客户端Supplicant用户终端设备运行802.1X客户端软件。接入设备Authenticator如交换机、无线接入点负责转发认证信息。认证服务器Authentication Server通常为RADIUS服务器执行认证、授权和计费。3. 协议与报文EAP协议可扩展认证协议支持多种认证方式EAP-TLS、EAP-TTLS、PEAP等。EAPoL在LAN环境中传输EAP报文的封装格式。EAPoR通过RADIUS传输EAP报文的方式。4. 认证流程触发方式客户端发送EAPoL-Start或设备主动发起EAP-Request/Identity。交互过程客户端与接入设备交换身份信息接入设备与RADIUS服务器完成认证。结果认证成功则端口进入授权状态失败则拒绝访问。5. 授权机制常见授权参数VLAN动态分配用户所属VLAN。ACL基于访问控制列表限制用户流量。UCL组按用户组策略进行统一管理。Free-rule在认证前允许用户访问特定资源如注册页面。6. 高级功能重认证周期性或手动触发确保用户权限实时更新。下线检测通过握手报文、ARP探测或RADIUS控制及时感知用户下线。定时器控制包括认证请求超时、MD5挑战超时、静默定时器等用于优化认证过程。交换机802.1X配置Radius环境将客户机系统网卡驱动和接入交换机系统更新到最新稳定版本。Radius服务器使用Windows Server 的NPS角色使用Radius服务器根据用户组/计算机组动态下发VLAN到交换机ADRadius服务器搭建https://songxwn.com/categories/AD/华为交换机配置802.1X认证命令配置示例###阶段1### RADIUS服务器配置radius-server template NPS-server# 创建一个名为 NPS-server 的 RADIUS 服务器模板radius-server shared-key cipher Songxwm.com# 设置 RADIUS 服务器的共享密钥加密形式需与 NPS 服务器配置一致radius-server authentication 192.168.99.200 1812# 指定 RADIUS 服务器的 IP 地址和认证端口默认 1812###阶段2### AAA与域配置aaa# 进入 AAA 配置模式authentication-scheme radius# 创建一个名为 radius 的认证方案authentication-mode radius# 设置认证模式为 RADIUSdomain songxwn.local# 创建一个名为 songxwn.local 的认证域authentication-scheme radius# 将该认证域绑定到 radius 认证方案accounting-scheme default# 使用默认的计费方案radius-server NPS-server# 将该认证域绑定到 NPS-server RADIUS 模板###阶段3### 802.1X接入配置文件dot1x-access-profile name dot1x_access_profile# 创建一个名为 dot1x_access_profile 的 802.1X 接入配置文件###阶段4### 认证配置文件authentication-profile name NPS# 创建一个名为 NPS 的认证配置文件dot1x-access-profile dot1x_access_profile# 将 dot1x_access_profile 绑定到 NPS 认证配置文件access-domain songxwn.local force# 强制使用 songxwn.local 域进行认证###阶段5### 接口绑定配置interface GE2/0/12# 进入接口 GE2/0/12 的配置模式port link-type hybrid# 设置该端口为 hybrid 类型既可承载接入 VLAN又可承载业务 VLANauthentication-profile NPS# 在该端口应用 NPS 认证配置文件实现基于 RADIUS 的 802.1X 认证来宾VLAN当用户接入端口但未通过 802.1X 认证时交换机会自动将其放入一个指定的 VLAN通常是隔离的网络只能有限资源,如AD避免完全断网可认证逃生。dot1x guest-vlan 20# 配置来宾 VLAN编号为 20可根据实际情况修改# 未通过 802.1X 认证的用户将被分配到 VLAN 20interface GE2/0/12port link-type hybridauthentication-profile NPSdot1x guest-vlan 20# 在接口 GE2/0/12 上启用来宾 VLAN当认证失败或超时用户进入 VLAN 20锐捷交换机配置802.1X认证命令示例## ###阶段1### AAA与RADIUS基础配置aaa new-model# 启用 AAA 新模型aaa accounting update periodic 15# 设置计费更新周期为 15 分钟aaa accounting update# 启用计费更新功能aaa accounting network account-method start-stop group radius# 配置网络计费方法使用 RADIUS启停方式为 start-stopaaa accounting network ruijie start-stop group radius# 创建名为 ruijie 的网络计费方案使用 RADIUSaaa authentication dot1x ruijie group radius# 配置 802.1X 认证方案 ruijie使用 RADIUS## ###阶段2### RADIUS服务器组配置aaa group server radius ruijieserver 192.168.1.6# 创建名为 ruijie 的 RADIUS 服务器组并指定服务器 IP 地址## ###阶段3### RADIUS服务器参数配置radius-server host 192.168.1.6 test username test key 0 password# 配置 RADIUS 服务器主机测试用户名为 test密钥为 passwordradius-server key 0 password# 设置 RADIUS 服务器共享密钥需与服务器端一致## ###阶段4### 802.1X认证与计费配置dot1x accounting ruijie# 启用 dot1x 计费使用 ruijie 方案dot1x authentication ruijie# 启用 dot1x 认证使用 ruijie 方案## ###阶段5### 接口绑定配置interface GigabitEthernet 2/0/7description songxwn.com# 进入接口 GigabitEthernet 2/0/7并添加描述switchport mode trunk# 设置端口为 trunk 模式承载多个 VLANdot1x port-control auto# 启用 802.1X 自动端口控制模式dot1x dynamic-vlan enable# 启用动态 VLAN 功能根据认证结果分配 VLAN来宾VLAN当用户接入端口但未通过 802.1X 认证时交换机会自动将其放入一个指定的 VLAN通常是隔离的网络只能有限资源,如AD避免完全断网可认证逃生。dot1x guest-vlan 20# 配置来宾 VLAN编号为 20可根据实际情况修改# 未通过 802.1X 认证的用户将被分配到 VLAN 20interface GigabitEthernet 2/0/7description songxwn.comswitchport mode trunkdot1x port-control autodot1x dynamic-vlan enabledot1x guest-vlan 20# 在接口上启用来宾 VLAN当认证失败或超时用户进入 VLAN 20