2024年1月6日发(作者:)
802.1x + windows IAS配置手册
802.1X配置手册
1
802.1x + windows IAS配置手册
目录
1 实现功能 ....................................................................................................................................... 3
2 总体流程 ....................................................................................................................................... 3
2.1 802.1X原理分析 ................................................................................................................ 3
2.2 802.1X认证流程 ................................................................................................................ 4
2.3 802.1X配置流程 ................................................................................................................ 5
3 具体实现 ....................................................................................................................................... 5
3.1 准备环境 ............................................................................................................................ 5
3.2 Radius服务器配置 ............................................................................................................. 5
3.3 交换机配置 ...................................................................................................................... 13
3.3.1 Cisco2950配置方法 .............................................................................................. 13
3.3.2 H3C 3628配置方法 .............................................................................................. 14
3.3.3 港湾U24E/3550交换机配置方法 ...................................................................... 17
4 测试调试 ..................................................................................................................................... 18
使用微软自带客户测试 ......................................................................................................... 18
5 FAQ .............................................................................................................................................. 20
5.1 Radius服务器启动失败,提示连接数据存储出错,如下图,怎么办? ................... 20
5.2 2003server用户属性选项丢失,拨入页面错误! ........................................................ 20
2
802.1x + windows IAS配置手册
1 实现功能
随着以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求,造成网络终端接入管理混乱。大量被植入木马、病毒的机器随便接入网络,给网络内部资料的保密,和终端安全的管理带来极大考验。
在此背景下IEEE推出 802.1x协议,它是目前业界最新的标准接入认证协议。802.1X的出现结束了非法用户未经授权就能随意进入内部网络的状况,为企业内部安全架起一道强有力的基础安全保障。
2 总体流程
下面我们介绍802.1X协议的原理、认证过程及配置流程。
2.1 802.1X原理分析
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access
Contro1)而定义的一个标准。
IEEE 802.1X是根据用户ID或设备,对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法,并将其划分为三个不同小组:请求方、认证方和授权服务器。
820.1X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco
Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。
如上所属,整个802.1x 的实现设计分三个部分,请求者系统、认证系统和认证服务器系统。以下分别介绍三者的具体内容:
请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起认证,后文的认证请求者和客户端二者表达相同含义。
认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802. Lx协议 3
802.1x + windows IAS配置手册
的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以 是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。
认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication
Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
2.2 802.1X认证流程
整个802.1x的认证过程可以描述如下:
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;
(9) RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
4
802.1x + windows IAS配置手册
2.3 802.1X配置流程
1.Radius服务器配置。
3.客户端启用802.1x。
4.对交换机的802.1x认证进行配置。
5.配置结束。
3 具体实现
3.1 准备环境
服务器环境:
Radius Server:WINDOW 2003 IAS;
客户端环境:
Window 内置客户端。
网络设备环境:
带802.1X认证功能的交换机。
3.2 Radius服务器配置
1. 安装RADIUS
进入添加/删除程序中的添加/删除Windows组件,选择网络服务中的Internet验证服务
5
802.1x + windows IAS配置手册
2. 安装IAS后,进入IAS配置界面
3. 右键点击RADIUS客户端,选择新建RADIUS客户端。客户端地址为验证交换机的管理地址,点击下一步。
6
802.1x + windows IAS配置手册
4. 选择RADIUS Standard,共享机密为交换机中所配置的key。点击完成。
5. 右键点击远程访问策略,单击新建远程访问策略。
7
802.1x + windows IAS配置手册
6. 为策略取一个名字,点击下一步
7. 选择以太网,点击下一步
8
802.1x + windows IAS配置手册
8. 选择用户,点击下一步
9. 使用MD5质询,点击下一步,并完成。
9
802.1x + windows IAS配置手册
10. 在右面板中右键点击所新建的策略,选择属性,选择“授予远程访问权限”。
10
802.1x + windows IAS配置手册
11. 添加远程登录用户。在本地用户和组中新建一个用户。
12. 右键点击新建的用户,进入属性,选择隶属于,删除默认的USERS组将此用户添加到Administrator组中。
11
802.1x + windows IAS配置手册
13. 点击拨入,设置为允许访问
12
802.1x + windows IAS配置手册
14. 组策略配置,启用可还原密码加密
15. 重启IAS,配置完成。
3.3 交换机配置
各厂商交换机具体配置方法如下。
3.3.1 Cisco2950配置方法
Enable /*进入特权模式*/
config t /*进入全局配置模式*/
aaa new-model /*启用aaa认证*/
aaa authentication dot1x default group radius /*配置802.1x认证使用radius服务器数据库*/
aaa authorization network default group radius/*VLAN分配必须*/
radius-server host 192.168.1.132 key 123 /*指定radius服务器地址为192.168.1.132,通信密钥为123,端口不用制定,默认1812和1813*/
radius-server vsa send authentication /*配置VLAN分配必须使用IETF所规定的VSA值*/
int vlan 1
13
802.1x + windows IAS配置手册
ip add 192.168.1.133 255.255.255.0
no shut
/*为交换机配置管理地址,以便和radius服务器通信*/
int range f0/1 - 11
dot1x port-control auto
dot1x reauth
switchport mode access
/*为1到11端口配置dot1x,12端口不配*/
dot1x guest-vlan ID (VLAN跳转命令)
exit
/*退回全局配置模式*/
dot1x system-auth-control
/*全局启动dot1x*/
2950交换机上VLAN的配置
vlan database
vlan ID
enable
config t
int range f0/1 – 20
switchport access vlan ID
switchport mode access
spanning-tree portfast
3.3.2 H3C 3628配置方法
dis cu
#
sysname H3C
#
domain default enable test
#
dot1x
dot1x timer tx-period 10
dot1x retry 4
#
radius scheme system
radius scheme test
server-type standard
primary authentication 54.1.44.55
primary accounting 54.1.44.55
key authentication 123
14
802.1x + windows IAS配置手册
key accounting 123
user-name-format without-domain
#
domain system
domain test
scheme radius-scheme test
vlan-assignment-mode string
#
vlan 1
#
vlan 46
#
vlan 600
description guest
#
vlan 601 to 602
#
interface Vlan-interface46
ip address 54.1.46.250 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
port access vlan 600
dot1x port-method portbased
dot1x guest-vlan 601
dot1x
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
15
802.1x + windows IAS配置手册
interface Ethernet1/0/10
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
port access vlan 601
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface GigabitEthernet1/1/1
#
interface GigabitEthernet1/1/2
#
interface GigabitEthernet1/1/3
#
interface GigabitEthernet1/1/4
port link-type trunk
port trunk permit vlan 1 46 600 to 602
#
undo irf-fabric authentication-mode
#
interface NULL0
16
802.1x + windows IAS配置手册
#
voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000
#
ip route-static 0.0.0.0 0.0.0.0 54.1.46.1 preference 60
#
user-interface aux 0 7
user-interface vty 0 4
#
return
3.3.3 港湾U24E/3550交换机配置方法
交换机802.1X必调配置如下:
config dot1x enable (开启802.1X功能)
config port 24 dot1x authcontrolledportcontrol forceauth(对24端口强制赋权,即任何状态下可以上网)
config port 24 dot1x authcontrolledportcontrol forceunauth(对24端口强制关闭,即任何状态下不可以上网)
config port 24 dot1x authcontrolledportcontrol auto(对24端口认证状态,端口在此状态下进行正常认证)
radius authentication add-server id 0 server-ip 10.42.0.17 client-ip 10.42.101.109(设置认证服务器10.42.0.17,认证客户端为10.42.101.109)
radius authentication config-server id 0 shared-secret password (设置Radius与交换机的认证共享机密)
radius accounting add-server id 0 server-ip 10.42.0.17 client-ip 10.42.101.109(设置计费服务器10.42.0.17计费客户端为10.42.101.109,港湾工程师建议此配置无计费需求也要进行配置,保证交换机802.1X功能的稳定)
radius accounting config-server id 0 shared-secret password(设置Radius与交换机的计费共享机密)
radius authentication enable (开启认证功能)
radius accounting enable (开启计费功能)
config isp-domain default authentication config-server id 0 type primary(配置单域中的认证服务器)
config isp-domain default accounting config-server id 0 type primary(配置单域中的计费服务器)
注:此次描述的认证服务器就是架设的Radius服务器,认证客户端就是指所配置的交换机本身管理地址。
交换机802.1X可选优化配置如下:
17
802.1x + windows IAS配置手册
config dot1x quiet-period 30 设置一次认证失败后多久可以重新认证
config dot1x tx-period 30
config dot1x supp-timeout 30 (默认) 认证接受来自客户端系统数据包的超时时间
config dot1x re-authentication enable 打开重认证机制
config dot1x re-authentication period 30 设置重认证时间
config dot1x keepalive mechanism state-machine 设置异常下线检测方法(交换机主动发包)
config dot1x keepalive state-machine-period 30 设置异常下线交换机主动检测时间
4 测试调试
完成上述配置后,如果DCC客户端不能正常认证接入,可以进行如下配置调试.
使用微软自带客户测试
测试目的:
完成此步测试,可以主要目的排除RADIUS和交换机配置问题。
启用微软自带客户端操作方法:
在服务中启用Wired AutoConfig服务,如下捉图
在网络属性中,选择网络属性,将认证开启,进行windows自带的802.1X客户端测试.
18
802.1x + windows IAS配置手册
19
802.1x + windows IAS配置手册
5 FAQ
5.1 Radius服务器启动失败,提示连接数据存储出错,如下图,怎么办?
解决方法:用户属性菜单缺少是因为"server"服务没有启动,启动该服务故障解决。
5.2 2003server用户属性选项丢失,拨入页面错误!
20
802.1x + windows IAS配置手册
解决方法:“拨入”选项出现的错误提示,通过启动"workstation"服务,故障解决。
故障解决后如下图
21
发布评论