S6506 交换机实验指导
实验14 802.1x及AAA
目录
实验14 802.1x及AAA .............................................................................................................. 2
14.1 14.2
实验内容 ....................................................................................................................... 2 802.1x端口认证 ........................................................................................................... 2
实验目的 ............................................................................................................... 2 实验环境 ............................................................................................................... 2 实验组网图 ........................................................................................................... 3 实验步骤 ............................................................................................................... 3
14.2.1 14.2.2 14.2.3 14.2.4
S6506 交换机实验指导
实验14 802.1x及AAA
实验14 802.1x及AAA
14.1 实验内容
?
802.1x端口认证
14.2 802.1x端口认证
14.2.1 实验目的
? ? ?
帮助读者掌握交换机上AAA及Radius配置 帮助读者掌握交换机上802.1x认证的配置 帮助读者理解802.1x协议验证流程
14.2.2 实验环境
?
Quidway系列S6506交换机1台,VRP版本为:VRP (R) Software, Version 3.10 (NA), RELEASE 0013 Software Version : V100R001B03D010
?
Pc两台,其中一台必须是装有Win2000服务器版本操作系统和一个标准Radius服务器,我们这里使用的是Shiva Access Manager;标准5类线2根,配置电缆1根;
S6506 交换机实验指导
实验14 802.1x及AAA
14.2.3 实验组网图
PC192.168.10.2/24E2/0/24E2/0/1SW1192.168.10.121/24Server 图 0-1
14.2.4 实验步骤
我们将在这个实验中在交换机Sw1上配置802.1x对Pc对于网络的访问加以控制。在实施具体的配置之前,请按照组网图连接设备并配置Pc和Server的IP地址。 C:\\PING 192.168.10.121
Reply from 192.168.10.121: bytes=32 time=9ms TTL=128... 802.1x系统包括3个部件:
用户(pc)、验证者(Sw1)和验证服务器(Server)。802.1x系统验证工作的顺利实施包括pc和Sw1之间的交互和Sw1和Server之间的交互两个过程。我们首先研究第一个过程。为了便于读者理解,我们先不配置Server的Radius功能,即先利用Sw1的本地验证分析Pc和Sw1之间的交互。Sw1上802.1x本地认证的具体配置可以分为如下几个步骤: a. 在本地验证用户数据库中添加一个用户,这里添加的用户为pc密码也为
pc,服务类型为Lan-access,具体命令为: [S6506]local-user pc
[S6506-user-pc]pass simple pc
[S6506-user-pc]service-type lan-access b. 启动交换机和端口验证
[S6506]dot1x
802.1x is enabled globally
S6506 交换机实验指导
实验14 802.1x及AAA
[S6506]int e2/0/24
[S6506-Ethernet2/0/24]dot1x
802.1x is enabled on port Ethernet2/0/24
[S6506-Ethernet2/0/24]dot1x port-method portbased
在系统和端口下都启动802.1x认证后,在不经过认证的情况下,端口无法访问internet。
C:\\PING 192.168.10.121
Request timed out… 进行本地验证
这时可以通过认证,如果在实际中交换机是连接到因特网上的,那么通过验证后可以接入因特网。
C:\\PING 192.168.10.121
Reply from 192.168.10.121: bytes=32 time=9ms TTL=128...
以上的验证是利用S6506系统默认的domain(domain system)进行的认证,domain system利用系统默认radius scheme system 策略。当S6506接收到用户名PC后,发现这个用户名不是user@domainame形式,就会利用默认的domain(@system)进行验证。 [S6506]display connect
Index=14 ,Username=pc@system MAC=00c0-df05-c579 ,IP=0.0.0.0
c. Quidway交换机支持将所有接入用户划分到不同的域中
每一个域可以采用统一的验证、计费方案。交换机按照接入用户名的后缀(如peter@huawei.com中的huawei.com)确定用户属于哪一个域,进而决定对该用户的验证计费方案。对于没有后缀域名的用户,交换机缺省认为他们属于一个“全局缺省域”,基于配置,全局缺省域用户的用户名在进行验证前可以加上缺省域的域名。为了简单起见(避免用户在输入时输入域名以及在验证数据库中输入域名),我们这里将这里的接入用户划入一个名为huawei.com的全局缺省域,并且配置不为接入用
S6506 交换机实验指导
实验14 802.1x及AAA
户加上缺省域名;当然,还必须制定交换机关于这个域的验证、计费方法(即进行本地验证,不记费)。具体的配置命令为: [S6506]radiu scheme bysw New Radius server
[S6506-radius-bysw] server-type huawei
[S6506-radius-bysw]primary authentication 127.0.0.1 165 [S6506-radius-bysw]primary accounting 127.0.0.1 1646 [S6506-radius-bysw]user-name-format without-domain [S6506-radius-bysw]quit
[S6506]domain huawei.com New Domain added.
[S6506-isp-huawei.com]radius-scheme bysw [S6506]domain default enable huawei.com
本地进行验证计费(127.0.0.1),但本地不支持计费功能,在验证通过的情况下,即使计费失败,也允许用户接入,利用收到的用户名,查找用户所属的domain,如果你输入的用户名是pc,系统就会查找用户默认的domain,由于我们已经配置了命令:[SW1]domain default enable huawei.com,系统会用huawei.com这个domain所规定的认证策略进行认证。然后系统根据[SW1-isp-huawei.com]radius-scheme bysw 查找bysw规定的radius服务器地址。此时bysw规定的地址是127.0.0.1,所以在本地查找用户pc,前面我们已经配置了这个用户([SW1]local-user pc,并且密码相符,所以验证通过。
d. 为了验证802.1x 的认证效果,请在交换机上配置一个三层接口,这里的
配置为:
[S6506-Vlan-interface1]ip address 192.168.10.1 255.255.255.0 如果Pc是Windows XP操作系统,则自带802.1x认证客户端。否则,可以使用华为提供的802.1x软件客户端。现在请运行这个客户端,并输入用户名pc和密码pc,现在您可以尝试从Pc上Ping S6506的三层接口地址:192.168.10.1来检查是否可以获得对于网络的访问权限。如果一切配置正确,应该是可以访问的。可以用命令display dot1x interface Ethernet 2/0/24查看当前端口E 2/0/24的dot1x配置运行情况: [S6506-Vlan-interface1]display dot1x interface Ethernet 2/0/24 Equipment 802.1X protocol is enabled CHAP authentication is enabled DHCP-launch is disabled Proxy trap checker is disabled Proxy logoff checker is disabled