Logo

Menu

小林不是俊
小林不是俊
Published on 2025-01-31 / 3 Visits
0
0

掌握802.1X认证技术

# 1.掌握802.1X认证技术
```bash
802.1X协议的背景

早期的IEEE 802 LAN协议中,只要用户可以接入局域网的控制设备(例如接入交换机),就可以访问局域网中的设备或资源,这无疑是存在安全隐患的。为解决无线局域网的安全问题,IEEE 802委员会提出了802.1X协议。802.1X协议可以控制用户的网络访问权限,防止身份不明或未经授权的用户传输和接收数据。由于802.1X协议的普适性,因此后来也广泛应用于有线局域网。

与其他接入控制机制不同,802.1X协议是通过控制接入端口,实现用户级的接入控制。在802.1X协议中,物理接入端口被划分为“受控端口”和“非受控端口”这两个逻辑端口,用于实现业务与认证的分离。非受控端口主要用于传递EAPOL协议帧,始终处于双向连通状态,保证客户端始终能够发出或接收认证报文;而受控端口用于传递业务报文,因此在授权状态下处于双向连通状态,在非授权状态下不从客户端接收任何报文。

换言之,基于802.1X协议的认证,其最终目的就是确定用户的接入端口是否可用。如果认证成功,那么就打开端口,允许客户端的所有报文通过;如果认证不成功,就保持端口的关闭状态,只允许EAPOL协议帧通过。

什么时候需要使用802.1X?

通常在新建网络、用户集中或者信息安全要求严格的场景中使用802.1X认证。802.1X认证具有以下优点:
对接入设备的性能要求不高。802.1X协议为二层协议,不需要到达三层,可以有效降低建网成本。
在未授权状态下,不允许与客户端交互业务报文,因此保证了业务安全。
以企业网络为例。员工终端一般需要接入办公网络,安全要求较高,此时推荐使用802.1X认证。
```

# 2.实验拓扑
```bash
设备:两台交换机(LSW1作为接入交换机,CE1作为汇聚交换机),一台PC,一台RADIUS服务器(可使用WinRadius软件模拟)。
连接:PC连接到LSW1的某个接口,LSW1与CE1通过Trunk接口连接,CE1连接到RADIUS服务器。

配置步骤
1. RADIUS服务器配置
下载并安装WinRadius软件。
双击运行WinRadius.exe,点击“设置”——“系统”,设置NAS密钥(例如:huawei),点击确定。
点击“操作”——“添加账号”,添加一个用户(例如:user1,密码:Huawei@2012)用于PC认证。

2. CE1配置
配置接口IP:
interface GigabitEthernet0/0/1
ip address 192.168.1.2 255.255.255.0

配置RADIUS认证:
radius-server template rd1
radius-server shared-key cipher huawei
radius-server authentication 192.168.1.100 1812
其中,192.168.1.100为RADIUS服务器的IP地址。

配置AAA和域:
aaa
authentication-scheme rd1
authentication-mode radius
domain isp
authentication-scheme rd1
radius-server rd1

配置接口开启802.1X:
interface GigabitEthernet0/0/1
dot1x enable
authentication-profile name rd1

设置默认域:
domain isp default

3. LSW1配置
添加VLAN并配置接口:
Shell复制
vlan batch 10
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10

配置透传802.1X协议报文:
l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002

在接口上应用透传协议并划入VLAN:
interface GigabitEthernet0/0/1
l2protocol-tunnel enable

4. PC配置
在PC上安装802.1X客户端软件(例如:Windows自带的网络连接客户端)。
配置客户端,输入用户名(user1)和密码(Huawei@2012)。
```

# 3.测试与验证
```bash
在PC上启动802.1X客户端,输入用户名和密码进行认证。
如果配置正确,PC将通过认证并获得网络访问权限。
在CE1上执行命令display access-user access-type dot1x,查看在线802.1X用户信息,确认用户user1已成功上线。
通过以上步骤,你可以在eNSP中完成一个完整的802.1X认证实验,验证网络接入控制的安全性和有效性。
```

端口限速技术:QoS流控
ensp-DHCP Snooping

Comment