帶備注module3接入技術(shù)hc8021x原理與配置

802.1x原理與配置Page1前言

當(dāng)前，網(wǎng)絡(luò)安全已超過對交換能力和服務(wù)質(zhì)量等的需求，成為企業(yè)用戶最關(guān)心的問題之一。在企業(yè)網(wǎng)絡(luò)中，任何一臺終端的安全狀態(tài)都將直接影響到整個網(wǎng)絡(luò)的安全。而傳統(tǒng)針對病毒的防御體系是以孤立的單點防御為主，這樣的分散管理無法避免諸多的安全威脅。Page2培訓(xùn)目標

學(xué)完本課程后，您應(yīng)該能：理解并解釋802.1x技術(shù)原理描述802.1x系統(tǒng)組件和工作過程掌握802.1x的簡單場景配置掌握診斷802.1x故障的基本能力Page3目錄NAC技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷Page4NAC技術(shù)產(chǎn)生背景

企業(yè)內(nèi)網(wǎng)安全面臨的主要問題是內(nèi)部威脅（高達60％），而終端是威脅的主要來源：終端不能及時打系統(tǒng)補丁員工繞過防火墻訪問互聯(lián)網(wǎng)員工未安裝防病毒軟件員工忘記設(shè)置必要的口令現(xiàn)有安全設(shè)備難以有效保護網(wǎng)絡(luò)：無法檢查網(wǎng)絡(luò)內(nèi)計算機的安全狀況缺乏對合法終端濫用網(wǎng)絡(luò)資源的安全管理無法防止惡意終端的蓄意破壞Page5NAC技術(shù)產(chǎn)生背景(續(xù))

強化內(nèi)防內(nèi)控，從終端入手強化弱點管理：終端接入控制：防止非法終端的接入，降低不安全終端的威脅終端訪問授權(quán)：防止合法終端越權(quán)訪問，保護企業(yè)核心資源終端安全健康性檢查與策略管理：幫助企業(yè)落實安全管理制度員工行為管理與違規(guī)審計：強化行為審計防止惡意終端破壞Page6NAC基本概念NAC(NetworkAccessControl)：也稱為網(wǎng)絡(luò)接入控制，是思科最先提出的一種“端到端”的安全結(jié)構(gòu)。微軟的NAP（網(wǎng)絡(luò)訪問保護）也是一種網(wǎng)絡(luò)接入隔離控制技術(shù)，與NAC框架類似，服務(wù)器集成在Windows2003Server，客戶端集成在WindowsVista客戶端中。NAP服務(wù)器與客戶端配合對于不符合當(dāng)前系統(tǒng)運行狀況要求的計算機進行強制受限網(wǎng)絡(luò)訪問。

H3C的EAD(EndpointAdmissionDefense)，稱為端點準入防御。Page7NAC關(guān)鍵組件NAC包含三個關(guān)鍵組件：通信代理、網(wǎng)絡(luò)訪問控制設(shè)備和策略服務(wù)器。華為S系列交換機可用于網(wǎng)絡(luò)訪問控制設(shè)備。工作區(qū)策略服務(wù)器網(wǎng)絡(luò)訪問控制設(shè)備補丁/病毒服務(wù)器隔離區(qū)軟件

服務(wù)器ACS/SCPage8NAC認證方式

針對不同場景，NAC提供了靈活的接入控制方式：802.1x認證接入（包括旁路認證）MAC地址認證接入Web認證接入

S9300除了提供上述NAC認證方式以外，還支持:直接認證Page9Page10目錄NAC技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷Page11802.1x體系結(jié)構(gòu)802.1x系統(tǒng)為典型的Client/Server體系，包括三個實體：Supplicantsystem（客戶端）、Authenticatorsystem（設(shè)備端）和Authenticationserversystem（認證服務(wù)器）Page12Page13802.1x工作原理802.1x認證接入：ACS(AccessControlServer)，CiscoNAC解決方案中的接入控制服務(wù)器組件SC(SecospaceController)，華為NAC解決方案中的控制器組件工作區(qū)策略服務(wù)器交換機補丁/病毒服務(wù)器隔離區(qū)軟件

服務(wù)器ACS/SCPage14802.1x工作原理(續(xù))GUESTVLAN功能：使能GUESTVLAN后，未獲認證授權(quán)的用戶，被臨時加入GUESTVLAN，只能訪問受限的部分資源（規(guī)劃在GUESTVLAN中）。未使能GUESTVLAN時，用戶在通過認證之前，不能訪問任何網(wǎng)絡(luò)資源。對于dot1x且端口配置為port-based情況，交換機將組播觸發(fā)認證報文。若達到最大發(fā)送次數(shù)后仍無用戶響應(yīng)，端口就加入GUESTVLAN，端口下所有用戶只能訪問受限資源。若有其他用戶認證成功，端口將退出GUESTVLAN，進入授權(quán)狀態(tài)。Page15802.1x工作原理(續(xù))

靜默功能：為避免用戶發(fā)送大量能啟動認證流程的報文，導(dǎo)致設(shè)備不停地向RADIUS服務(wù)器發(fā)起認證請求，浪費設(shè)備和RADIUS服務(wù)器的處理資源，交換機需要提供靜默功能。啟用靜默功能后，在用戶認證失敗后的一段時間（靜默周期，可配置）內(nèi)，認證模塊將不處理用戶的認證報文。Page16目錄NAC技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷Page17EAP數(shù)據(jù)報EAP數(shù)據(jù)報格式：當(dāng)EAPOL數(shù)據(jù)包Type域為EAP-Packet時，PacketBody為EAP數(shù)據(jù)包結(jié)構(gòu)。Code：指明EAP包的4種類型：Request、Response、Success、FailureIdentifier：輔助進行Request和Response消息的匹配Length：EAP包的長度，包含Code、Identifier、Length和Data域，單位為字節(jié)Data：EAP包的內(nèi)容，由Code類型決定Success和Fail類型的包沒有Data域，相應(yīng)Length域的值為4Page18EAP數(shù)據(jù)報(續(xù))EAP請求(Request)和回應(yīng)(Response)報文：當(dāng)EAP包為Request和Response類型時，其Data域的格式如下：Type為EAP的認證類型值為1時代表Identity，用來查詢對方的身份；值為4時代表MD5-Challenge，類似于PPPCHAP協(xié)議，包含質(zhì)詢消息Typedata的內(nèi)容隨Type值不同而不同Page19EAP數(shù)據(jù)報(續(xù))EAP成功(Success)和無效(Fail)報文：當(dāng)EAP包為Success和Fail類型時沒有Data域，其Length域的值為4：成功報文由驗證者發(fā)給被驗證端，用于通告一個成功的認證結(jié)果。如果驗證過程失敗，驗證者將向被驗證端發(fā)送一個無效報文，通告一個無效的驗證結(jié)果。成功報文和無效報文的Identifier值必須和回應(yīng)報文的Identifier值一致。Page20EAPOL數(shù)據(jù)報EAPOL報文的二層報文頭：DMACSMACTYPEEAPOLFCS字段內(nèi)容DMAC01-80-C2-00-00-03SMAC端口的物理MAC地址TYPEPAEEthernetType，指示協(xié)議類型Page21EAPOL數(shù)據(jù)報(續(xù))EAPOL數(shù)據(jù)報格式：PAEEthernetType：協(xié)議類型，值

為0x888E。ProtocolVersion：指示EAPOL幀的

發(fā)送方所支持的協(xié)議版本號。Type：EAPOL數(shù)據(jù)包的類型。Length：表示數(shù)據(jù)長度，即“PacketBody”字段的長度，單位為字節(jié)，0表示沒有后面的數(shù)據(jù)域。PacketBody：表示數(shù)據(jù)內(nèi)容，根據(jù)不同的Type有不同格式。Page22EAPOL數(shù)據(jù)報(續(xù))EAPOL數(shù)據(jù)包類型：Type值報文類型0x00EAP報文（EAP-Packet），用于承載認證信息0x01EAPOL開始報文（EAPOL-Start），發(fā)起認證0x02EAPOL注銷報文（EAPOL-Logoff），退出請求0x03EAPOL信息報文（EAPOL-Key）0x04EAPOL告警報文（EAPOL-Encapsulated-ASF-Alert）Page23目錄NAC技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷Page24802.1x協(xié)議運行過程802.1x中繼方式認證流程：EAPoLAAARADIUSEAPoL-StartEAP-Request/IdentityClientEAP-Response/IdentityCMAccess-RequestAccess-ChallengeAccess-Challenge(EAP-Request/MD5challenge)EAP-Request/MD5challengeEAP-Response/MD5challengeAccess-Request(EAP-Response/MD5challenge)Access-RequestAccess-RequestRADIUSAccess-Accept(EAP-Success)EAP-Success握手EAP-Request/Identity握手EAP-Response/IdentityEAPOL-Logoff表項申請Page25802.1x協(xié)議運行過程(續(xù))

802.1x終結(jié)方式認證流程：EAPoLAAARADIUSEAPoL-StartEAP-Request/IdentityClientEAP-Response/IdentityCMEAP-Request/MD5challengeEAP-Response/MD5challengeAccess-Request(EAP-Response/MD5challenge)Access-RequestAccess-RequestRADIUSAccess-Accept(EAP-Success)EAP-Success握手EAP-Request/Identity握手EAP-Response/IdentityEAPOL-Logoff表項申請申請成功Page26目錄NAC技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷Page27

需要注意，NAC特性部署時與周邊交互的模塊比較多，各模塊間協(xié)同工作需要正確配置，若配置不當(dāng)，常會導(dǎo)致認證失敗。802.1x業(yè)務(wù)配置基本組網(wǎng)S9300PCRADIUS服務(wù)器

192.168.2.30GE1/0/0打印機GE2/0/1GE2/0/0VLANIF20

192.168.2.10Page28802.1x配置準備

配置思路：配置RADIUS服務(wù)器模板配置AAA認證模板配置域配置802.1x認證需要準備如下數(shù)據(jù)：RADIUS服務(wù)器IP地址、認證端口號RADIUS服務(wù)器密鑰為hello，重傳次數(shù)為2AAA認證方案web1RADIUS服務(wù)器模版rd1域isp1Page29802.1x業(yè)務(wù)配置

配置步驟：配置RADIUS服務(wù)器模板[Quidway]radius-servertemplaterd1

[Quidway-radius-rd1]radius-serverauthentication192.168.2.301812 #配置RADIUS主用認證服務(wù)器的IP地址、端口[Quidway-radius-rd1]radius-servershared-keyhello #配置RADIUS服務(wù)器密鑰[Quidway-radius-rd1]radius-serverretransmit2 #配置重傳次數(shù)[Quidway-radius-rd1]quitPage30802.1x業(yè)務(wù)配置(續(xù))

配置認證方案，認證方案web1，認證方法為RADIUS[Quidway]aaa[Quidway–aaa]authentication-schemeweb1[Quidway-aaa-authen-1]authentication-moderadius[Quidway-aaa-authen-1]quit

配置isp1域，綁定認證方式和RADIUS服務(wù)器模板[Quidway-aaa]domainisp[Quidway-aaa-domain-isp1]authentication-schemeweb1[Quidway-aaa-domain-isp1]radius-serverrd1Page31802.1x業(yè)務(wù)配置(續(xù))

配置802.1x認證[Quidway]dot1x

#全局使能802.1x認證[Quidway]interfacegigabitethernet1/0/0[Quidway-GigabitEthernet1/0/0]dot1x #在接口下使能802.1x認證[Quidway-GigabitEthernet1/0/0]dot1xmax-user100 #配置允許接入的最大用戶數(shù)[Quidway-GigabitEthernet1/0/0]dot1xmac-bypass #配置MAC旁路認證Page32802.1x業(yè)務(wù)配置(續(xù))

其它可選配置：dot1xauthentication-method{chap|eap|pap} #配置dot1x認證模式dot1xdhcp-trigger #使能DHCP報文觸發(fā)dot1x認證功能dot1xhandshake #開啟定時握手功能（默認使能）dot1xquiet-period #開啟dot1x靜默功能dot1xretry #配置報文交互時交換機向客戶端重發(fā)報文的最大次數(shù)Page33802.1x業(yè)務(wù)配置(續(xù))

其它可選配置(續(xù))：dot1xtimer #配置各類定時器，確保有序交互dot1xguest-vlan #配置接口guestvlan功能dot1xport-control{auto|authorized-force|unauthorized-force} #配置端口控制模式dot1xport-method{mac|port} #配置端口接入方式，即基于MAC（用戶）還是基于端口dot1xreauthenticate #配置重認證，將該端口下通過