基于802.1x协议的接入认证简单实现
今天来谈谈802.1X协议,以及如何来使用该协议实现用户接入控制
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。
一、802.1x的体系结构
使用 802.1x 的系统为典型的 Client/Server 体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及 Authentication Server System(认证服务器),如下图所示。
1.客户端是位于局域网段一端的一个实体,由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。客户端软件必须支持EAPOL (EAP over LANs,局域网上的EAP)协议。
2.设备端是位于局域网段一端的一个实体,用于对连接到该链接另一端的实体进行认证。设备端通常为支持802.1x协议的网络设备它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
3.认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费,通常为 RADIUS 服务器。该服务器可以存储用户的相关信息,例如用户的账号、密码以及用户所属的 VLAN、优先级、用户的访问控制列表等。
二、802.1x的工作机制
IEEE 802.1x认证系统利用 EAP(Extensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。
1. 在客户端 PAE与设备端 PAE之间,EAP协议报文使用 EAPOL封装格式,直接承载于 LAN环境中。
2. 在设备端 PAE与 RADIUS服务器之间,EAP协议报文可以使用 EAPOR封装格式(EAP over RADIUS),承载于 RADIUS协议中;也可以由设备端 PAE进行终结,而在设备端 PAE 与 RADIUS 服务器之间传送 PAP 协议报文或CHAP协议报文。
3. 当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据 RADIUS 服务器的指示(Accept 或 Reject)决定受控端口的授权/非授权状态。
在配置过程中涉及到的命令
理论部分就普及到这里,下面讲实现,下面是我的实现拓扑图,主要实现了本地用户登陆认证,远程登陆设备也使用radius认证
NAS我使用的是华为二层交换机,GATEWAY使用的是h3c的防火墙,核心代码:
NAS
domain default enable zzu //将我自己创建的域设置为默认域
dot1x //开启802.1x
dot1x authentication-method pap //设置认证模式
建立模式
radius scheme radius
server-type standard
primary authentication 192.168.30.2 //指向radius服务器
key authentication 123456
user-name-format without-domain
自定义域
domain zzu
scheme radius-scheme radius 把radius模式设为zzu域使用的模式
access-limit enable 10 //这个必须配,否则默认不允许登陆
accounting optional
配置管理地址
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 preference 60 配置默认网关
管理登陆设备也使用radius
user-interface vty 0 4
authentication-mode scheme
接口相关配置
vlan 1
#
vlan 10
description student
#
vlan 20
description teacher
#
vlan 30
description server
#
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
port access vlan 10
dot1x
#
interface Ethernet1/0/2
port access vlan 10
dot1x
#
interface Ethernet1/0/3
port access vlan 10
dot1x
#
interface Ethernet1/0/4
port access vlan 10
dot1x
#
interface Ethernet1/0/5
port access vlan 10
dot1x
#
interface Ethernet1/0/6
port access vlan 10
dot1x
#
interface Ethernet1/0/7
port access vlan 10
dot1x
#
interface Ethernet1/0/8
port access vlan 10
dot1x
#
interface Ethernet1/0/9
port access vlan 10
dot1x
#
interface Ethernet1/0/10
port access vlan 10
dot1x
#
interface Ethernet1/0/11
port access vlan 20
dot1x
#
interface Ethernet1/0/12
port access vlan 20
dot1x
#
interface Ethernet1/0/13
port access vlan 20
dot1x
#
interface Ethernet1/0/14
port access vlan 20
dot1x
#
interface Ethernet1/0/15
port access vlan 20
dot1x
#
interface Ethernet1/0/16
port access vlan 20
dot1x
#
interface Ethernet1/0/17
port access vlan 20
dot1x
#
interface Ethernet1/0/18
port access vlan 20
dot1x
#
interface Ethernet1/0/19
port access vlan 20
dot1x
#
interface Ethernet1/0/20
port access vlan 20
dot1x
#
interface Ethernet1/0/21
port access vlan 30
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
port link-type trunk
port trunk permit vlan all
GATEWAY核心代码
配置自定义radius模式
radius scheme zzu
server-type standard
primary authentication 192.168.30.2 //指明radius服务器
key authentication 123456
user-name-format without-domain
配置自定义域
domain zzu
scheme radius-scheme zzu
access-limit enable 10
accounting optional
部分接口配置
undo insulate //取消端口隔离,不然子接口之间无法通信
interface Ethernet0/0
ip address 192.168.1.254 255.255.255.0
dhcp select relay
#
interface Ethernet0/0.10 //配置子接口,使用单臂路由实现
ip address 192.168.10.254 255.255.255.0
ip relay address 192.168.30.1
dhcp select relay //允许dhcp中继
vlan-type dot1q vid 10
#
interface Ethernet0/0.20
ip address 192.168.20.254 255.255.255.0
ip relay address 192.168.30.1
dhcp select relay
vlan-type dot1q vid 20
#
interface Ethernet0/0.30
ip address 192.168.30.254 255.255.255.0
dhcp select relay
vlan-type dot1q vid 30
加入信任区域 //不加的话无法通信
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/0.10
add interface Ethernet0/0.20
add interface Ethernet0/0.30
dhcp服务器的配置
radius配置
下面就是测试工作
wlan10 的主机登陆
获取的ip地址
VLAN 20的主机登陆
登陆NAS
登陆GATEWAY
Radius服务器日志记录
到此实验结束,希望你能成功啊
本文转自 chenming421 51CTO博客,原文链接:http://blog.51cto.com/wnqcmq/1163989
基于802.1x协议的接入认证简单实现相关推荐
- 锐捷网络:校园网基于802.1x无感知认证
一.现状与需求分析 随着智能终端的普及,接入校园网络的终端类型正在逐渐发生变化.智能终端需要通过3G.GPRS.WIFI接入Internet网络.但目前3G.GPRS上网资费较贵,所以WIFI成为校园 ...
- linux 锐捷客户端 脚本,基于802.1x的锐捷linux客户端认证方法(最新)
校园网的Linux用户大概都有这样的苦恼,如今大多数校园网都必须安装基于802.1X协议的认证软件才可以上网,也许windows操做系统的用户以为安装这样的软件上网,那是一件很简单的事情,可是对于li ...
- 一文读懂802.1x协议,随便秒杀面试官
协议简介 802.1x协议是一种基于C/S结构的访问「控制协议」,工作在数据链路层,也就是二层协议. 「C/S结构」:server/client的简称,分为服务器和客户机两层结构,其中服务器负责数据的 ...
- 五、(H3C)基于802.1x+AD+DHCP+NPS动态下发vlan 华三交换机配置
一.配置网络设备 以下为拓扑图 1.配置核心交换机(华为S7712) sysname Core-Switch 更改主机名 vlan batch 31 3 ...
- 基于5G用户卡的5G接入认证分析及试验
[摘 要]用户卡承载移动用户身份标识和网络接入认证的重要功能.5G SA网络在接入认证方面新增不同于4G网络的用户隐私保护.EAP-AKA'认证/5G AKA认证.5G密钥体系及5G安全上下文等特性 ...
- 校园网认证系统-802.1x协议介绍
本文转自http://hi.baidu.com/xinghui100/blog/item/e0edb36dbbacb8fe43169405.html 802.1x协议解析 802.1X协议是由(美)电 ...
- android 802.1x 认证,802.1X认证基础
802.1X认证基础 802.1X认证简介 定义 802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)."基 ...
- 802.1X认证技术与MAC认证技术
一.介绍 802.1X技术作为局域网一种普遍端口(二层设备端口)接入控制机制在以太网中被广泛应用,主要用以解决以太网内认证和安全方面的问题 MAC认证是一种基于端口和MAC地址对于用户的网络访问控制权 ...
- 802.1X(Dot1x)认证原理
802.1X(dot1x)技术简介 802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网 ...
最新文章
- 突然关机导致git文件受损,如何处理
- Arrays.sort和Collection.sort分别使用什么排序来实现的
- 2021中青杯数学建模A题 汽车组装车间流水线物料配送问题
- 将计算机退出域 脚本
- JavaFX UI控件教程(十七)之Slider
- Futter基础第18篇: 实现调用原生时间选择器、日期选择器、时间戳、Future异步
- 【XSY2731】Div 数论 杜教筛 莫比乌斯反演
- STM32F4UCOSII移植
- python字符编码(一看就懂)
- 文献中数学公式规范复制工具——Mathpix Snip
- Flask框架从入门到精通之消息闪现和日志记录(二十一)
- Java飞机小游戏代码详解
- 部门年终总结会议有必要开吗?
- 雨天的尾巴——LCA+树上差分+动态开点+线段树合并
- 软件开发的流程是怎样的?
- Ubuntu解决外接2K屏分辨率低问题
- 安装Photon虚拟机
- 利用ffmpeg 把.mp4转换为.flv
- 分布式大矩阵SVD分解
- 英语语法篇 - 从句