开发者社区> 科技小能手> 正文

基于802.1x协议的接入认证简单实现

简介:
+关注继续查看



      今天来谈谈802.1X协议,以及如何来使用该协议实现用户接入控制

802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。

一、802.1x的体系结构

使用 802.1x 的系统为典型的 Client/Server 体系结构,包括三个实体:Supplicant System(客户端)、Authenticator System(设备端)以及 Authentication Server System(认证服务器),如下图所示。

1.客户端是位于局域网段一端的一个实体,由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。客户端软件必须支持EAPOL EAP over LANs,局域网上的EAP)协议。

2.设备端是位于局域网段一端的一个实体,用于对连接到该链接另一端的实体进行认证。设备端通常为支持802.1x协议的网络设备它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。

3.认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费,通常为 RADIUS 服务器。该服务器可以存储用户的相关信息,例如用户的账号、密码以及用户所属的 VLAN、优先级、用户的访问控制列表等。

二、802.1x的工作机制

IEEE 802.1x认证系统利用 EAPExtensible Authentication Protocol,可扩展认证协议)协议,作为在客户端和认证服务器之间交换认证信息的手段。

1.     在客户端 PAE与设备端 PAE之间,EAP协议报文使用 EAPOL封装格式,直接承载于 LAN环境中。

2.     在设备端 PAE RADIUS服务器之间,EAP协议报文可以使用 EAPOR封装格式(EAP over RADIUS),承载于 RADIUS协议中;也可以由设备端 PAE进行终结,而在设备端 PAE  RADIUS 服务器之间传送 PAP 协议报文或CHAP协议报文。

3.     当用户通过认证后,认证服务器会把用户的相关信息传递给设备端,设备端PAE 根据 RADIUS 服务器的指示(Accept  Reject)决定受控端口的授权/非授权状态。

在配置过程中涉及到的命令

理论部分就普及到这里,下面讲实现,下面是我的实现拓扑图,主要实现了本地用户登陆认证,远程登陆设备也使用radius认证

NAS我使用的是华为二层交换机,GATEWAY使用的是h3c的防火墙,核心代码:

NAS

      domain default enable zzu //将我自己创建的域设置为默认域

      dot1x //开启802.1x

   dot1x authentication-method pap //设置认证模式

 

建立模式

   radius scheme radius     

     server-type standard

     primary authentication 192.168.30.2 //指向radius服务器

     key authentication 123456

     user-name-format without-domain

 

自定义域

      domain zzu

     scheme radius-scheme radius   radius模式设为zzu域使用的模式

     access-limit enable 10        //这个必须配,否则默认不允许登陆

     accounting optional

 

配置管理地址

interface Vlan-interface1

     ip address 192.168.1.1 255.255.255.0

      ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 preference 60 配置默认网关

管理登陆设备也使用radius

user-interface vty 0 4

 authentication-mode scheme

 

      接口相关配置

vlan 1

#

vlan 10

 description student

#

vlan 20

 description teacher

#

vlan 30

 description server

#

interface Vlan-interface1

 ip address 192.168.1.1 255.255.255.0

#

interface Aux1/0/0

#

interface Ethernet1/0/1

 port access vlan 10

 dot1x

#

interface Ethernet1/0/2

 port access vlan 10                     

 dot1x

#

interface Ethernet1/0/3

 port access vlan 10

 dot1x

#

interface Ethernet1/0/4

 port access vlan 10

 dot1x

#

interface Ethernet1/0/5

 port access vlan 10

 dot1x

#

interface Ethernet1/0/6

 port access vlan 10

 dot1x

#

interface Ethernet1/0/7

 port access vlan 10

 dot1x

#

interface Ethernet1/0/8

 port access vlan 10                     

 dot1x

#

interface Ethernet1/0/9

 port access vlan 10

 dot1x

#

interface Ethernet1/0/10

 port access vlan 10

 dot1x

#

interface Ethernet1/0/11

 port access vlan 20

 dot1x

#

interface Ethernet1/0/12

 port access vlan 20

 dot1x

#

interface Ethernet1/0/13

 port access vlan 20

 dot1x

#

interface Ethernet1/0/14

 port access vlan 20                     

 dot1x

#

interface Ethernet1/0/15

 port access vlan 20

 dot1x

#

interface Ethernet1/0/16

 port access vlan 20

 dot1x

#

interface Ethernet1/0/17

 port access vlan 20

 dot1x

#

interface Ethernet1/0/18

 port access vlan 20

 dot1x

#

interface Ethernet1/0/19

 port access vlan 20

 dot1x

#

interface Ethernet1/0/20

 port access vlan 20                     

 dot1x

#

interface Ethernet1/0/21

 port access vlan 30

#

interface Ethernet1/0/22

#

interface Ethernet1/0/23

#

interface Ethernet1/0/24

 port link-type trunk

 port trunk permit vlan all

 

 

 

 

 

 

 

 

GATEWAY核心代码

配置自定义radius模式

radius scheme zzu

 server-type standard

 primary authentication 192.168.30.2 //指明radius服务器

 key authentication 123456

 user-name-format without-domain

配置自定义域

domain zzu

 scheme radius-scheme zzu                

 access-limit enable 10

 accounting optional

 

 

 

部分接口配置

 

undo insulate  //取消端口隔离,不然子接口之间无法通信

 

 

interface Ethernet0/0

 ip address 192.168.1.254 255.255.255.0

 dhcp select relay

#

interface Ethernet0/0.10      //配置子接口,使用单臂路由实现

 ip address 192.168.10.254 255.255.255.0

 ip relay address 192.168.30.1

 dhcp select relay      //允许dhcp中继

 vlan-type dot1q vid 10

#

interface Ethernet0/0.20

 ip address 192.168.20.254 255.255.255.0 

 ip relay address 192.168.30.1

 dhcp select relay

 vlan-type dot1q vid 20

#

interface Ethernet0/0.30

 ip address 192.168.30.254 255.255.255.0

 dhcp select relay

 vlan-type dot1q vid 30

 

 

 

 

加入信任区域  //不加的话无法通信
firewall zone trust

 add interface Ethernet0/0

 add interface Ethernet0/0.10

 add interface Ethernet0/0.20

 add interface Ethernet0/0.30 

 

 

 

dhcp服务器的配置

 

 

 

radius配置

 

下面就是测试工作

 

wlan10 的主机登陆

获取的ip地址

 

 

 

 

VLAN 20的主机登陆

 

 

 

 

 

 

 

登陆NAS

 

 

登陆GATEWAY

 

 

 

 

Radius服务器日志记录

 

 

 

 

到此实验结束,希望你能成功啊



本文转自 chenming421  51CTO博客,原文链接:http://blog.51cto.com/wnqcmq/1163989


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
13914 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
33431 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
18787 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
25130 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
20504 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
21641 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
11847 0
23705
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载