802.1X、MAC认证方式

接入认证:802.1X、Portal认证、MAC地址认证结合端口安全

802.1X是为了解决无线局域网安全问题提出来的，后来被以太网广泛应用 、2004年完成标准化
802.1X协议是一种基于端口的网络接入控制协议
802.1X通常与radius配合使用对接入用户的认证授权
802.1X技术可以扩展到基于MAC地址对用户接入进行控制，对同一个物理口上的多个用户分别进行认证控制
vlan最常用的划分方式是基于端口划分，该方式对于从同一端口进入的untagged报文添加相同的vlan标签，同一vlan内进行转发处理，一般场合用于固定的办公环境

802.1X两个端口角色:
1、非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接收认证报文，只有在通过认证后才会切换到授权状态
2、受控端口始终处于双向连通状态，用于传递业务报文，在非授权状态下禁止从客户端接收任何报文

EAP认证机制用于无线网，也可以用于有线局域网
EAP报文四种消息 1 request  2 response  3 success  4 failure

客户端必须支持EAPOL(局域网上的可扩展认证协议)，802.1X认证系统使用EAP，来实现客户端、设备端和认证服务器之间的认证信息的交换，EAP协议报文使用EAPOL封装格式，一种是EAPOR封装格式承载于radius协议中，另一种是EAP协议报文由设备进行终结

以上不足就是相对安全移动性差，MAC vlan就是弥补端口vlan不足点，基于源MAC地址决定给报文添加某个vlan的标签，一般和802.1X联合使用

802.1X配置

dot1x 开启802.1X特性
dot1x interface g0/1 开启端口的802.1X特性
dot1x authentication-method chap 设置802.1X认证方式
dot1x port-method 设置端口接入控制方式
dot1x guest-vlan 2 interface g0/24 指定来宾vlan和接口
vlan 10
local-user zhangsan
authorization-attribute vlan 10

MAC认证是一种基于端口和MAC地址对用户访问权限进行控制的认证方式，不需要安装任何客户端软件

MAC地址认证方式:
1、远程radius认证
2、本地认证

mac-authentication 启用全局的MAC地址认证

mac-authentication interface G0/0 启动G0/0接口MAC地址认证

mac-authentication user-name-format fix aaa password simple 123456 配置MAC地址认证用户名密码

mac-authentication domain H3C 配置MAC认证用户使用的认证域

MAC vlan优点:
1、能够实现精确的接入控制，它能精确定义某个终端和VLAN的绑定关系，从而实现将指定终端的报文在指定vlan中转发
2、能够实现灵活的接入控制，同一终端通过不同端口接入设备时，设备会给终端分配相同的vlan

运行机制:当端口收到一个untagged报文后，以报文的源MAC地址为匹配关键字，通过查找MACvlan表项来获知该终端绑定的vlan，从而实现将指定的报文在指定的vlan中转发

MAC vlan表项有两种:静态配置、动态配置
静态配置:手工添加表项、工作量大
动态配置:基于MAC的接入认证，用户会发起认证请求、认证服务器会对认证用户名和密码进行验证，如果通过，则会下发vlan信息

应用限制:
1、MAC VLAN只能在Hybrid端口使用
2、同一个mac地址只能绑定一个vlan
3、采用动态方式配置MAC VLAN时需要结合AAA认证服务器
4、建议不要在聚合成员端口配置MAC VLAN功能

mac-vlan mac-address 0000-dddd-cccc vlan 100

MAC地址表管理
包含设备的端口号以及所属的vlanid

在PC机上安装INode智能管理客户端
节约vlan资源、简化网络配置，安全可靠

端口安全：是一种基于MAC地址对网络接入进行控制的安全机制，对802.1X认证和MAC地址认证的扩充

端口安全功能：让设备学习到合法的源MAC地址，已达到相应的网络管理效果

配置端口安全需要关闭802.1X认证和MAC认证

port-security enable 开启端口安全

port-security trap intrusion 打开入侵检测trap开关

port-security max-mac-count 8 定义端口安全最大MAC的数量

port-security mode autolearn 定义端口安全模式

port-security intrusion-mode blockmac 触发入侵检测的动作