BYZX318802.1x原理與配置

1、http:/曹斌曹斌802.1x原理與配置北郵在線Page2前 言 當前，網(wǎng)絡(luò)安全已超過對交換能力和服務(wù)質(zhì)量等的需求，成為企業(yè)用戶最關(guān)心的問題之一。 在企業(yè)網(wǎng)絡(luò)中，任何一臺終端的安全狀態(tài)都將直接影響到整個網(wǎng)絡(luò)的安全。而傳統(tǒng)針對病毒的防御體系是以孤立的單點防御為主，這樣的分散管理無法避免諸多的安全威脅。北郵在線Page3培訓目標 學完本課程后，您應該能： 理解并解釋802.1x技術(shù)原理 說明802.1x系統(tǒng)組件和工作過程 獨立完成802.1x的簡單場景配置 具備802.1x的故障的基本診斷能力北郵在線Page4目 錄NAC技術(shù)簡介技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行

2、過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page5NAC技術(shù)產(chǎn)生背景 企業(yè)內(nèi)網(wǎng)安全面臨的主要問題是內(nèi)部威脅（高達60），而終端是威脅的主要來源： 終端不能及時打系統(tǒng)補丁 員工繞過防火墻訪問互聯(lián)網(wǎng) 員工未安裝防病毒軟件 員工忘記設(shè)置必要的口令 現(xiàn)有安全設(shè)備難以有效保護網(wǎng)絡(luò)： 無法檢查網(wǎng)絡(luò)內(nèi)計算機的安全狀況 缺乏對合法終端濫用網(wǎng)絡(luò)資源的安全管理 無法防止惡意終端的蓄意破壞 北郵在線Page6NAC技術(shù)產(chǎn)生背景(續(xù)) 強化內(nèi)防內(nèi)控，從終端入手強化弱點管理： 終端接入控制：防止非法終端的接入，降低不安全終端的威脅 終端訪問授權(quán)：防止合法終端越權(quán)訪問，保護企業(yè)核心資源 終端安全健康性檢查

3、與策略管理：幫助企業(yè)落實安全管理制度 員工行為管理與違規(guī)審計：強化行為審計防止惡意終端破壞北郵在線Page7NAC基本概念 NAC (Network Admission Control)：也稱為網(wǎng)絡(luò)管理控制，是思科最先提出的一種“端到端”的安全結(jié)構(gòu)。 微軟的NAP（網(wǎng)絡(luò)訪問保護）也是一種網(wǎng)絡(luò)接入隔離控制技術(shù)，與NAC框架類似，服務(wù)器集成在Windows 2003 Server，客戶端集成在Windows Vista客戶端中。NAP服務(wù)器與客戶端配合對于不符合當前系統(tǒng)運行狀況要求的計算機進行強制受限網(wǎng)絡(luò)訪問。 H3C的EAD (Endpoint Admission Defense)，稱為端點準入

4、防御。北郵在線Page8NAC關(guān)鍵組件 NAC包含三個關(guān)鍵組件：通信代理、網(wǎng)絡(luò)訪問控制設(shè)備和策略服務(wù)器。 華為S系列交換機可用于網(wǎng)絡(luò)訪問控制設(shè)備。工作區(qū)策略服務(wù)器網(wǎng)絡(luò)訪問控制設(shè)備網(wǎng)絡(luò)訪問控制設(shè)備補丁/病毒服務(wù)器隔離區(qū)軟件服務(wù)器ACS/SC北郵在線Page9NAC認證方式 針對不同場景，NAC提供了靈活的接入控制方式： 802.1x認證接入（包括旁路認證） MAC地址認證接入 Web認證接入 S9300除了提供上述NAC認證方式以外，還支持: 直接認證 本課程介紹本課程介紹802.1x認證方式，其它認證方認證方式，其它認證方式相對較簡單，學員可自行參考相關(guān)手冊。式相對較簡單，學員可自行參考相關(guān)手

5、冊。北郵在線Page10目 錄NAC技術(shù)簡介802.1x工作原理工作原理EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page11802.1x體系結(jié)構(gòu) 802.1x系統(tǒng)為典型的Client/Server體系，包括三個實體：Supplicant system（客戶端）、Authenticator system（設(shè)備端）和Authentication server system（認證服務(wù)器）北郵在線Page12802.1x工作原理 802.1x認證接入： ACS (Access Control Server)，Cisco NAC解決方案中的接入控制服

6、務(wù)器組件 SC (Secospace Controller)，華為NAC解決方案中的控制器組件工作區(qū)策略服務(wù)器交換機交換機補丁/病毒服務(wù)器隔離區(qū)軟件服務(wù)器ACS/SC北郵在線Page13802.1x工作原理(續(xù))l GUEST VLAN功能： 使能GUEST VLAN后，未獲認證授權(quán)的用戶，被臨時加入GUEST VLAN，只能訪問受限的部分資源（規(guī)劃在GUEST VLAN中）。 未使能GUEST VLAN時，用戶在通過認證之前，不能訪問任何網(wǎng)絡(luò)資源。 對于dot1x且端口配置為port-based情況，交換機將組播觸發(fā)認證報文。l 若達到最大發(fā)送次數(shù)后仍無用戶響應，端口就加入GUEST VLA

7、N，端口下所有用戶只能訪問受限資源。l 若有其他用戶認證成功，端口將退出GUEST VLAN，進入授權(quán)狀態(tài)。北郵在線Page14802.1x工作原理(續(xù)) 靜默功能： 為避免用戶發(fā)送大量能啟動認證流程的報文，導致設(shè)備不停地向RADIUS服務(wù)器發(fā)起認證請求，浪費設(shè)備和RADIUS服務(wù)器的處理資源，交換機需要提供靜默功能。 啟用靜默功能后，在用戶認證失敗后的一段時間（靜默周期，可配）內(nèi)，認證模塊將不處理用戶的認證報文。北郵在線Page15目 錄NAC技術(shù)簡介802.1x工作原理EAP和和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page16EAP數(shù)據(jù)報

8、EAP數(shù)據(jù)報格式： 當EAPOL數(shù)據(jù)包Type域為EAP-Packet時，Packet Body為EAP數(shù)據(jù)包結(jié)構(gòu)。 Code：指明EAP 包的4 種類型：Request、Response、Success、Failure Identifier：輔助進行Request 和Response 消息的匹配 Length：EAP包的長度，包含Code、Identifier、Length和Data域，單位為字節(jié) Data：EAP 包的內(nèi)容，由Code 類型決定 Success和Fail類型的包沒有Data域，相應Length域的值為4北郵在線Page17EAP數(shù)據(jù)報(續(xù)) EAP請求(Request)和回

9、應(Response)報文： 當EAP包為Request和Response類型時，其Data域的格式如下： Type為EAP的認證類型 值為1 時代表Identity，用來查詢對方的身份； 值為4 時代表MD5-Challenge，類似于PPP CHAP協(xié)議，包含質(zhì)詢消息 Type data的內(nèi)容隨Type值不同而不同北郵在線Page18EAP數(shù)據(jù)報(續(xù)) EAP成功(Success)和無效(Fail)報文： 當EAP包為Success和Fail類型時沒有Data域，其Length域的值為4 ： 成功報文由驗證者發(fā)給被驗證端，用于通告一個成功的認證結(jié)果。 如果驗證過程失敗，驗證者將向被驗證端發(fā)

10、送一個無效報文，通告一個無效的驗證結(jié)果。 成功報文和無效報文的Identifier值必須和回應報文的Identifier值一致。北郵在線Page19EAPOL數(shù)據(jù)報 EAPOL報文的二層報文頭：DMACSMACTYPEEAPOLFCS字段字段內(nèi)容內(nèi)容DMAC01-80-C2-00-00-03SMAC端口的物理MAC地址TYPEPAE Ethernet Type，指示協(xié)議類型北郵在線Page20EAPOL數(shù)據(jù)報(續(xù)) EAPOL數(shù)據(jù)報格式： PAE Ethernet Type：協(xié)議類型，值為0 x888E。 Protocol Version：指示EAPOL 幀的發(fā)送方所支持的協(xié)議版本號。 Typ

11、e：EAPOL數(shù)據(jù)包的類型。 Length：表示數(shù)據(jù)長度，即“Packet Body”字段的長度，單位為字節(jié)，0表示沒有后面的數(shù)據(jù)域。 Packet Body：表示數(shù)據(jù)內(nèi)容，根據(jù)不同的Type 有不同格式。北郵在線Page21EAPOL數(shù)據(jù)報(續(xù)) EAPOL數(shù)據(jù)包類型：Type值值報文類型報文類型0 x00EAP報文（EAP-Packet），用于承載認證信息0 x01EAPOL開始報文（ EAPOL-Start），發(fā)起認證0 x02EAPOL注銷報文（EAPOL-Logoff），退出請求0 x03EAPOL信息報文（EAPOL-Key）0 x04EAPOL告警報文（EAPOL-Encapsu

12、lated-ASF-Alert）北郵在線Page22目 錄NAC技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行過程協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page23802.1x協(xié)議運行過程 802.1x中繼方式認證流程：EAPoLAAARADIUSEAPoL-StartEAP-Request/IdentityClientEAP-Response/IdentityCMAccess-RequestAccess-ChallengeAccess-Challenge (EAP-Request / MD5 challenge)EAP-Request/MD5 c

13、hallenge EAP-Response/MD5 challengeAccess-Request (EAP-Response / MD5 challenge)Access-RequestAccess-RequestRADIUS Access-Accept(EAP-Success)EAP-Success 握手EAP-Request/Identity 握手EAP-Response/Identity EAPOL-Logoff表項申請北郵在線Page24802.1x協(xié)議運行過程(續(xù)) 802.1x終結(jié)方式認證流程：EAPoLAAARADIUSEAPoL-StartEAP-Request/Identi

14、tyClientEAP-Response/IdentityCMEAP-Request / MD5 challenge EAP-Response / MD5 challengeAccess-Request (EAP-Response/MD5 challenge)Access-RequestAccess-RequestRADIUS Access-Accept(EAP-Success)EAP-Success 握手EAP-Request/Identity 握手EAP-Response/Identity EAPOL-Logoff表項申請申請成功北郵在線Page25目 錄NAC技術(shù)簡介802.1x工作原理

15、EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page26 需要注意，NAC特性部署時與周邊交互的模塊比較多，各模塊間協(xié)同工作需要正確配置，若配置不當，常會導致認證失敗。802.1x業(yè)務(wù)配置基本組網(wǎng)S9300PCRADIUS服務(wù)器服務(wù)器0GE1/0/0打印機打印機GE2/0/1GE2/0/0VLANIF 200北郵在線Page27802.1x配置準備 配置思路：配置RADIUS服務(wù)器模板。 配置AAA認證模板。 配置域。 配置802.1x認證 需要準備如下數(shù)據(jù) ：RADIUS服務(wù)器IP地址、認證

16、端口號。 RADIUS服務(wù)器密鑰為hello，重傳次數(shù)為2。 AAA認證方案web1。 RADIUS服務(wù)器模版rd1。 域isp1 北郵在線Page28802.1x業(yè)務(wù)配置 配置步驟： 配置RADIUS服務(wù)器模板 Quidway radius-server template rd1 Quidway-radius-rd1 radius-server authentication 0 1812#配置RADIUS主用認證服務(wù)器的IP地址、端口 Quidway-radius-rd1 radius-server shared-key hello#配置RADIUS服務(wù)器密鑰 Quid

17、way-radius-rd1 radius-server retransmit 2#配置重傳次數(shù) Quidway-radius-rd1 quit北郵在線Page29802.1x業(yè)務(wù)配置(續(xù)) 配置認證方案，認證方案web1，認證方法為RADIUSl Quidway aaal Quidwayaaa authentication-scheme web1l Quidway-aaa-authen-1 authentication-mode radiusl Quidway-aaa-authen-1 quit 配置isp1域，綁定認證方式和RADIUS服務(wù)器模板l Quidway-aaa domain i

18、spl Quidway-aaa-domain-isp1 authentication-scheme web1l Quidway-aaa-domain-isp1 radius-server rd1北郵在線Page30802.1x業(yè)務(wù)配置(續(xù)) 配置802.1x認證l Quidway dot1x #全局使能802.1x認證l Quidway interface gigabitethernet1/0/0l Quidway-GigabitEthernet1/0/0 dot1x#在接口下使能802.1x認證 l Quidway-GigabitEthernet1/0/0 dot1x max-user 10

19、0#配置允許接入的最大用戶數(shù) l Quidway-GigabitEthernet1/0/0 dot1x mac-bypass#配置MAC旁路認證 完成北郵在線Page31802.1x業(yè)務(wù)配置(續(xù)) 其它可選配置：l dot1x authentication-method chap | eap | pap #配置dot1x認證模式l dot1x dhcp-trigger#使能DHCP報文觸發(fā)dot1x認證功能l dot1x handshake#開啟定時握手功能（默認使能）l dot1x quiet-period#開啟dot1x靜默功能l dot1x retry#配置報文交互時交換機向客戶端重發(fā)報

20、文的最大次數(shù)北郵在線Page32802.1x業(yè)務(wù)配置(續(xù)) 其它可選配置(續(xù))：l dot1x timer#配置各類定時器，確保有序交互l dot1x guest-vlan#配置接口guest vlan功能l dot1x port-control auto | authorized-force | unauthorized-force #配置端口控制模式ldot1x port-method mac | port #配置端口接入方式，即基于MAC（用戶）還是基于端口ldot1x reauthenticate#配置重認證，將該端口下通過認證的用戶定期進行重認證北郵在線Page33目 錄NAC技術(shù)簡介802.1x工作原理EAP和EAPOL802.1x協(xié)議運行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷基本故障診斷北郵在線Page34802.1x故障處理流程d o t 1 x 客 戶端 撥 號 失 敗確 認 全 局 和 接口 使 能 了 d o t 1 x進 行 正 確 配 置問 題 是 否 解 決確 認 客 戶 端 用戶 名 密 碼 正 確輸 入 正 確 用 戶名 密 碼 重 撥問 題 是 否 解 決確 認 鏈 路是 否 正 常處 理 鏈 路 故 障