NAC配置与管理——2

802.1x认证配置与管理

通过配置802.1x认证可以实现基于接口的用户接入控制，但802.1x认证只提供了一个用户身份认证的实现方案，为了完成用户的身份认证还需要选择使用RADIUS或本地认证方法。因此，需要首先完成以下配置任务：

（1）配置用户所属的ISP认证域及其使用的AAA方案，即本地认证方案或RADIUS方案。

（2）如果需要通过RADIUS服务器进行认证，则应该在RADIUS服务器上配置相应的用户名和密码；如果需要本地认证，则应该在网络接入设备上手动添加认证的用户名和密码。

802.1x认证可配置的任务如下（仅第一项为必选）

（1）使能802.1x认证功能。

（2）（可选）配置接口授权状态

（3）（可选）配置接口接入控制方式。

（4）（可选）陪孩子用户认证方式。

（5）（可选）使能MAC旁路认证功能。

（6）（可选）配置接口允许接入的最大802.1x认证用户数。

（7）（可选）配置802.1x认证的定时器

（8）（可选）配置802.1x认证的静默功能。

（9）（可选）配置对802.1x认证用户进行重认证。

（10）（可选）配置802.1x在线用户握手功能。

（11）（可选）配置GuestVLAN功能。

（12）（可选）配置RestrictVLAN功能。

（13）（可选）配置CriticalVLAN功能。

（14）（可选）配置802.1x认证的接口Open功能。

（15）（可选）配置允许DHCP报文触发802.1x认证。

（16）（可选）配置单播报文触发802.1x认证。

（17）（可选）配置802.1x快速部署功能。

（18）（可选）配置用户组功能。

一、使能802.1x认证功能

只有同时使能全局和接口上的802.1x认证功能，802.1x的其他配置才能在接口上生效。

二、（可选）配置接口授权状态

通过配置接口的授权状态，可以控制接入用户是否需要经过认证来访问网络资源。华为S系列交换机接口支持3种802.1x认证授权状态。

（1）自动识别模式（auto）：接口初始状态为非授权状态，仅允许收发EAPOL报文，不允许用户访问网络资源；认证通过后接口切换到授权状态，允许用户访问网络资源。

（2）强制授权模式（authorized-force）：接口始终处于授权状态，允许用户不经认证授权即可访问网络资源。仅适用于信任客户所连接的接口。

（3）强制非授权模式（unauthotiaed-force）：接口始终处于非授权状态，不允许用户访问网络资源。仅适用于非信任客户端所连接的接口。

接口授权状态可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口配置，但都是针对接口进行配置的。

三、（可选）配置接口接入控制方式

在使能802.1x认证功能后，设备支持两种接口接入控制方式（当有802.1x用户在线时，不允许更改对应的接口接入控制方式）。

（1）基于接口方式：在这种接入控制方式下，该接口下的第一个用户认证成功后，其他接入用户无需认证即可直接接入网络。但同时，当该认证成功的用户下线后，其他用户也将被拒绝接入网络。此接入控制方式适用于均需要通过认证的集团用户。

（2）基于MAC地址方式：接口下的所有接入用户均需单独认证，当某个用户下线时，不影响其他用户接入网络。此接入控制方式比较适合零散用户。

接口接入控制方式可在系统视图下为多个接口进行批量配置，或在具体的接口视图下为单个接口配置。

四、（可选）配置用户认证方式

在802.1x认证中，用户通过EAP报文与设备端交互认证信息，而设备端对EAP报文采用“EAP中继”和“EAP终结”两种方式与RADIUS服务器交互认证信息。

具体采用EAP终结还是EAP中继，将取决于RADIUS服务器的处理能力。如果RADIUS服务器的处理能力比较强，能够解析大量用户的EAP报文后再进行认证，可以采用EAP中继方式；如果RADIUS服务器处理能力不是很好，同时又需要解析大量EAP报文并完成认证，建议采用EAP终结方式，由设备端帮助RADIUS服务器完成前期的EAP解析工作。但只有采用RADIUS协议作为认证服务器时，802.1x用户的认证方式才可以配置为EAP中继方式。

用户认证方式只能在系统视图下全局配置，只需在系统视图下使用dot1x Authentication-method {chap | eap | pap}命令即可。

（1）chap：指定采用CHAP的EAP终结认证方式。

（2）eap：指定采用EAP中继认证方式。

（3）pap：指定采用PAP的EAP终结认证方式。

缺省情况下，802.1x用户认证方式为CHAP认证。

五、（可选）使能MAC旁路认证功能

对于无法安装和无法使用802.1x客户端软件的终端（如打印机），可使能MAC旁路认证功能，使这些用户在802.1x认证过程中使用用户的MAC地址作为用户名和密码上送至认证服务器进行MAC认证。

在未使能802.1x功能的接口上配置了MAC旁路认证功能后，将会同时使能接口的802.1x认证功能，且首先尝试的还是802.1x认证，因为此时的MAC认证仅是802.1x认证失败后的一种额外认证方式选择（这也就是“旁路”的含义）。但在使能了MAC旁路认证功能的接口下，如果想要使那些无法安装和使用802.1x客户端的终端快速地通过认证，则还可开启“旁路认证过程中优先进行MAC认证”功能，使接口优先对这些用户进行MAC认证，仅在MAC认证失败后才触发802.1x认证，以提高用户认证通过效率。

MAC旁路认证功能可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口配置。

六、（可选）配置接口允许接入的最大802.1x认证用户数

考虑到设备性能的限制，可配置每个接口允许接入的最大802.1x认证用户数量，以限制并发访问的802.1x认证用户数。这样，当通过认证的用户数达到配置的最大数时，接口的后续用户的802.1x认证请求将直接丢弃。但在配置接口允许接入的最大用户数量之前，若该接口下的在线用户数量已经超过此最大值，此时不会影响在线用户，只会限制后续请求接入的用户。

此功能只在接口的接入控制方式为基于MAC地址方式时有效。当接口接入模式为基于接口方式时，接口允许接入的最大用户数量将自动设置为1，因为此时接口只需一个用户认证成功，其他用户无需认证即可上线。

接口允许接入的最大802.1x认证用户数可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口配置。

七、（可选）配置802.1x认证的定时器

802.1x在运行过程中会启动以下多个定时器以控制客户端、设备端和服务器端之间的报文交互（建议保持这些定时器的缺省值）。

（1）认证服务器超时定时器（server-timeout）：当设备向认证服务器发送RADIUSAccess-Request请求报文后，设备端启动此定时器。若在该定时器设置的时长内，设备端未收到认证服务器的响应，则将重发认证请求报文。

（2）客户端认证超时定时器（clinet-timeout）：当设备端向客户端发送了EAP-Request/MD5Challenge请求报文后，设备端启动此定时器。若在该定时器设置的时长内，设备端没有收到客户端的响应，则设备端将重发该报文。

（3）用户名请求超时定时器（tx-period）：该定时器定义了两个时间间隔。一个是在客户端主动发起认证的情况下，当设备端向客户端发送EAP-Request/Identity请求报文后，设备端启动该定时器。如果在该定时器设置的时间间隔内设备端没有收到客户端的响应，则设备端将向客户端重发认证请求报文。另一个是为兼容不主动发送EAPOL-Start连接请求报文的客户端，设备端会定期以组播方式发送EAP-Request/Identity请求报文来检测客户端。

以上三种802.1x认证定时器缺省均为开启的，配置方法在系统视图下使用 dot1x timer {client-timeout clinet-timeout-value | server-timeoutserver-timeout-value | tx-period tx-period-value}命令配置即可。

八、（可选）配置802.1x认证的静默功能

为了阻止那些非法用户频繁地进行认证尝试，可以在设备端使能静默功能，这样某一802.1x用户在60s内认证失败的次数超过规定的值时就会将该用户静默一段时间，阻止该用户继续尝试认证，在静默周期内直接丢弃该用户的802.1x认证请求。

802.1x认证静默功能是在系统视图下全局配置的（不是针对具体接口配置的）。

九、（可选）配置对802.1x认证用户进行重认证

如果管理员在认证服务器上修改了某一用户的信息，从而更改用户的访问权限、授权属性等参数，此时如果用户已经在线，则需要及时对该用户进行重认证，以确定用户的合法性。

对802.1x用户进行重认证有两种方式：（1）对指定接口下所有在线802.1x用户进行周期重认证；（2）对指定MAC地址的在线802.1x用户进行重认证，且仅进行一次重认证。

配置对802.1x用户进行重认证功能后，设备将会把保存的在线用户的认证参数发送到认证服务器进行重认证。如果认证服务器上用户的认证信息没有变化，则用户正常在线；如果用户的认证信息已更改，则该用户会被下线，然后需要用户根据更改后的认证参数重新进行接入认证。

对802.1x认证用户进行重认证可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

十、（可选）配置802.1x在线用户握手功能

为了确保设备端及时了解在线用户情况，可配置在线用户握手功能。这样设备将定期向通过802.1x认证的用户发送握手请求报文，如果用户在最大重传次数内没有应答，设备端就会主动将用户置为下线状态，以减少被这些用户保持的在线资源消耗。

如果802.1x客户端不支持与设备进行握手报文的交互，则握手周期内设备将不会收到握手回应报文。因此，为了防止设备错误地认为用户下线，需要将在线用户握手功能关闭。

802.1x在线用户握手功能也是需要在系统视图下全局配置的（不是针对具体接口配置）。

十一、（可选）配置Guest VLAN功能

当Guest VLAN功能开启之后，设备允许用户在未进行802.1x认证的情况下即可访问Guest VLAN中的资源，比如获取客户端软件等。

Guest VLAN功能可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

十二、（可选）配置Restrict VLAN功能

为了满足用户在认证失败时也能够访问某些网络资源的需求，比如更新病毒库等。可在设备接口上配置Restrict VLAN，使用户在认证失败时被加入Restrict VLAN进而能够访问Restrict VLAN中的资源。

这里“认证失败”是指认证服务器因某种原因而明确拒绝用户认证通过，比如用户密码错误，而不是认证超时或网络连接断开等原因造成的认证失败。

Restrict VLAN功能可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

十三、（可选）配置Critical VLAN功能

配置CriticalVLAN功能之后，在接入设备与认证服务器之间的网络或者认证服务器出现故障时，802.1x认证用户将被加入Critical VLAN进而能够访问Critical VLAN中的资源。

只有Hybrid接口才能配置CriticalVLAN，trunk接口和access接口上配置Critical VLAN均不生效。

Critical VLAN功能可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

十四、（可选）配置802.1x认证的接口Open功能

在802.1x网络部署初期（在正式使用时不要配置此项功能），管理员需要宏观地掌握网络中准备接入的用户数量、用户的认证方式、接入用户证书有效性等信息，这时可使能接口的Open功能。这样设备端允许该接口的用户不需经过认证过程即可接入网络以便管理员获取其所需信息。

Open功能仅在基于MAC地址接入控制方式下支持，支持正常上线用户的动态VLAN授权，不支持Guest-vlan授权。开启端口Open功能后，仅支持RADIUS远端认证，不支持本地、TACACS认证以及Portal认证。

802.1x认证的接口Open功能可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

十五、（可选）配置允许DHCP报文触发802.1x认证

在802.1x认证网络中，如果存在用户使用PC操作系统（如Windows Xp）自带的802.1x客户端，则这些用户将不能主动触发认证。这时，可为采用DHCP服务器自动IP地址的环境中配置允许DHCP报文触发802.1x认证功能。在使能允许DHCP报文触发802.1x认证后，设备端在收到用户的DHCP请求报文即触发对用户的802.1x认证，此时用户终端将自动弹出操作系统自带的802.1x认证界面。用户按照提示输入用户名和密码即可进行认证。

另外，通过使能DHCP报文触发802.1x认证功能，可使用户能够利用操作系统自带的802.1x客户端进行认证，认证通过后用户即可访问802.1x客户端下载界面下载并安装802.1x客户端软件，这将有助于快速部署网络。

配置允许DHCP报文触发802.1x认证的方法，只需在系统视图下使用dot1x dhcp-trigger命令使能DHCP报文触发802.1x认证功能即可。

十六、（可选）配置单播报文触发802.1x认证

在802.1x认证网络中，如果存在用户使用PC操作系统自带的802.1x客户端，则该用户将不能主动触发认证。此时可配置单播报文触发802.1x认证功能，使设备端在接收到客户端发送的ARP或DHCP请求报文时，就可以主动向该客户端发送单播认证报文，以触发认证。用户PC在收到设备发来的认证报文后，会自动弹出操作系统自带的802.1x认证界面。用户按照提示输入用户名和密码即可进行认证。

同样，通过使能单播报文触发802.1x认证功能，也可使这类用户能够利用操作系统自带的802.1x客户端进行认证，认证通过后用户即可访问802.1x客户端下载界面下载并安装802.1x客户端软件，这将有助于快速部署网络。

单播报文触发802.1x认证功能可在系统视图下为多个接口进行批量配置，或在接口视图下为单个接口具体配置。

十七、（可选）配置802.1x快速部署功能

因为在802.1x认证网络部署中，每个客户端都必须安装802.1x客户端软件。如果要为每一个接入用户下载、升级802.1x客户端软件，则工作量可能非常大。这时，可通过为用户配置免认证IP（free-ip）网段和用户HTTP访问URL重定向功能，实现用户802.1x客户端的快速部署。

配置了免认证IP网段功能后，GuestVLAN、Critical VLAN以及Restrict VLAN功能将不再生效。

802.1x快速部署功能需要在系统视图下全局配置。

十八、（可选）配置用户组功能

在NAC实际应用场景中，接入用户数量众多但用户类别却是有限的。针对这种情况，可在设备上创建用户组，并使每个用户组关联到一组ACL规则，则同一组内的用户将共用一组ACL规则。这时，可为用户组配置优先级以及VLAN，不同用户组内的用户即具有了不同的优先级以及网络访问权限。这将使管理员更灵活的管理用户。

用户组功能是系统视图下全局配置的。

十九、802.1x认证配置管理

（1）displaydot1x [ statistcs] [ interface { interface-type interface-number1 [ tointerface-number2]} &<1-10>]：查看802.1x的配置信息。

（2）displaymac-address { Authen | guest} [interface-type interface-number | vlan vlan-id]*[verbose]：查看系统当前存在的authen类型或guest类型的MAC地址表项。

（3）displayuser-group [group-name]：查看用户组的相关配置信息。

（4）displayaccess-user user-group group-name：查看与用户组绑定的所有用户的简要信息。

二十、802.1x认证配置示例

如上拓扑，某公司内部大量用户终端通过Switch的GE0/0/1接口接入网络。在该网络运行一段时间后，发现存在用户对公司内网进行攻击的现象。为了确保网络的安全性，管理员对用户终端的网络访问权限采用802.1x认证方式进行控制，只有用户终端通过认证后Switch才允许其访问Internet中的资源。

1、基本配置思路分析

802.1x只是一种实现网络接入控制的实现方案，具体的接入控制认证还需要通过具体的本地或远程认证服务器来完成。本例采用基于远程RADIUS服务器（如图中IP为192.168.2.30的服务器）的802.1x认证方案。因为网络中有不支持802.1x客户端的打印机设备，所以还需要在对应接口上使能MAC旁路认证。

为了减轻管理员的客户端部署压力可选配置快速部署功能，所以在网络中专门架设了用于客户端自行下载客户端软件等资源的Web服务器（如图中192.168.3.0/24网段中的各服务器），并设置URL重定向功能，把用户通过认证前所访问的URL重定向到以上提供免费资源的Web服务器URL上（假设为http://www.123.com.cn）。还可配置并发802.1x认证用户数限制。具体配置思路：

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域，并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Switch与RADIUS服务器之间的信息交互。

（2）使能全局与接口的802.1x认证功能；使能MAC旁路认证功能，保证了无法安装和使用802.1x认证的终端（如打印机）能够通过认证。

（3）配置802.1x快速部署功能，实现用户802.1x客户端的快速部署。

（4）（可选）配置接口允许接入的最大802.1x认证用户数为200，防止过多的用户同时接入网络；配置向用户发送认证请求报文的最大次数为3次，防止用户不停地进行认证。

2、具体配置步骤

（1）创建并配置RADIUS服务器模板、AAA方案以及ISP域。

<Huawei>system-view

[Huawei]radius-server template rd1 #--创建RADIUS服务器模板rd1

[Huawei-radius-rd1]radius-serverauthentication 192.168.2.30 1812 #--指定RADIUS服务器地址为192.168.2.30，端口为1812

[Huawei-radius-rd1]radius-server shared-keycipher hello #---指定与RADIUS服务器通信的验证密码为hello

[Huawei-radius-rd1]radius-server retransmit2 #---设置RADIUS请求报文可以超时重传的次数为2次。

[Huawei-radius-rd1]quit

[Huawei]aaa   #---进入AAA视图

[Huawei-aaa]authentication-scheme abc #---创建AAA认证授权方案abc

[Huawei-aaa-authen-abc]authentication-moderadius #---指定采用RADIUS服务器进行认证

[Huawei-aaa-authen-abc]quit

[Huawei-aaa]domain isp1  #---创建ISP域“isp1”

[Huawei-aaa-domain-isp1]authentication-schemeabc  #---指定采用名为abc的AAA认证授权方案

[Huawei-aaa-domain-isp1]radius-serverrd1  #---指定采用RADIUS服务器模板rd1

[Huawei-aaa-domain-isp1]quit

[Huawei-aaa]quit

（2）全局和接口使能802.1x认证，在接口上使能MAC旁路认证，并限制并发802.1x认证用户数为200，最多向用户发送认证请求报文3次。

[Huawei]dot1x enable  #---在全局下使能802.1x认证

[Huawei]interface Gigabitethernet0/0/1

[Huawei-Gigabitethernet0/0/1]dot1xenable  #---在接口下使能802.1x认证

[Huawei-Gigabitethernet0/0/1]dot1xmac-bypass #---配置MAC旁路认证

[Huawei-Gigabitethernet0/0/1]dot1x max-user200  #---配置接口允许接入的最大802.1x认证用户数为200

[Huawei-Gigabitethernet0/0/1]quit

[Huawei]dot1x retry 3  #---配置向用户发送认证请求报文的最大次数为3次。

（3）配置802.1想快速部署功能。

[Huawei]dot1x free-ip 192.168.3.0 24  #---配置免认证IP网段，使用户在通过认证前可以访问这里面的资源

[Huawei]dot1x url http://www.123.com.cn  #---重定向用户访问URL

         配置好后，执行displaydot1x interface任意视图命令查看802.1x的配置信息。