安全操作8

1、1目錄第1章802.1x配置配置............................................................................................................................................................21.1802.1x簡介....................................

2、.......................................................................................................................21.1.1802.1x標準簡介.....................................................................................

3、...................................................21.1.2802.1x體系結構........................................................................................................................................21.1.3802.1x的認證過程

4、....................................................................................................................................31.1.4802.1x在以太網(wǎng)交換機中的實現(xiàn).................................................................

5、...........................................31.2802.1x配置...........................................................................................................................................................41.2.1開啟關閉

6、802.1x特性.............................................................................................................................41.2.2設置端口接入控制的模式......................................................................

7、..................................................41.2.3設置端口接入控制方式............................................................................................................................51.2.4檢測通過代理登錄交換機的用戶..........

8、..................................................................................................51.2.5設置端口接入用戶數(shù)量的最大值......................................................................................................

9、......61.2.6設置允許DHCP觸發(fā)認證......................................................................................................................61.2.7設置802.1x用戶的認證方法.........................................................

10、.........................................................61.2.8設置認證請求幀的最大可重復發(fā)送次數(shù)................................................................................................71.2.9設置802.1x的握手報文的發(fā)送時間間隔..................

11、............................................................................71.2.10配置定時器參數(shù)..................................................................................................................................

12、...71.2.11打開關閉quietperiod定時器.............................................................................................................81.3802.1x的顯示和調試...................................................................

13、........................................................................81.4802.1x典型配置舉例....................................................................................................................................

14、.......9第2章AAA和RADIUS協(xié)議配置協(xié)議配置................................................................................................................................122.1AAA和RADIUS協(xié)議簡介............................................

15、....................................................................................122.1.1AAA概述............................................................................................................................

16、......................122.1.2RADIUS協(xié)議概述..................................................................................................................................122.1.3AAARADIUS在以太網(wǎng)交換機中的實現(xiàn)........................

17、.....................................................................132.2AAA配置.............................................................................................................................................

18、................132.2.1創(chuàng)建刪除ISP域....................................................................................................................................132.2.2配置ISP域的相關屬性.......................................

19、..................................................................................142.2.3創(chuàng)建本地用戶.............................................................................................................................

20、.............152.2.4設置本地用戶的屬性..............................................................................................................................152.2.5強制切斷用戶連接..................................................

21、................................................................................162.3RADIUS協(xié)議配置.............................................................................................................................

22、.................162.3.1創(chuàng)建刪除RADIUS服務器組...............................................................................................................172.3.2設置RADIUS服務器的IP地址和端口號............................................

23、...............................................172.3.3設置RADIUS報文的加密密鑰.............................................................................................................182.3.4設置RADIUS服務器響應超時定時器.................

24、................................................................................182.3.5設置RADIUS請求報文的最大傳送次數(shù).............................................................................................192.3.6設置實時計費間隔......

25、............................................................................................................................192.3.7設置允許實時計費請求無響應的最大次數(shù).......................................................................

26、...................202.3.8使能停止計費報文緩存功能..................................................................................................................202.3.9停止計費報文最大重發(fā)次數(shù)設置...............................................

27、...........................................................212.3.10設置支持何種類型的RADIUS服務器..............................................................................................212.3.11設置RADIUS服務器的狀態(tài)...................

28、...........................................................................................212.3.12設置發(fā)送給RADIUS服務器的用戶名格式......................................................................................223圖11802.1x體系結

29、構1.1.3802.1x的認證過程802.1x通過EAP幀承載認證信息。標準中共定義了如下幾種類型的EAP幀：?EAPPacket：認證信息幀，用于承載認證信息。?EAPoLStart：認證發(fā)起幀，Supplicant主動發(fā)起的認證發(fā)起幀。?EAPoLLogoff：退出請求幀，主動終止已認證狀態(tài)。?EAPoLKey：密鑰信息幀，支持對EAP報文的加密。?EAPoLEncapsulatedASFAlert：用于支持AlertStardFu

30、m（ASF）的Alerting消息。其中EAPoLStart、EAPoLLogoff和EAPoLKey僅在Supplicant和Authenticat間存在；EAPPacket信息由AuthenticatSystem重新封裝后傳遞到AuthenticationServerSystem；EAPoLEncapsulatedASFAlert與網(wǎng)管信息相關，由Authenticat終結。由上述的原理我們可以看到，802.1x提供了一個用戶身份認

31、證的實現(xiàn)方案，但是僅僅依靠802.1x是不足以實現(xiàn)該方案的——接入設備的管理者還要對AAA方法進行配置，選擇使用RADIUS或本地認證方法，以配合802.1x完成用戶的身份認證。AAA方法的具體配置細節(jié)，請參見本書的“AAA和RADIUS協(xié)議配置”章節(jié)。1.1.4802.1x在以太網(wǎng)交換機中的實現(xiàn)Quidway系列以太網(wǎng)交換機在802.1x的實現(xiàn)中，不僅支持協(xié)議所規(guī)定的端口接入認證方式，還對其進行了擴展、優(yōu)化：?支持一個物理端口下掛接多

32、個用戶的應用場合；?接入控制方式（即對用戶的認證方式）不僅可以基于端口，還可以基于MAC地址。這樣可極大地提高系統(tǒng)的安全性和可管理性。1.2802.1x配置802.1x本身的各項配置任務都可以在以太網(wǎng)交換機的系統(tǒng)視圖下完成。當全局802.1x沒有開啟時，可以對端口的802.1x狀態(tài)進行配置，其配置項會在開啟全局802.1x后生效。?說明：(1)請不要同時啟動802.1x與RSTP（或MSTP），兩者同時啟動時不能保證交換機的正常工作。(

33、2)如果端口啟動了802.1x，則不能配置該端口的最大MAC地址學習個數(shù)（通過命令macaddressmaxmaccount配置），反之，如果端口配置了最大MAC地址學習個數(shù)，則禁止在該端口上啟動802.1x。802.1x的配置包括：?開啟關閉802.1x特性?設置端口接入控制的模式?設置端口接入控制方式?檢測通過代理登錄交換機的用戶?設置端口接入用戶數(shù)量的最大值?配置802.1x用戶的認證方法?設置允許DHCP觸發(fā)認證?設置認證請求幀