X基本配置指引安奈特.PDF

802.1X 基本配置指南 （适用）运行 AlliedWare TM 的交换机和路由器 ATC-TS1017 V1.0 2005-12-1 802.1X 基本配置指南 1. 概述 本文介绍如何实现安奈特三层交换机 802.1X 的基本配置。 2. 实施需求 正确实现该功能有以下实施需求： 运行 AlliedWare TM 的交换机和路由器。 software release 2.6.1 以上。 3. 802.1X 介绍 802.1X 是由 IEEE 提出的一种针对 LAN 环境下，对连接设备进行认证授权的机制。任何设备希 望访问 802.1X 控制端口之后服务，必须先正确地通过认证，否则访问将被拒绝。 3.1 802.1X 系统组件 802.1x 端口控制系统由三个主要组件组成： 认证者（Authenticator ） 认证者是在允许用户通过该端口访问服务之前“施加”身份验证行为的端口 请求者 (Supplicant) 请求者是“请求”通过认证者的端口对服务进行访问的端口。 验证服务器 (Authentication Server) 验证服务器执行身份验证功能，它代表认证者检查请求者的凭据。身份验证服务器然后向认证 者做出响应，指出请求者是否可以得到授权，以对认证者的服务加以访问。 Connecting The IP World 第 2 页 802.1X 基本配置指南 Allied Telesyn 支持 802.1X 设备端口可实现的角色有三种： 认证者 请求者 认证者或请求者 3.2 认证过程 扩展身份验证协议（Extensible Authentication Protocol，EAP）是一个支持身份验证信息通过 多种机制进行通信的协议。利用 802.1X，EAP 可以用来在请求者和身份验证服务器之间传递验证信 息。这意味着 EAP 消息需要通过 LAN 介质直接进行封装。EAP over LAN （EAPOL）即是出于此 目的而定义的。认证者负责在请求者和身份验证服务器之间转递消息。身份验证服务器可以是一台 远程身份验证拨入用户服务（Remote Authentication Dial In User Service，RADIUS）服务器。 认证基本过程如下： 认证者或请求者均能初始化一个认证信息交换。如是认证者发起，则由认证者发送一个 EAP - Request/Identity （请求/身份）消息给请求者。如果是请求者发起，请求者发送一个 EAPOL- Start （开始）消息给认证者，认证者则用EAP - Request/Identity 消息响应。 请求者发送一个 EAP - Response/Identity （响应/身份）以及它的身份给认证者。认证者将收到 的消息转发给身份验证服务器。 身份验证服务器利用一个包含口令问询的 EAP - Request 消息通过认证者对请求者做出响应。 请求者通过认证者将它对口令问询的响应发送给身份验证服务器。 如果身份验证通过，验证服务器将通过认证者发送一个 EAP - Success 响应给申请者。认证者 可以使用该“Success”（成功）响应将受控制端口的状态设置为“已授权”。 基本认证过程信息交换如图 1： Connecting The IP World 第 3 页 802.1X 基本配置指南 图 1 4. 配置实例实现环境 AR410 ，Software release 2.6.1-08 Rapier 24i ,Software release 2.6.1-13 Radius Server ：Windows 2000 Server+SP3 自带Internet Authentication Service Connecting The IP World