- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
802.1X配置
本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。
侵权必究。
策 划: 研究院 资料服务处
* * *
迈普通信技术有限公司
地址:成都市高新区九兴大道16号迈普大厦
技术支持热线:400-886-8669
传真:(+8628E-mail:support@
网址:
邮编:610041
版本:2011年 8月v1.0版
目 录
第1章 配置802.1X 1
1.1 802.1X协议简介 1
1.1.1 802.1x认证系统 1
1.1.2 802.1x认证流程 3
1.1.3 和802.1x配合使用的特性 4
1.2 AAA配置 5
1.2.1 RADIUS服务器配置 5
1.2.2 本地用户配置 6
1.2.3 域配置 6
1.2.4 RADIUS特性配置 7
1.3 802.1X配置 9
1.3.1 EAP方式配置 9
1.3.2 功能开启配置 9
1.3.3 端口控制模式配置 10
1.3.4 重认证配置 10
1.3.5 守望功能配置 11
1.3.6 用户特性配置 11
1.3.7 配置基于端口认证模式下的主机模式 11
1.3.8 Guest VLAN功能配置 12
1.3.9 EAPOL报文透传功能配置 12
1.4 配置实例 13
配置802.1X
802.1X协议简介
802.1x是IEEE于2001年6月通过基于端口访问控制的接入管理协议标准。由于传统的局域网不提供接入认证,只要用户能接入局域网,就可以访问局域网中的设备和资源,这是一个安全隐患。对于移动办公,驻地网运营等应用,ISP希望能对用户的接入进行控制和配置。此外还存在计费的需求。
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x认证系统
系统要实现802.1X认证、授权计费过程需要具备一定的软硬件环境,归纳起来就是以下三个部分:
客户端(Supplicant System):是需要接入LAN,及享受交换机提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行IEEE 802.1X的认证客户端软件。
认证系统(Authenticator System):在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下发工作,并根据认证结果控制端口是否可用。就好像在客户和认证服务器之间充当了一个代理的角色。
认证服务器部分(Authentication Server):通常情况下指RADIUS服务器。RADIUS通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务。认证结束以后将结果下发给交换机。
图1-1 表现了这三个部分之间的关系。
802.1X认证系统
三个部分涉及到如下的基本概念:
1. PAE(Port Access Entity,端口访问实体)
PAE是认证机制中负责执行算法和协议操作的实体。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端PAE负责响应设备端的认证请求,设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。
2. 受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。
非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能过发出或接收认证。
受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何业务报文。
受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
3. 受控方向
在非授权状态下,受控端口被设置成单向受控:实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
4.端口受控方式
基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。
基于MAC 地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可
您可能关注的文档
- 【图集】最有创意的巴士广告.doc
- 【图集】用iPhone 4拍摄的精美照片.doc
- 【自由之城】BOSSAI设计文档 游戏设计策划方案.docx
- 【自配精美多图】生前必去的十大旅游景点【竟然没有中国】.doc
- 【图集】真切而显露才华的绘图作品.doc
- 【自由之城】强化镶嵌系统 游戏设计策划方案.docx
- 【自由之城】好友系统 游戏设计策划方案.docx
- ×××公司员工手册.doc
- ×××公司制度汇编.doc
- 01-SHK-220(A)湿法混合制粒机清洗验证.doc
- 剧本杀行业报告:内容创作规范与剧本市场拓展策略.docx
- 剧本杀行业区域市场区域文化特色与市场潜力分析报告.docx
- 剧本杀行业区域市场拓展实战案例研究.docx
- 剧本杀行业区域市场拓展路径与模式探索报告.docx
- 剧本杀行业区域市场竞争态势与品牌差异化策略研究报告.docx
- 剧本杀行业2025年西北区域市场市场细分领域竞争态势与品牌竞争策略分析研究报告.docx
- 剧本杀行业2025年西北市场拓展前景预测报告.docx
- 剧本杀行业2025年长沙市场发展潜力分析报告.docx
- 剧本杀行业2025年长三角市场竞争策略与布局分析.docx
- 医疗行业数据合规:2025年数据安全法实施后的合规监管挑战与应对.docx
最近下载
- 螺杆空气压缩机排气含油量高原因分析和解决措施.pptx VIP
- GBT51121-2015 风力发电工程施工与验收规范.doc VIP
- 螺杆压缩机排气温度高原因分析.doc VIP
- 部编版(2024)道德与法治一年级下册道德与法治第二单元《我们一起长大》全单元教学课件.pptx
- 合成氨压缩机温度波动原因分析.docx VIP
- 2024年03月云南省特种设备安全检测研究院人员招考聘用编制外工作人员9人笔试历年高频考点(难、易错点荟萃)附带答案详解.docx VIP
- 学堂在线大国航母与舰载机2025秋答案.docx
- 离心式压缩机轴瓦温度波动原因探析及解决措施.pdf VIP
- TCBDA55-2021住宅室内装饰装修工程质量验收标准.pdf VIP
- T/CSPSTC 41-2019钢结构建筑施工测量及监测技术规范.pdf
文档评论(0)