18-802.1X配置 MyPower S4330 V1.0 系列交换机配置手册.docVIP

18-802.1X配置 MyPower S4330 V1.0 系列交换机配置手册.doc

  1. 1、本文档共17页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
802.1X配置 本手册著作权属迈普通信技术有限公司所有,未经著作权人书面许可,任何单位或个人不得以任何方式摘录、复制或翻译。 侵权必究。 策 划: 研究院 资料服务处 * * * 迈普通信技术有限公司 地址:成都市高新区九兴大道16号迈普大厦 技术支持热线:400-886-8669 传真:(+8628E-mail:support@ 网址: 邮编:610041 版本:2011年 8月v1.0版 目 录 第1章 配置802.1X 1 1.1 802.1X协议简介 1 1.1.1 802.1x认证系统 1 1.1.2 802.1x认证流程 3 1.1.3 和802.1x配合使用的特性 4 1.2 AAA配置 5 1.2.1 RADIUS服务器配置 5 1.2.2 本地用户配置 6 1.2.3 域配置 6 1.2.4 RADIUS特性配置 7 1.3 802.1X配置 9 1.3.1 EAP方式配置 9 1.3.2 功能开启配置 9 1.3.3 端口控制模式配置 10 1.3.4 重认证配置 10 1.3.5 守望功能配置 11 1.3.6 用户特性配置 11 1.3.7 配置基于端口认证模式下的主机模式 11 1.3.8 Guest VLAN功能配置 12 1.3.9 EAPOL报文透传功能配置 12 1.4 配置实例 13 配置802.1X 802.1X协议简介 802.1x是IEEE于2001年6月通过基于端口访问控制的接入管理协议标准。由于传统的局域网不提供接入认证,只要用户能接入局域网,就可以访问局域网中的设备和资源,这是一个安全隐患。对于移动办公,驻地网运营等应用,ISP希望能对用户的接入进行控制和配置。此外还存在计费的需求。 802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。 802.1x认证系统 系统要实现802.1X认证、授权计费过程需要具备一定的软硬件环境,归纳起来就是以下三个部分: 客户端(Supplicant System):是需要接入LAN,及享受交换机提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行IEEE 802.1X的认证客户端软件。 认证系统(Authenticator System):在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下发工作,并根据认证结果控制端口是否可用。就好像在客户和认证服务器之间充当了一个代理的角色。 认证服务器部分(Authentication Server):通常情况下指RADIUS服务器。RADIUS通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务。认证结束以后将结果下发给交换机。 图1-1 表现了这三个部分之间的关系。 802.1X认证系统 三个部分涉及到如下的基本概念: 1. PAE(Port Access Entity,端口访问实体) PAE是认证机制中负责执行算法和协议操作的实体。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端PAE负责响应设备端的认证请求,设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。 2. 受控端口 设备端为客户端提供接入局域网的端口,这个端口被划分为两个虚端口:受控端口和非受控端口。 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能过发出或接收认证。 受控端口在授权状态下处于连通状态,用于传递业务报文;在非授权状态下处于断开状态,禁止传递任何业务报文。 受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。 3. 受控方向 在非授权状态下,受控端口被设置成单向受控:实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。 4.端口受控方式 基于端口的认证:只要该物理端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其他用户也会被拒绝使用网络。 基于MAC 地址认证:该物理端口下的所有接入用户都需要单独认证,当某个用户下线时,也只有该用户无法使用网络。 802.1x认证流程 基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可

文档评论(0)

peace0308 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档