(精品)BHBIN_网络知识和基础操作分册_第六章_802.1x认证技术.ppt

《(精品)BHBIN_网络知识和基础操作分册_第六章_802.1x认证技术.ppt》由会员分享，可在线阅读，更多相关《(精品)BHBIN_网络知识和基础操作分册_第六章_802.1x认证技术.ppt（71页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x认证的原理和过程认证的原理和过程几种认证方式的优缺点几种认证方式的优缺点802.1802.1x x认证在港湾网络解决方案中的应用认证在港湾网络解决方案中的应用典型案例介绍典型案例介绍 课程目标课程目标Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6- 802.1802.1x x起源于起源于EAPoWEAPoW，802.11802.11 802.1x802.1x是是IEEEIEEE为为了了

2、解解决决基基于于端端口口的的接接入入控控制制（Port-Based Port-Based Network Access ControlNetwork Access Control）而定义的一个标准而定义的一个标准 可以加强传统园区网安全性特性，适用于以太接入运营网的可以加强传统园区网安全性特性，适用于以太接入运营网的安全认证，廉价而且易于实现安全认证，廉价而且易于实现 协议状态：协议状态：Draft 11Draft 11，协议号已经分配协议号已经分配 世界著名网络厂家都在加紧研究世界著名网络厂家都在加紧研究 Windows XPWindows XP支持客户端支持客户端协议的开发背景协议的开发背

3、景802.1802.1x x认证的原理和过程认证的原理和过程Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-客户端客户端认证系统认证系统认证服务器认证服务器802.1802.1x x协议的体系结构协议的体系结构802.1802.1x x认证的原理和过程认证的原理和过程Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-端口的类型端口的类型设备的每个端口同时有设备的每个端口同时有Controlled Controlled 和和 UncontrolledUncontrolled两个通道两个通道ControlledControlled通道受配置

4、寄存器或者认证前后软件的控制通道受配置寄存器或者认证前后软件的控制UncontrolledUncontrolled通道主要用于传送认证的协议报文通道主要用于传送认证的协议报文Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-受控端口的状态变化受控端口的状态变化用户未通过认证时，受控端口处于开路，端口状态为未认证用户未通过认证时，受控端口处于开路，端口状态为未认证状态，此时交换机的交换功能是关闭的，如果用户有业务报状态，此时交换机的交换功能是关闭的，如果用户有业务报文是无法通过的文是无法通过的用户通过认证后，受控端口闭合，端口状态为通过认证状态，用户通过认证后，受控端

5、口闭合，端口状态为通过认证状态，此时交换机的交换功能打开，用户的业务报文就可以顺利通此时交换机的交换功能打开，用户的业务报文就可以顺利通过过 Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-USERUSERUSERUSERUSERUSER基于物理端口基于物理端口基于全程基于全程VLANVLAN基于用户设备基于用户设备MACMAC小区中心小区中心楼栋楼栋楼道楼道端口控制方式端口控制方式Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x中的名词定义中的名词定义SupplicantSupplicant客户端客户端客客

6、户户端端指指LANLAN所所连连接接的的一一端端的的实实体体，它它向向认认证证系系统统发发起起请求，对其身份的合法性进行检验请求，对其身份的合法性进行检验 AuthenticatorAuthenticator认证系统认证系统认认证证系系统统指指在在LANLAN连连接接的的一一端端用用于于认认证证另另一一端端设设备备的的实实体体Authentication ServerAuthentication Server认证服务器认证服务器认认证证服服务务器器指指为为认认证证系系统统提提供供认认证证服服务务的的实实体体。这这里里认认证证服服务务器器所所提提供供的的服服务务是是指指通通过过检检验验客客户户端

7、端发发送送来来的的身身份份标标识识，来来判判断断该该请请求求者者是是否否有有权权使使用用认认证证系系统统所提供的网络服务所提供的网络服务Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.802.1 1X X中的名词定义（续中的名词定义（续）Network Access PortNetwork Access Port网络访问端口网络访问端口网网络络访访问问端端口口指指用用户户系系统统连连接接到到LANLAN的的访访问问端端口口。访访问问端端口口可可以以是是物物理理端端口口，例例如如连连接接到到用用户户的的网网络络设设备备端端口；也可以是逻辑端口，例如用户设备的

8、口；也可以是逻辑端口，例如用户设备的MACMAC地址地址Port Access Entity(PAE)Port Access Entity(PAE)端口访问实体端口访问实体指指一一个个端端口口的的相相关关协协议议实实体体。PAE PAE 能能够够支支持持的的功功能能包包括括：客客户户端端（SupplicantSupplicant）完完成成的的功功能能、认认证证系系统统（AuthenticatorAuthenticator）完成的功能或者两者功能同时具备完成的功能或者两者功能同时具备SystemSystem系统系统系系统统是是指指通通过过一一个个或或更更多多端端口口连连接接到到LANLAN的的设

9、设备备，例例如如：终端、服务器、交换机或路由器等设备都称为系统终端、服务器、交换机或路由器等设备都称为系统Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x协议的工作机制协议的工作机制12345678910Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程客户端开始启动一次认证过程客户端开始启动一次认证过程1Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程交换机要求用户的客户端程序将输入的用户名送上来。交换机要求用户的客户端程序将输入的用户名送上来。2

10、Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程客户端程序将用户名信息通过数据帧送给交换机客户端程序将用户名信息通过数据帧送给交换机3Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程交换机将数据帧经过封包处理后送给认证服务器交换机将数据帧经过封包处理后送给认证服务器4Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程RADIUS用随机生成的一个加密字对用户名对应的口令信息进行加密用随机生成的一个加密字对用户名对应的口令信息进行加密5Copyright 2004

11、,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程交换机把加密字转送给客户端程序，并通知对方采用交换机把加密字转送给客户端程序，并通知对方采用Md5Md5算法算法6Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程客户端程序用该加密字对口令部分进行同样的加密处理客户端程序用该加密字对口令部分进行同样的加密处理7Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证过程认证过程交换机把加密信息传递给认证服务器交换机把加密信息传递给认证服务器8Copyright 2004,港湾网络培训中心港湾网络培训中心BHB

12、IN 6-RADIUS接受接受9Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证系统通知客户端成功认证系统通知客户端成功10Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-RADIUS拒绝拒绝9Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证系统通知客户端失败认证系统通知客户端失败10Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6- 认证发起（用户和认证系统均可发起）认证发起（用户和认证系统均可发起）退出已认证态（用户退出已认证态（用户“下线下线”）重新认证（根据时间

13、）重新认证（根据时间）认证包丢失重传认证包丢失重传 与不支持与不支持 802.1 802.1x x 的设备的兼容的设备的兼容 EAP EAP 包被包被 Relay Relay 到到 Authentication ServerAuthentication Server 加密加密 EAPOL EAPOL 认证报文的传送认证报文的传送802.1802.1x x协议的工作机制完善协议的工作机制完善Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-重新认证可以保证用户和认证系统之间的链路处于激活重新认证可以保证用户和认证系统之间的链路处于激活状态状态 认证系统可以定期发起重新

14、认证过程认证系统可以定期发起重新认证过程重新认证的过程对用户是透明的重新认证的过程对用户是透明的(用户不需要重新输入用户不需要重新输入密码密码)重新认证由认证系统发起，时间从最近一次成功认证后重新认证由认证系统发起，时间从最近一次成功认证后算起算起重新认证可以激活或关闭，由参数重新认证可以激活或关闭，由参数reAuthEnabledreAuthEnabled控制控制时间可设，由参数时间可设，由参数reAuthPeriodreAuthPeriod控制，默认为控制，默认为6060分钟分钟重新认证重新认证Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-用户下线的方式用户

15、下线的方式客户端未通过认证服务器的认证客户端未通过认证服务器的认证由于管理性的控制端口始终处于未认证状态，而不管由于管理性的控制端口始终处于未认证状态，而不管是否通过认证是否通过认证与端口对应的与端口对应的MACMAC地址出现故障（管理性禁止或硬件地址出现故障（管理性禁止或硬件故障）故障）客户端与认证系统之间的连接失败，造成认证超时客户端与认证系统之间的连接失败，造成认证超时重新认证超时重新认证超时客户端未响应认证系统发起的认证请求客户端未响应认证系统发起的认证请求客户端发送客户端发送EAPOL-LogoffEAPOL-Logoff报文，报文，主动下线主动下线 退出已认证状态退出已认证状态Co

16、pyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-前向兼容性前向兼容性与不支持与不支持 802.1 802.1x x 的设备的兼容的设备的兼容 客户端支持客户端支持802.1802.1x x而边缘设备不支持，则客户端而边缘设备不支持，则客户端在发起多次连接请求无响应后，自动认为已经通过在发起多次连接请求无响应后，自动认为已经通过认证认证客户端不支持客户端不支持802.1802.1x x而边缘设备支持，客户端只而边缘设备支持，客户端只能访问某些通过设置可以访问的服务，而端口状态能访问某些通过设置可以访问的服务，而端口状态始终在未认证状态始终在未认证状态Copyright

17、2004,港湾网络培训中心港湾网络培训中心BHBIN 6-EAPOL EAPOL 帧帧 结结 构构Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x 帧结构小结帧结构小结两种帧的用途两种帧的用途EAPoLEAPoL帧用于客户端和帧用于客户端和AuthenticatorAuthenticator之间之间EAPOREAPOR帧用于帧用于AuthenticatorAuthenticator和认证和认证ServerServer之间之间组播目的地址：组播目的地址：01800180c2000003c2000003，Ethernet Ethernet T

18、ype=888EType=888E报文类型有：报文类型有：EAPEAP帧、帧、EAP_Start/Logoff/Key/EAP_Start/Logoff/Key/等等EAPEAP协议定义：协议定义：RFC2284RFC2284Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x 帧结构举例帧结构举例*EAPOL_rcv:number=110(vid=2046)Data=0180c20000030040b8005850888e01010000a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5

19、a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5c4ee5ba6在以上捕获到的报文中：在以上捕获到的报文中：0180c2000003：代表代表802.1X协议组申请的组播目的协议组申请的组播目的MAC地址；地址；0040b8005850：代表客户端用户代表客户端用户PC机的机的MAC地址；地址；888e：代表代表EthernetType；01010000：表示用户发起表示用户发起EAPOL-Start报文报文 Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x 帧结构举例（续）帧结构举例（续）*EAPOL_r

20、cv:number=70(vid=2046)Data=0180c20000030040b8005850888e01020000a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5a5b099c2ec在以上捕获到的报文中：在以上捕获到的报文中：0180c2000003：代表代表802.1X协议组申请的组播目的协议组申请的组播目的MAC地址；地址；0040b8005850：代表客户端用户代表客户端用户PC机的机的MAC地址；地址；888e：代表代表EthernetType

21、；01020000：表示用户发了表示用户发了EAPOL_Logoff报文；报文；Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-GE/FERadiusserver宽带宽带IP城域网城域网uHammer1016FlexHammer BigHammer FEFEDHCPServer802.1x请求请求1DHCP Relay534Radius返回返回认证结果认证结果2建立动态建立动态ACL带宽带宽优先级优先级向向Radius发送计费信息发送计费信息6802.1x发送发送logoff 请求下线请求下线用户死机或异常用户死机或异常可可设设时间时间ARP方式握手检查方式握手检

22、查终止计费终止计费7认证通过，受控端口打开认证通过，受控端口打开客户端软件发送客户端软件发送dhcp请求请求802.1802.1X X认证过程认证过程Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x认证的原理和过程认证的原理和过程几种认证方式的优缺点几种认证方式的优缺点802.1802.1x x认证在港湾网络解决方案中的应用认证在港湾网络解决方案中的应用典型案例介绍典型案例介绍课程目标课程目标Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x协议的特点协议的特点-优点优点802.180

23、2.1x x协议为二层协议，不需要到达三层，协议为二层协议，不需要到达三层，而且接入层交换机无需支持而且接入层交换机无需支持802.1802.1q q的的VLANVLAN，对设备的整体性能要求不高，可以有效降低对设备的整体性能要求不高，可以有效降低建网成本建网成本通过组播实现，解决其他认证协议广播问题，通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好对组播业务的支持性好业务报文直接承载在正常的二层报文上；用业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求对后续的数据包处理没有特殊要求 C

24、opyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x协议的特点协议的特点-缺点缺点协议的标准化问题。该协议目前还未正协议的标准化问题。该协议目前还未正式标准化，但草稿已经到了第式标准化，但草稿已经到了第1111稿，协稿，协议号也已分配，相信正式标准化为时不议号也已分配，相信正式标准化为时不远远需要特定客户端软件需要特定客户端软件Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6- 隔离隔离 计费计费 防假冒防假冒 QOS 地址分配地址分配 多多ISP选择选择AAAPolicy-Server/BillingFlex系列系

25、列Hammer10000AuthenticatorUserUserUserEAPOLEAPOLEAPOLEAP Over RadiusVLAN参数参数CAR参数参数优先级优先级用户访问控制列表用户访问控制列表802.1802.1x x中交换与控制的分离中交换与控制的分离Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-ATMATM网络网络IPIP城域网城域网ADSLADSLL3/L2BASDSLAM几个优点：几个优点：相对成熟、标准化相对成熟、标准化 认证可以返回认证可以返回IPIP地址地址 容易检测用户离线容易检测用户离线 现有窄带拨号认证计费系统不用改变现有窄带

26、拨号认证计费系统不用改变主要问题：主要问题：认证和业务全部要封装成认证和业务全部要封装成PPPOEPPPOE 不易支持组播应用不易支持组播应用 容易产生认证瓶颈容易产生认证瓶颈 BASBAS设备成本高设备成本高控制流控制流/业务流业务流ICPICPIP DSLAMIP DSLAMVDSLVDSLLANLANPPPOE应用相对成熟应用相对成熟PPPOE应用有待检验应用有待检验PPPOEPPPOE认证方式的优缺点分析认证方式的优缺点分析Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证计费中心认证计费中心LANLANVDSLVDSLADSLADSL主要优点：主要优点

27、：不需要客户端软件不需要客户端软件 控制流和业务流无需封装控制流和业务流无需封装 容易支持多业务容易支持多业务Portal/WebPortal/Web恶意攻击恶意攻击控制流？控制流？业务流？业务流？主要问题：主要问题：认证层次过高，不合逻辑认证层次过高，不合逻辑 不区分控制流和业务流不区分控制流和业务流 连接性差，不容易检测用户离线连接性差，不容易检测用户离线 实现成本高实现成本高 认证效率和转发性能低认证效率和转发性能低 安全性较差安全性较差 设备和设备和Portal/webPortal/web之间是私有协议之间是私有协议私有协议私有协议Portal/WebPortal/Web认证方式的优缺

28、点分析认证方式的优缺点分析Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x认证的原理和过程认证的原理和过程几种认证方式的优缺点几种认证方式的优缺点802.1802.1x x认证在港湾网络解决方案中的认证在港湾网络解决方案中的应用应用典型案例介绍典型案例介绍课程目标课程目标Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-FlexHammeruHammer其它厂家其它厂家L2PC1PC2PC3PC4PC5PC6L2EAPOLEAPOLEAPOL 透传透传ISP1ISP1AAADHCP802.1802.1x x在在

29、Flex Flex 上实现上实现L2L2是普通的以太网交换机，需是普通的以太网交换机，需要对要对EAPOLEAPOL帧作透传，不能丢帧作透传，不能丢弃。弃。对对L2L2的的VLANVLAN支持无需求。支持无需求。FlexFlex将不同的将不同的MACMAC作为不同的作为不同的端口进行控制端口进行控制EAPOL 透传透传Authenticator港湾网络港湾网络802.1802.1x x解决方案解决方案Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-FlexHammer uHammer1016uHammer 24 Server FarmuHammer 24 Auth

30、enticatoruHammer 24 uHammer1016uHammer1016uHammer1016IP网网uHammer1016uHammer1016uHammer10161 1、认证过程的发起由用认证过程的发起由用户发起户发起(EAP-START)EAP-START)2 2、用户发起的认证报文，用户发起的认证报文，使用特定的组播使用特定的组播MACMAC地址，地址，设备发送到用户的报文设备发送到用户的报文使用单播使用单播MACMAC地址，解决地址，解决了认证报文的广播的问了认证报文的广播的问题题3 3、认证通过后的、认证通过后的MACMAC地地址与端口进行绑定址与端口进行绑定组播组播

31、单播单播MAC+Port邦定邦定802.1802.1x x的应用新建小区的应用新建小区Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-L2L2FlexHammerAuthenticatorL2L2L2L21.1.引入引入FlexHammerFlexHammer作作802.1802.1x x的认证实体；的认证实体；2.2.L2L2的的VLANVLAN作用是端口隔离作用是端口隔离和限制广播，和限制广播，802.1802.1x x本身本身对对802.1802.1QVLANQVLAN支持无需求支持无需求3.3.L2L2必须能够透传必须能够透传EAPOLEAPOL报报文，原

32、理上大多数交换机文，原理上大多数交换机无需升级改造均可实现。无需升级改造均可实现。802.1802.1x x的应用旧小区的应用旧小区L2L2的兼容性的兼容性Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-802.1802.1x x认证的原理和过程认证的原理和过程几种认证方式的优缺点几种认证方式的优缺点802.1802.1x x认证在港湾网络解决方案中的认证在港湾网络解决方案中的应用应用典型案例介绍典型案例介绍课程目标课程目标Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-典型案例介绍典型案例介绍Copyright 2004,港湾网络培

33、训中心港湾网络培训中心BHBIN 6-配置思路配置思路配置认证服务器配置认证服务器RADIUS服务器服务器DHCP服务器服务器配置认证系统配置认证系统配置配置Flex24配置客户端配置客户端客户端的安装和使用客户端的安装和使用Troubleshooting排错排错事件查看器事件查看器显示配置信息显示配置信息show交换机上的交换机上的monitor信息信息IAS日志计费软件日志计费软件Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-认证服务器端的安装及配置认证服务器端的安装及配置实验中我们以实验中我们以 Windows 2000 Windows 2000 erve

34、rerver 的的 InternetInternet验证服务验证服务(IASIAS)为例进行说明为例进行说明IASIAS使用远程验证拨入用户服务协议（使用远程验证拨入用户服务协议（RADIUSRADIUS）来进行远程身份验证，来进行远程身份验证，可以集中管可以集中管理用户的验证、授权和计帐。理用户的验证、授权和计帐。Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-本地安全设置本地安全设置 本地安全设置本地安全设置Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-组及用户的建立组及用户的建立 组及用户的建立组及用户的建立Copyright

35、 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-事件查看器事件查看器信息查看信息查看Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-DHCPDHCP服务器的设置服务器的设置 DHCP服务的配置服务的配置Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-在认证系统上的配置在认证系统上的配置步骤一、创建实际应用中的所有步骤一、创建实际应用中的所有VLANVLAN#createvlanuser#configvlanuseripadress192.168.0.1/24#configvlanuseraddport24untagged#

36、createvlaninternet#configvlaninternetaddport1untagged#configvlaninternetipaddress202.0.0.1/24#createvlan3A#configvlan3Aaddport2,3untagged#configvlan3Aipaddress61.0.0.1/24Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-步骤二、配置认证服务器和计费服务器的步骤二、配置认证服务器和计费服务器的IPIP、端口及密钥端口及密钥#radiusauthenticationadd-serverid0server

37、-ip61.0.0.2client-ip61.0.0.1udp-port1812#radius authentication config-server id 0 shared-secrettraining#radius accounting add-server id 0 server-ip 61.0.0.2client-ip61.0.0.1udp-port1813#radius accounting config-server id 0 shared-secrettraining在认证系统上的配置（续）在认证系统上的配置（续）Copyright 2004,港湾网络培训中心港湾网络培训中心B

38、HBIN 6-在认证系统上的配置（续）在认证系统上的配置（续）步骤三、在交换机上打开步骤三、在交换机上打开802.1802.1x x功能，启动认证、计费功能，启动认证、计费#radiusauthenticationenable#radiusaccountingenable#configdot1xenableCopyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-在认证系统上的配置（续）在认证系统上的配置（续）步骤四、把不需要认证的端口手工授权：步骤四、把不需要认证的端口手工授权：#configport1-3dot1xauthcontrolledportcontrolfor

39、ceauth步骤五、在交换机上启用非正常下线检测及重认证功能：步骤五、在交换机上启用非正常下线检测及重认证功能：#configdot1xkeepaliveenable#configdot1xkeepalivemechanism ping-pong|state-machine#configdot1xkeepaliveping-pong-period#configdot1xkeepalivestate-machine-period#configdot1xre-authenticationenable#configdot1xre-authenticationperiod300Copyright 20

40、04,港湾网络培训中心港湾网络培训中心BHBIN 6-在认证系统上的配置（续）在认证系统上的配置（续）步骤六、其它几个重要的参数配置：步骤六、其它几个重要的参数配置：配置一个物理端口最多可以接入用户终端的数目配置一个物理端口最多可以接入用户终端的数目configdot1xmultiple-host-one-portmax-host-count配置配置802.1802.1x x使用哪种认证协议，使用哪种认证协议，eapeap-md5-md5认证协议是默认选项认证协议是默认选项 configisp-domaindefaultauthenticationtypechap|eap-md5|pap参数：

41、参数：chap chapchap chap认证协议认证协议 eapeap-md5-md5 eap eap-md5-md5认证协议认证协议 pap pappap pap认证协议认证协议Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6- 在认证系统上的配置（续）在认证系统上的配置（续）步骤七、在交换机上启用步骤七、在交换机上启用Dhcp Dhcp RelayRelay功能：功能：#configdhcprlistenadduser#configdhcprlistenadd3a#configdhcprtargetipadd61.0.0.2id1#servicedhcpren

42、ableCopyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-特性功能特性功能用户名与端口用户名与端口绑绑定定使能或禁止端口的用户绑定功能使能或禁止端口的用户绑定功能configdot1xbinduserport|allenable|disable使能或关闭一个用户绑定到多个端口的功能使能或关闭一个用户绑定到多个端口的功能configdot1xbindusermulti-port-per-userenable|disable在端口处添加或删除绑定的用户在端口处添加或删除绑定的用户configdot1xbinduseradd|deleteport|alluser清除所有用

43、户绑定信息清除所有用户绑定信息configdot1xbinduserclear-allCopyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-特性功能特性功能强制用户退出认证状态强制用户退出认证状态1根据客户端的根据客户端的IP地址强制用户退出认证状态地址强制用户退出认证状态#configdot1xpaeforce-logoffip2根据客户端的根据客户端的MAC地址强制用户退出认证状态地址强制用户退出认证状态#configdot1xpaeforce-logoffmacport*13根据端口号强制用户退出认证状态根据端口号强制用户退出认证状态#configdot1xpae

44、force-logoffport4强制所有用户退出认证状态强制所有用户退出认证状态#configdot1xpaeforce-logoffallCopyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-客户端安装及配置客户端安装及配置客户端软件可由软盘介质或客户端软件可由软盘介质或网上下载的方式提供给用户网上下载的方式提供给用户安装简单方便，直接运行安装简单方便，直接运行SetupSetup程序，依提示操作即可程序，依提示操作即可安装完成后，运行安装完成后，运行HammerSupplicantHammerSupplicant，即可出现即可出现如右图所示之界面如右图所示之界面点

45、击点击“属性属性”按钮，可以对按钮，可以对客户端拨号软件的参数进行调客户端拨号软件的参数进行调节节Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-客户端安装及配置（续）客户端安装及配置（续）在在网卡选项部分选择用于拨号的网卡网卡选项部分选择用于拨号的网卡Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-与与RADIUSRADIUS相关的显示配置命令相关的显示配置命令show radius configurationshow radius configurationshow dot1xshow dot1xshow dot1x statis

46、ticshow dot1x statisticshow dot1xshow dot1x pae pae username username show dot1xshow dot1x pae pae port port 显示认证服务配置信息显示认证服务配置信息Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-Show RadiusShow Radius显示信息显示信息flex24_01(flex24_01(configconfig)#)#shsh radius radiusradius authentication is enabled.radius authenti

47、cation is enabled.radius authentication serverradius authentication server config config:id server-status server-id server-status server-ip ip server-server-udpudp-port client-port client-ip ip shared-secret shared-secret-0 INUSE 61.0.0.2 1812 61.0.0.1 training0 INUSE 61.0.0.2 1812 61.0.0.1 training

48、id id retransmitinterval maxretransmitcount maxretransmitfailcount maxsendfailcountretransmitinterval maxretransmitcount maxretransmitfailcount maxsendfailcount-0 10 3 5 5 0 10 3 5 5 =radius accounting is enabled.radius accounting is enabled.radius accounting serverradius accounting server config co

49、nfig:id server-status server-id server-status server-ip ip server-server-udpudp-port client-port client-ip ip shared-secret shared-secret-0 INUSE 61.0.0.2 1813 61.0.0.1 training0 INUSE 61.0.0.2 1813 61.0.0.1 trainingid id retransmitinterval maxretransmitcount maxretransmitfailcount maxsendfailcountr

50、etransmitinterval maxretransmitcount maxretransmitfailcount maxsendfailcount-0 10 3 5 50 10 3 5 5 maxWaitingMsgs maxWaitingMsgs :0:0Copyright 2004,港湾网络培训中心港湾网络培训中心BHBIN 6-Show Dot1xShow Dot1x显示信息显示信息Harbour(config)#shdot1xdot1xauthentication:Enabledmultiple-host-one-portmax-host-count:255pae-count:2