BYZX318802.1x原理與配置

1、http:/曹斌曹斌802.1x原理與配置北郵在線Page2前 言 當(dāng)前，網(wǎng)絡(luò)安全已超過對(duì)交換能力和服務(wù)質(zhì)量等的需求，成為企業(yè)用戶最關(guān)心的問題之一。 在企業(yè)網(wǎng)絡(luò)中，任何一臺(tái)終端的安全狀態(tài)都將直接影響到整個(gè)網(wǎng)絡(luò)的安全。而傳統(tǒng)針對(duì)病毒的防御體系是以孤立的單點(diǎn)防御為主，這樣的分散管理無(wú)法避免諸多的安全威脅。北郵在線Page3培訓(xùn)目標(biāo) 學(xué)完本課程后，您應(yīng)該能： 理解并解釋802.1x技術(shù)原理 說明802.1x系統(tǒng)組件和工作過程 獨(dú)立完成802.1x的簡(jiǎn)單場(chǎng)景配置 具備802.1x的故障的基本診斷能力北郵在線Page4目 錄NAC技術(shù)簡(jiǎn)介技術(shù)簡(jiǎn)介802.1x工作原理EAP和EAPOL802.1x協(xié)議運(yùn)行

2、過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page5NAC技術(shù)產(chǎn)生背景 企業(yè)內(nèi)網(wǎng)安全面臨的主要問題是內(nèi)部威脅（高達(dá)60），而終端是威脅的主要來源： 終端不能及時(shí)打系統(tǒng)補(bǔ)丁 員工繞過防火墻訪問互聯(lián)網(wǎng) 員工未安裝防病毒軟件 員工忘記設(shè)置必要的口令 現(xiàn)有安全設(shè)備難以有效保護(hù)網(wǎng)絡(luò)： 無(wú)法檢查網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)的安全狀況 缺乏對(duì)合法終端濫用網(wǎng)絡(luò)資源的安全管理 無(wú)法防止惡意終端的蓄意破壞 北郵在線Page6NAC技術(shù)產(chǎn)生背景(續(xù)) 強(qiáng)化內(nèi)防內(nèi)控，從終端入手強(qiáng)化弱點(diǎn)管理： 終端接入控制：防止非法終端的接入，降低不安全終端的威脅 終端訪問授權(quán)：防止合法終端越權(quán)訪問，保護(hù)企業(yè)核心資源 終端安全健康性檢查

3、與策略管理：幫助企業(yè)落實(shí)安全管理制度 員工行為管理與違規(guī)審計(jì)：強(qiáng)化行為審計(jì)防止惡意終端破壞北郵在線Page7NAC基本概念 NAC (Network Admission Control)：也稱為網(wǎng)絡(luò)管理控制，是思科最先提出的一種“端到端”的安全結(jié)構(gòu)。 微軟的NAP（網(wǎng)絡(luò)訪問保護(hù)）也是一種網(wǎng)絡(luò)接入隔離控制技術(shù)，與NAC框架類似，服務(wù)器集成在Windows 2003 Server，客戶端集成在Windows Vista客戶端中。NAP服務(wù)器與客戶端配合對(duì)于不符合當(dāng)前系統(tǒng)運(yùn)行狀況要求的計(jì)算機(jī)進(jìn)行強(qiáng)制受限網(wǎng)絡(luò)訪問。 H3C的EAD (Endpoint Admission Defense)，稱為端點(diǎn)準(zhǔn)入

4、防御。北郵在線Page8NAC關(guān)鍵組件 NAC包含三個(gè)關(guān)鍵組件：通信代理、網(wǎng)絡(luò)訪問控制設(shè)備和策略服務(wù)器。 華為S系列交換機(jī)可用于網(wǎng)絡(luò)訪問控制設(shè)備。工作區(qū)策略服務(wù)器網(wǎng)絡(luò)訪問控制設(shè)備網(wǎng)絡(luò)訪問控制設(shè)備補(bǔ)丁/病毒服務(wù)器隔離區(qū)軟件服務(wù)器ACS/SC北郵在線Page9NAC認(rèn)證方式 針對(duì)不同場(chǎng)景，NAC提供了靈活的接入控制方式： 802.1x認(rèn)證接入（包括旁路認(rèn)證） MAC地址認(rèn)證接入 Web認(rèn)證接入 S9300除了提供上述NAC認(rèn)證方式以外，還支持: 直接認(rèn)證 本課程介紹本課程介紹802.1x認(rèn)證方式，其它認(rèn)證方認(rèn)證方式，其它認(rèn)證方式相對(duì)較簡(jiǎn)單，學(xué)員可自行參考相關(guān)手冊(cè)。式相對(duì)較簡(jiǎn)單，學(xué)員可自行參考相關(guān)手

5、冊(cè)。北郵在線Page10目 錄NAC技術(shù)簡(jiǎn)介802.1x工作原理工作原理EAP和EAPOL802.1x協(xié)議運(yùn)行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page11802.1x體系結(jié)構(gòu) 802.1x系統(tǒng)為典型的Client/Server體系，包括三個(gè)實(shí)體：Supplicant system（客戶端）、Authenticator system（設(shè)備端）和Authentication server system（認(rèn)證服務(wù)器）北郵在線Page12802.1x工作原理 802.1x認(rèn)證接入： ACS (Access Control Server)，Cisco NAC解決方案中的接入控制服

6、務(wù)器組件 SC (Secospace Controller)，華為NAC解決方案中的控制器組件工作區(qū)策略服務(wù)器交換機(jī)交換機(jī)補(bǔ)丁/病毒服務(wù)器隔離區(qū)軟件服務(wù)器ACS/SC北郵在線Page13802.1x工作原理(續(xù))l GUEST VLAN功能： 使能GUEST VLAN后，未獲認(rèn)證授權(quán)的用戶，被臨時(shí)加入GUEST VLAN，只能訪問受限的部分資源（規(guī)劃在GUEST VLAN中）。 未使能GUEST VLAN時(shí)，用戶在通過認(rèn)證之前，不能訪問任何網(wǎng)絡(luò)資源。 對(duì)于dot1x且端口配置為port-based情況，交換機(jī)將組播觸發(fā)認(rèn)證報(bào)文。l 若達(dá)到最大發(fā)送次數(shù)后仍無(wú)用戶響應(yīng)，端口就加入GUEST VLA

7、N，端口下所有用戶只能訪問受限資源。l 若有其他用戶認(rèn)證成功，端口將退出GUEST VLAN，進(jìn)入授權(quán)狀態(tài)。北郵在線Page14802.1x工作原理(續(xù)) 靜默功能： 為避免用戶發(fā)送大量能啟動(dòng)認(rèn)證流程的報(bào)文，導(dǎo)致設(shè)備不停地向RADIUS服務(wù)器發(fā)起認(rèn)證請(qǐng)求，浪費(fèi)設(shè)備和RADIUS服務(wù)器的處理資源，交換機(jī)需要提供靜默功能。 啟用靜默功能后，在用戶認(rèn)證失敗后的一段時(shí)間（靜默周期，可配）內(nèi)，認(rèn)證模塊將不處理用戶的認(rèn)證報(bào)文。北郵在線Page15目 錄NAC技術(shù)簡(jiǎn)介802.1x工作原理EAP和和EAPOL802.1x協(xié)議運(yùn)行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page16EAP數(shù)據(jù)報(bào)

8、EAP數(shù)據(jù)報(bào)格式： 當(dāng)EAPOL數(shù)據(jù)包Type域?yàn)镋AP-Packet時(shí)，Packet Body為EAP數(shù)據(jù)包結(jié)構(gòu)。 Code：指明EAP 包的4 種類型：Request、Response、Success、Failure Identifier：輔助進(jìn)行Request 和Response 消息的匹配 Length：EAP包的長(zhǎng)度，包含Code、Identifier、Length和Data域，單位為字節(jié) Data：EAP 包的內(nèi)容，由Code 類型決定 Success和Fail類型的包沒有Data域，相應(yīng)Length域的值為4北郵在線Page17EAP數(shù)據(jù)報(bào)(續(xù)) EAP請(qǐng)求(Request)和回

9、應(yīng)(Response)報(bào)文： 當(dāng)EAP包為Request和Response類型時(shí)，其Data域的格式如下： Type為EAP的認(rèn)證類型 值為1 時(shí)代表Identity，用來查詢對(duì)方的身份； 值為4 時(shí)代表MD5-Challenge，類似于PPP CHAP協(xié)議，包含質(zhì)詢消息 Type data的內(nèi)容隨Type值不同而不同北郵在線Page18EAP數(shù)據(jù)報(bào)(續(xù)) EAP成功(Success)和無(wú)效(Fail)報(bào)文： 當(dāng)EAP包為Success和Fail類型時(shí)沒有Data域，其Length域的值為4 ： 成功報(bào)文由驗(yàn)證者發(fā)給被驗(yàn)證端，用于通告一個(gè)成功的認(rèn)證結(jié)果。 如果驗(yàn)證過程失敗，驗(yàn)證者將向被驗(yàn)證端發(fā)

10、送一個(gè)無(wú)效報(bào)文，通告一個(gè)無(wú)效的驗(yàn)證結(jié)果。 成功報(bào)文和無(wú)效報(bào)文的Identifier值必須和回應(yīng)報(bào)文的Identifier值一致。北郵在線Page19EAPOL數(shù)據(jù)報(bào) EAPOL報(bào)文的二層報(bào)文頭：DMACSMACTYPEEAPOLFCS字段字段內(nèi)容內(nèi)容DMAC01-80-C2-00-00-03SMAC端口的物理MAC地址TYPEPAE Ethernet Type，指示協(xié)議類型北郵在線Page20EAPOL數(shù)據(jù)報(bào)(續(xù)) EAPOL數(shù)據(jù)報(bào)格式： PAE Ethernet Type：協(xié)議類型，值為0 x888E。 Protocol Version：指示EAPOL 幀的發(fā)送方所支持的協(xié)議版本號(hào)。 Typ

11、e：EAPOL數(shù)據(jù)包的類型。 Length：表示數(shù)據(jù)長(zhǎng)度，即“Packet Body”字段的長(zhǎng)度，單位為字節(jié)，0表示沒有后面的數(shù)據(jù)域。 Packet Body：表示數(shù)據(jù)內(nèi)容，根據(jù)不同的Type 有不同格式。北郵在線Page21EAPOL數(shù)據(jù)報(bào)(續(xù)) EAPOL數(shù)據(jù)包類型：Type值值報(bào)文類型報(bào)文類型0 x00EAP報(bào)文（EAP-Packet），用于承載認(rèn)證信息0 x01EAPOL開始報(bào)文（ EAPOL-Start），發(fā)起認(rèn)證0 x02EAPOL注銷報(bào)文（EAPOL-Logoff），退出請(qǐng)求0 x03EAPOL信息報(bào)文（EAPOL-Key）0 x04EAPOL告警報(bào)文（EAPOL-Encapsu

12、lated-ASF-Alert）北郵在線Page22目 錄NAC技術(shù)簡(jiǎn)介802.1x工作原理EAP和EAPOL802.1x協(xié)議運(yùn)行過程協(xié)議運(yùn)行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page23802.1x協(xié)議運(yùn)行過程 802.1x中繼方式認(rèn)證流程：EAPoLAAARADIUSEAPoL-StartEAP-Request/IdentityClientEAP-Response/IdentityCMAccess-RequestAccess-ChallengeAccess-Challenge (EAP-Request / MD5 challenge)EAP-Request/MD5 c

13、hallenge EAP-Response/MD5 challengeAccess-Request (EAP-Response / MD5 challenge)Access-RequestAccess-RequestRADIUS Access-Accept(EAP-Success)EAP-Success 握手EAP-Request/Identity 握手EAP-Response/Identity EAPOL-Logoff表項(xiàng)申請(qǐng)北郵在線Page24802.1x協(xié)議運(yùn)行過程(續(xù)) 802.1x終結(jié)方式認(rèn)證流程：EAPoLAAARADIUSEAPoL-StartEAP-Request/Identi

14、tyClientEAP-Response/IdentityCMEAP-Request / MD5 challenge EAP-Response / MD5 challengeAccess-Request (EAP-Response/MD5 challenge)Access-RequestAccess-RequestRADIUS Access-Accept(EAP-Success)EAP-Success 握手EAP-Request/Identity 握手EAP-Response/Identity EAPOL-Logoff表項(xiàng)申請(qǐng)申請(qǐng)成功北郵在線Page25目 錄NAC技術(shù)簡(jiǎn)介802.1x工作原理

15、EAP和EAPOL802.1x協(xié)議運(yùn)行過程802.1x業(yè)務(wù)配置業(yè)務(wù)配置802.1x基本故障診斷北郵在線Page26 需要注意，NAC特性部署時(shí)與周邊交互的模塊比較多，各模塊間協(xié)同工作需要正確配置，若配置不當(dāng)，常會(huì)導(dǎo)致認(rèn)證失敗。802.1x業(yè)務(wù)配置基本組網(wǎng)S9300PCRADIUS服務(wù)器服務(wù)器0GE1/0/0打印機(jī)打印機(jī)GE2/0/1GE2/0/0VLANIF 200北郵在線Page27802.1x配置準(zhǔn)備 配置思路：配置RADIUS服務(wù)器模板。 配置AAA認(rèn)證模板。 配置域。 配置802.1x認(rèn)證 需要準(zhǔn)備如下數(shù)據(jù) ：RADIUS服務(wù)器IP地址、認(rèn)證

16、端口號(hào)。 RADIUS服務(wù)器密鑰為hello，重傳次數(shù)為2。 AAA認(rèn)證方案web1。 RADIUS服務(wù)器模版rd1。 域isp1 北郵在線Page28802.1x業(yè)務(wù)配置 配置步驟： 配置RADIUS服務(wù)器模板 Quidway radius-server template rd1 Quidway-radius-rd1 radius-server authentication 0 1812#配置RADIUS主用認(rèn)證服務(wù)器的IP地址、端口 Quidway-radius-rd1 radius-server shared-key hello#配置RADIUS服務(wù)器密鑰 Quid

17、way-radius-rd1 radius-server retransmit 2#配置重傳次數(shù) Quidway-radius-rd1 quit北郵在線Page29802.1x業(yè)務(wù)配置(續(xù)) 配置認(rèn)證方案，認(rèn)證方案web1，認(rèn)證方法為RADIUSl Quidway aaal Quidwayaaa authentication-scheme web1l Quidway-aaa-authen-1 authentication-mode radiusl Quidway-aaa-authen-1 quit 配置isp1域，綁定認(rèn)證方式和RADIUS服務(wù)器模板l Quidway-aaa domain i

18、spl Quidway-aaa-domain-isp1 authentication-scheme web1l Quidway-aaa-domain-isp1 radius-server rd1北郵在線Page30802.1x業(yè)務(wù)配置(續(xù)) 配置802.1x認(rèn)證l Quidway dot1x #全局使能802.1x認(rèn)證l Quidway interface gigabitethernet1/0/0l Quidway-GigabitEthernet1/0/0 dot1x#在接口下使能802.1x認(rèn)證 l Quidway-GigabitEthernet1/0/0 dot1x max-user 10

19、0#配置允許接入的最大用戶數(shù) l Quidway-GigabitEthernet1/0/0 dot1x mac-bypass#配置MAC旁路認(rèn)證 完成北郵在線Page31802.1x業(yè)務(wù)配置(續(xù)) 其它可選配置：l dot1x authentication-method chap | eap | pap #配置dot1x認(rèn)證模式l dot1x dhcp-trigger#使能DHCP報(bào)文觸發(fā)dot1x認(rèn)證功能l dot1x handshake#開啟定時(shí)握手功能（默認(rèn)使能）l dot1x quiet-period#開啟dot1x靜默功能l dot1x retry#配置報(bào)文交互時(shí)交換機(jī)向客戶端重發(fā)報(bào)

20、文的最大次數(shù)北郵在線Page32802.1x業(yè)務(wù)配置(續(xù)) 其它可選配置(續(xù))：l dot1x timer#配置各類定時(shí)器，確保有序交互l dot1x guest-vlan#配置接口guest vlan功能l dot1x port-control auto | authorized-force | unauthorized-force #配置端口控制模式ldot1x port-method mac | port #配置端口接入方式，即基于MAC（用戶）還是基于端口ldot1x reauthenticate#配置重認(rèn)證，將該端口下通過認(rèn)證的用戶定期進(jìn)行重認(rèn)證北郵在線Page33目 錄NAC技術(shù)簡(jiǎn)介802.1x工作原理EAP和EAPOL802.1x協(xié)議運(yùn)行過程802.1x業(yè)務(wù)配置802.1x基本故障診斷基本故障診斷北郵在線Page34802.1x故障處理流程d o t 1 x 客 戶端 撥 號(hào) 失 敗確 認(rèn) 全 局 和 接口 使 能 了 d o t 1 x進(jìn) 行 正 確 配 置問 題 是 否 解 決確 認(rèn) 客 戶 端 用戶 名 密 碼 正 確輸 入 正 確 用 戶名 密 碼 重 撥問 題 是 否 解 決確 認(rèn) 鏈 路是 否 正 常處 理 鏈 路 故 障