网络交换机能够以方便和开放的方式向所连接的 PC 提供访问网络资源的方法。 尽管自动配置和接入是重要的需求,但是也可能导致未授权用户接入网络或者非法访问网络中的敏感数据。
IEEE 802.1X (dot1x) 标准定义了一个基于端口的访问控制过程,它通过要求用户在首次认证时提交授权证书来限制未授权的网络访问。 可以用一个服务器来集中控制网络上对交换机所有端口的访问,即授权的用户可以使用相同的证书在网络的任何地方认证。
该交换机使用基于局域网的扩展认证协议(EAPOL)来与用户交换认证协议消息, 以及一个远程的 RADIUS 认证服务器来验证用户身份与访问权限。 当用户(比如客户端)连接到交换机端口时,交换机(比如认证系统)将发出一个 EAPOL 身份验证请求帧。 用户将在 EAPOL 中提供其身份证明(如用户名)来回应交换机,此回应将转发到 RADIUS 服务器。 RADIUS 服务器将验证用户身份以及发送回一个访问质问给用户。 RADIUS 服务器发送的 EAP 报文不仅包含 challenge ,还包括将被使用的认证方式。 用户可以拒绝使用该认证方式并请求另外的认证方式,这取决于用户软件和 RADIUS 服务器的配置。 用加密认证的方法来传送认证消息,可以为 MD5 (Message-Digest 5)、TLS (Transport Layer Security)、 PEAP (Protected Extensible Authentication Protocol)、TTLS (Tunneled Transport Layer Security)。 客户用证书(如密码或证书)回复相应的认证方法。 RADIUS 服务器验证用户的证书并用接受或拒绝报文回应用户。 如果认证成功,交换机将允许用户访问网络。否则,该端口将阻止非 EAP 数据流或者分配到由入侵操作设置的 guest VLAN。 在多主机模式下,连接到端口的主机只要其中一个通过了认证,则其他所有的主机都将允许访问网络。 同样的,只要有一个主机认证失败或发送了 EAPOL 退出消息,其他所有主机都将成为未授权用户。
使用 安全 > 端口认证(全局配置) 页面来配置 IEEE 802.1X 端口认证。 802.1X 协议必须在端口被激活前全局开启。
设置 802.1X 全局配置。(默认:关闭)
使用安全>端口验证(配置接口 - 验证器)页面将交换机的802.1X端口设置配置为本地验证器。 启用802.1X时,需要配置在客户端和交换机之间运行的身份验证过程(即身份验证器)的参数以及在交换机和身份验证服务器之间运行的客户端身份查找过程。
端口号。
表示端口上的认证是开启还是关闭状态。若控制模式设置为 Force-Authorized (强制授权),则认证为关闭状态。
显示连接用户的 802.1X 认证状态。
连接用户已授权。
连接用户未授权,或没有与端口连接。
可将认证模式设为下列任一选项:
对支持 802.1X 的用户要求被认证服务器授权,而不支持 802.1X 的用户将被拒绝访问网络。
强制端口允许所有用户访问网络,无论用户是否支持 802.1X 协议。(这是默认设置)
强制端口拒绝所有用户访问网络,无论有能过户是否支持 802.1X 协议。
允许单个或多个主机(用户)连接到 802.1X 授权端口。(默认:Single-Host)
仅允许一个主机连接到该端口。
允许多个主机连接到该端口。
在这个模式下,只要有一个主机通过认证,其他主机都将获得网络访问权限。 同样地,只要有一个主机认证失败或者发送了 EAPOL 退出消息,所有的其他主机也将不能通过该端口的认证。
允许多个主机连接到端口,每个主机都需要被认证。
在这个模式下,每个与端口连接的主机都需要通过认证。 处于此操作模式下的端口,被其允许访问的主机数仅受安全地址表空间大小的限制。(比如,不超过 1024 个地址)
选择 Multi-Host 操作模式时,端口可连接的最大主机数。(范围:1-1024;默认:5)
在认证会话超时前,交换机向客户可重新发送 EAP 请求报文的最大次数。(范围:1-10;默认:2)
在超过最大请求数后试图获得一个新用户前,交换机端口所需等待的时间。(范围:1-65535 秒;默认:60 秒)
在认证会话期间,交换机等待重新发送 EAP 报文的时间。(范围:1-65535;默认:30 秒)
设置在重发 EAP 报文前,交换机端口等待用户发送 EAP 请求响应的时间。(范围:1-65535;默认:30 秒)
这个命令用于为 EAP-request 帧而不是 EAP-request/identity 帧设置超时时间。 如果端口 dot1x 认证开启,当其显示连接状态时交换机将初始化认证功能。 设备将发送一个 EAP-request/identity 帧到客户端来要求客户传身份信息,随后还要求传一个或多个认证信息。 在一个活动连接需要重认证期间,设备也可能发送其他 EAP-request 帧到客户端。
设置交换机端口在重新传输EAP数据包之前等待来自认证服务器的EAP请求响应的时间。 (默认:0秒)
必须先设置RADIUS服务器,然后才能在此字段中显示10秒的正确操作值。
在指定的重新认证周期间隔到达之后,将用户设为重认证状态。重新认证可用于检测是否有新设备插入交换机端口。(默认: Disabled)
设置连接的用户必须重新认证的时间周期。(范围:1-65535 秒;默认:3600 秒)
交换机端口在超时认证会话次数之前重新发送一个EAP请求/标识数据包的最大次数。 (范围:1-10;默认:2)
为失败认证设置端口响应。
阻止端口上所有的非 EAP 数据流。(这是默认设置)
该端口上的数据流被分派到 Guest VLAN 。Guest VLAN 必须被单独配置并映射到每个端口。
授权客户端的 MAC 地址
当前状态(包括 initialize, disconnected, connecting, authenticating, authenticated, aborting, held, force_authorized, force_unauthorized)。
重新进入连接状态的次数。
认证服务器发送的 EAP 成功、失败或请求报文中所携带的标识符。
当前状态(包括 request, response, success, fail, timeout, idle, initialize)。
客户端发送的未收到响应的 EAP 请求报文数。
从认证服务器那收到的最近的 EAP 成功、失败或请求报文中所携带的标识符。
当前状态(包括 initialize, reauthenticate)
使用 安全 > 端口认证 (显示统计) 页面显示任意port 的dot1x 交换协议统计值。
认证系统
认证系统收到的 EAPOL Start 帧总数。
认证系统收到的 EAPOL Logoff 帧总数。
认证系统收到的无法识别的 EAPOL 帧总数。
认证系统收到的 EAPOL 帧总数量 。
认证系统收到的 EAPOL 帧协议版本号。
认证系统收到的 EAPOL 帧源 MAC 地址。
认证系统收到 EAP Resp/Id 帧数量。
认证系统收到的 EAP Resp/Oth 帧数量
认证系统收到的 EAP 长度字段无法识别的帧数量
认证系统发送的 EAP Req/Id 帧数量。
认证系统发送的 EAP Req/Oth 帧数量。
认证系统发送的 EAPOL 帧总数量。
客户端
由客户端收到帧类型无法识别的EAPOL 总数。
由客户端收到的任意有效 EAPOL 帧总量。
由客户端收到的 EAPOL 帧协议版本号。
由客户端收到的 EAPOL 帧源 MAC 地址。
由客户端收到的EAP Resp/Id 帧数量。
由客户端收到的 EAP Resp/Oth 帧数量。
由客户端收到的 EAP 长度错误帧数量。
由客户端发送的 EAPOL 帧总数量。
由客户端发送的 EAPOL Start 帧总数量。
由客户端发送的 EAPOL Logoff 帧总数量。
由客户端发送的 EAP Req/Id 帧总数量。
由客户端发送的 EAP Req/Oth 帧数量。