安全 > 端口认证

网络交换机能够以方便和开放的方式向所连接的 PC 提供访问网络资源的方法。 尽管自动配置和接入是重要的需求,但是也可能导致未授权用户接入网络或者非法访问网络中的敏感数据。

IEEE 802.1X (dot1x) 标准定义了一个基于端口的访问控制过程,它通过要求用户在首次认证时提交授权证书来限制未授权的网络访问。 可以用一个服务器来集中控制网络上对交换机所有端口的访问,即授权的用户可以使用相同的证书在网络的任何地方认证。

该交换机使用基于局域网的扩展认证协议(EAPOL)来与用户交换认证协议消息, 以及一个远程的 RADIUS 认证服务器来验证用户身份与访问权限。 当用户(比如客户端)连接到交换机端口时,交换机(比如认证系统)将发出一个 EAPOL 身份验证请求帧。 用户将在 EAPOL 中提供其身份证明(如用户名)来回应交换机,此回应将转发到 RADIUS 服务器。 RADIUS 服务器将验证用户身份以及发送回一个访问质问给用户。 RADIUS 服务器发送的 EAP 报文不仅包含 challenge ,还包括将被使用的认证方式。 用户可以拒绝使用该认证方式并请求另外的认证方式,这取决于用户软件和 RADIUS 服务器的配置。 用加密认证的方法来传送认证消息,可以为 MD5 (Message-Digest 5)、TLS (Transport Layer Security)、 PEAP (Protected Extensible Authentication Protocol)、TTLS (Tunneled Transport Layer Security)。 客户用证书(如密码或证书)回复相应的认证方法。 RADIUS 服务器验证用户的证书并用接受或拒绝报文回应用户。 如果认证成功,交换机将允许用户访问网络。否则,该端口将阻止非 EAP 数据流或者分配到由入侵操作设置的 guest VLAN。 在多主机模式下,连接到端口的主机只要其中一个通过了认证,则其他所有的主机都将允许访问网络。 同样的,只要有一个主机认证失败或发送了 EAPOL 退出消息,其他所有主机都将成为未授权用户。

配置 802.1X 全局设置

使用 安全 > 端口认证(全局配置) 页面来配置 IEEE 802.1X 端口认证。 802.1X 协议必须在端口被激活前全局开启。

配置 802.1X 端口认证设置。

使用安全>端口验证(配置接口 - 验证器)页面将交换机的802.1X端口设置配置为本地验证器。 启用802.1X时,需要配置在客户端和交换机之间运行的身份验证过程(即身份验证器)的参数以及在交换机和身份验证服务器之间运行的客户端身份查找过程。

请求列表

认证系统 PAE 状态机

后端状态机

重认证状态机

显示 802.1X 统计

使用 安全 > 端口认证 (显示统计) 页面显示任意port 的dot1x 交换协议统计值。

认证系统

客户端