2、802.1X为典型的Client/Server结构,有三个部分,终端、RADIUS客户端和RADIUS服务器。
3、802.1X认证流程。
用户上线流程:
①用户发起认证请求,向RADIUS客户端发送账号和密码。
②RADIUS客户端根据获取到的账号和密码,向RADIUS服务器发送认证请求(access-request),其中密码在共享密钥的参与下进行加密处理。
③RADIUS服务器对账号和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接收报文(access-accept)如果认证失败,则返回认证拒绝报文(access-reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受报文中也包含了用户的授权信息。
④RADIUS客户端根据接受到的认证结果接入或拒绝用户。如果允许用户接入,则RADIUS客户端向
RADIUS服务器发送计费开始请求报文(Accounting-request)。
⑤RADIUS服务器返回计费开始响应报文(accounting-response),并开始计费。
⑥用户根据授权开始访问网络资源。
用户主动下线流程:
①用户执行注销操作,请求下线。
②RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文(accounting-request)。
③RADIUS服务器返回计费结束响应报文(accounting-response),并停止计费。
④用户访问结束。
在iMaster NCE-Campus上强制用户下线流程:
①RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM(disconnect message)-request,该报文中包含session id、账号和终端IP地址等信息。
②RADIUS客户端根据DM-request报文中的信息查找在线用户列表,将符合条件的用户下线,并向RADIUS服务器发送下线成功响应报文DM-ACK。
③RADIUS客户端向RADIUS服务器发送计费停止请求报文(accounting-request)。
④RADIUS服务器返回计费结束响应报文(accounting-response),并停止计费。
⑤用户访问结束。
拓扑图
规格
适用于所有版本、所有形态的AR路由器。
组网需求
PC通过Router访问网络。为了保证网络的安全性,要求在用户接入网络时进行802.1x认证。认证服务器为两台Radius服务器,IP为10.10.10.1/24服务器作为主认证服务器,IP为10.10.10.2/24的服务器为备用认证服务器。当主用服务器不可用时,Router可以实现最快3s内切换到备用服务器。
操作步骤
1.Router上的配置
2.验证配置结果
RADIUS服务器添加用户 user1@huawei ,密码 Huawei@2012 ,共享密钥与路由器保持一致配置为 radius 。客户端认证成功后,执行display access-user可以查看 Username 字段里有用户名为 user1@huawei ,并且相应 Status 字段显示为 Success 。
配置注意事项
·路由器与RADIUS服务器上认证端口的值需要保持一致。
·路由器和RADIUS服务器上共享密钥需要保持一致。
·路由器与RADIUS服务器间需要路由可达
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)