802.1X是基于Client/Server的访问控制协议,简称dot1x。通俗的讲,它是一种认证技术,怎么认证的?交换机上的一个端口连接到PC,开启交换机端口的802.1X功能,PC需要输入正确的用户名和密码通过服务器认证,才能访问网络。那么,我们所熟悉的PPPoE也是类似于这种方式的,他们有什么区别呢?先不说,我们接着讲802.1X协议。这里我们将PC称为客户端,交换机称为设备端。
有协议就有报文,802.1X对应的数据包是EAP(Extensible Authentication Protocol)和EAPOL(Extensible Authentication Protocol over LAN),EAPOL是对EAP的封装(报文可以看出来)使其能够在局域网中以广播包或组播包的形式传输。通过EAP数据包再与远端的RADIUS(用户远程拨号接入服务系统)服务器进行认证,设备端与认证服务器之间交互信息采用的是radius数据包。
802.1x用户的RADIUS认证、授权和计费配置实例
本示例拓扑如图20-6所示。现需要实现使用RADIUS服务器对通过交换机接入的8021x用户进行认证、授权和计费。具体要求如下:
l 在接入端口GigabitEthernet1/0/1上对接入用户进行8021x认证,同时采用基于MAC地址的接入控制方式;
l 交换机与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名携带域名;
l 用户认证时使用的用户名为dot1x@bbb。
l 用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。
l 对8021x用户进行包月方式计费,费用为120元/月,以月为周期对用户上网服务的使用量按时长进行统计,允许每月最大上网使用量为120个小时。
图20-6 8021x用户RADIUS认证、授权和计费配置示例
对比上一节的示例可以看出,本示例的要求明显高于上节示例,尽管它们都是使用iMC RADIUS服务器。另外,本示例相对上节的示例还多了两项要求,那就是基于MAC地址接入控制的IEEE 802.1x认证和RADIUS计费,特别是RADIUS计费功能的配置比较复杂,要配置计费策略。有关H3C以太网交换机的IEEE 802.1x认证具体配置方法将在本书第21章介绍。
综合分析本示例的要求,可以得出它的基本配置思路。总体来说包括以下四个方面:在交换机和对应的端口上启用IEEE 802.1x认证和基于MAC地址的接入控制;配置iMC RADIUS认证/授权、计费服务器功能;配置RADIUS方案;配置IEEE 802.1x用户ISP域AAA方案。下面分别予以介绍。
1.交换机上8021x认证配置
[Switch] dot1x !---开启全局8021x认证
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x !---开启端口GigabitEthernet1/0/1的8021x认证
[Switch-GigabitEthernet1/0/1] quit
[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---设置接入控制方式(该命令可以不配置,因为端口的接入控制在默认情况下就是基于MAC地址的)
2. 配置iMC RADIUS服务器
本示例中的iMC服务器配置与上节示例中的iMC服务器配置主要多了计费功能的配置。下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206),说明本示例的RADIUS 服务器的基本配置。
(1)登录进入iMC管理平台,选择“业务”标签页,单击导航栏中的[接入业务/接入设备配置]菜单项,进入“接入设备配置”页面,然后单击【增加】按钮,进入“增加接入设备”页面,如图20-7所示。然后进行如下配置:
l 在“共享密钥”文本框中设置与交换机交互报文时使用的认证、计费共享密钥为“expert”;
l 在“认证端口”和“计费端口”两文本框中设置RADIUS认证及计费的端口号分别为“1812”和“1813”;
l 在“业务类型”下拉列表中选择业务类型为“LAN接入业务”选项;
l 在“接入设置类型”下拉列表中选择接入设备类型为“H3C”选项;
l 在“组网方式”下拉列表中选择“不启用混合组网”选项;
l 在“设备列表”栏中单击【选择】或【手工增加】按钮添加IP地址为10.1.1.2的接入设备;
其它参数采用默认值,然后单击【确定】按钮完成操作。
图20-7 iMC增加接入设备页面
(2)添加计费策略。选择“业务”标签页,单击导航栏中的[计费业务/计费策略管理]菜单项,进入“计费策略管理”页面,单击【增加】按钮,进入“计费策略配置”页面,如图20-8所示。然后进行如下配置:
l 在“策略名称”文本框中输入计费策略名称“UserAcct”;
l 在“计费策略模板”下拉列表中选择计费策略模板为“包月类型”选项;
l 在“包月基本信息”栏中设置:计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”;
l 在“包月使用量限制”栏中设置:允许每月最大上网使用量为120个小时。
其它参数采用默认值,然后单击页面底部的【确定】按钮完成操作。
图20-8 iMC增加计费策略页面
(3)配置LAN接入业务类型和用户。选择“业务”标签页,单击导航栏中的[接入业务/服务配置管理]菜单项,进入“服务器配置管理”页面,单击【增加】按钮,进入“增加服务配置”页面,如图20-9所示。然后进行如下配置:
图20-9 iMC增加服务配置页面
l 在“服务名”文本框中输入服务名为“Dot1x auth”、在“服务后缀”文本框中输入“bbb”(ISP域名)。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
l 在“计费策略”下拉列表中选择为“UserAcct”,这是上一步配置的计费策略;
l 在“下发VLAN”文本框中配置授权下发的VLAN ID为“4”(这是根据本示例要求而定的);
其他选项根据需要配置,然后单击页面底部的【确定】按钮(图中未显示)完成操作。
(4)添加802.1x用户。选择“用户”标签页,单击导航栏中的[接入用户视图/所有接入用户]菜单项,进入“接入用户列表”页面,单击【增加】按钮,进入“增加接入用户”页面,如图20-10所示。 然后进行如下配置:
l 在“用户姓名”栏中单击【选择】或者【增加用户】按钮添加用户姓名为“test”;
l 在“帐号名”和“密码”两文本框中依次输入“dot1x”和密码;
l 在“接入服务”栏中选择该用户所关联的接入服务为“Dot1x auth”(这是上一步配置的服务名);
其他选项可根据需要配置,然后在页面底部单击【确定】按钮完成操作。
图20-10 iMC增加接入用户页面
通过以上配置,本示例中的iMC服务器配置就全部完成了。
3.配置RADIUS方案
system-view
[Switch] radius scheme rad
[Switch-radius-rad] server-type extended
[Switch-radius-rad] primary authentication 10.1.1.1
[Switch-radius-rad] primary accounting 10.1.1.1
[Switch-ra
根据你的描述,怀疑是以下几个问题:1、是否使用了路由器?可能路由器有问题或者路由器设置有问题。断开路由器,直接用网线连接笔记本有线网卡认证。
2、是否选错了网卡,笔记本有无线网卡和有线网卡,而锐捷客户端认证需要的应该是有线网卡。
3、是否使用管理员权限运行程序。
4、是否在锐捷客户端里设置了DHCP的认证后获取IP?
5、锐捷客户端是否是全新安装的?而不是以前用过旧版本而后升级或者覆盖安装的。锐捷客户端是否是最新版的4.74?并且是全新安装或者完全卸载清理的原来旧版本后全新安装的?
6、检查用这根网线连接其他电脑认证,是否有此问题?
7、如果上述检查都无效,建议重新安装全新系统,并安装最新版的4.74锐捷客户端重新尝试连接认证。
这一般是在学校里用锐捷认证上网的情况。原因出在锐捷客户端,锐捷的8021x.exe会自动停止VMware NAT Service服务,导致不能使用vmware的nat模式。
我的验证如下:
1、同一笔记本,在学校用锐捷客户端联网,VMware NAT Service服务就会停止,手动启动nat服务后虚拟机能上网,但5-10秒nat服务又会停止(锐捷客户端干的)。不启动锐捷客户端,VMware nat服务不会自动停止。
2、同一笔记本,回家用联通宽带,无论有线还是无线,虚拟机始终能上网,VMware NAT Service服务也不会停止。说明不是系统的问题也不干杀软和防火墙的事。
3、同一笔记本,在学校用无线连接同学共享的wifi热点(同学电脑用锐捷联网),开启虚拟机能上网,VMware NAT服务不会自动停止。再次说明与系统无干。
由此判断,锐捷客户端加入了阻止vmware nat模式的机制(技术直白到就是直接阻止VMware NAT Service启动,就好像直接给人车胎放气一样,这就是国人的技术吗?唉...),幸好还没有阻止virtual box nat模式(也可能是VBox没有VM那样独立的NAT服务,锐捷就没招了)。
解决办法:
1、不用锐捷上网,哈哈,也就不会受此困扰了。
2、需要锐捷才能上网的同学们,可选virtual box虚拟机;或找个同宿舍同学搞个wifi热点(似乎锐捷服务器端封杀WiFi热点也封的很厉害)。
总之,不开锐捷客户端就没事
***网上查到此前有人用UltraEdit修改8021x.exe程序破解锐捷的多网卡限制,但破解4.0以上锐捷会被认证服务器列入黑名单,我学校用的就是必须是4.96以上版本,4.94版都不予认证。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)