当前位置: 首页 > 网络安全 > NAC网络准入控制、radius、802.1X、AAA > 802.1X
cjhcjh 802.1X   此文章访问量   2915

华为S系列S交换机配置802.1X认证时,如何在中间二层交换机上透传EAP报文(如何透传eap 报文)

华为S系列S交换机配置802.1X认证时,如何在中间二层交换机上透传EAP报文

802.1x认证过程中的EAP协议报文,是一种BPDU报文。对于BPDU报文,华为公司的交换机设备当前缺省不做二层转发。因此如果使能802.1x的设备和用户之间还存在二层交换机,就必须在其上配置二层透明传输,否则用户发送的EAP报文将无法到达认证设备,进而无法通过认证。
802.1x认证报文二层透明传输功能配置步骤如下:
1、在二层交换机全局视图下执行命令:l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002,该命令用于替换原协议mac为自定义组播mac
2、在二层交换机连接上行网络接口以及连接用户的所有下行接口下执行命令:l2protocol-tunnel user-defined-protocol dot1x enable(使能接口二层协议透明传输功能)与bpdu enable(使能接口BPDU报文上送CPU处理)
注意事项:
通过配置二层协议透明传输功能时,下面的组播MAC地址不能作为二层协议报文被替换后的组播MAC地址即Group-mac:
    保留的组播MAC地址:0180-C200-0000~0180-C200-002F。
    特殊的组播MAC地址:0100-0CCC-CCCC和0100-0CCC-CCCD。
    Smart Link协议报文的目的MAC地址:010F-E200-0004。
    设备上已经使用过的普通组播MAC地址。

[sw1]l2protocol-tunnel user-defined-protocol 802.1X protocol-mac ?
  H-H-H  Multicast MAC address, including but not limited to 0180-c200-0000 to
         0180-c200-0013, 0180-c200-0016 to 0180-c200-002f, 0100-0ccc-cccc, and
         0100-0ccc-cccd
[sw1]l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0000 group-mac ?
  H-H-H              MAC address begin with 0x01, excluding but not limited to
                     0180-c200-0000 to 0180-c200-002f
  default-group-mac  Default group-MAC address, the default value is
                     0100-0ccd-cdd0
                     
命令:l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002




配置本举例之前,需确保网络中各设备之间已能互通。

本举例中,由于接入交换机Switch与用户之间存在透传交换机LAN Switch,为保证用户能够通过802.1X认证,则务必在LAN Switch上配置EAP报文透传功能:方法一:此处LAN Switch以S5720-LI为例,操作步骤如下:
  1. 在LAN Switch系统视图下执行命令l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002定义二层透明传输EAP报文。
  2. 在LAN Switch的下行与用户连接的接口以及上行与Switch连接的接口上执行命令l2protocol-tunnel user-defined-protocol 802.1X enable以使能接口的二层协议透明传输功能。
方法二:当用户规模较大,或对网络性能要求较高时,建议采用该方法。
  1. 系统视图下执行如下命令:
    • undo bpdu mac-address 0180-c200-0000 ffff-ffff-fff0
    • bpdu mac-address 0180-c200-0000 FFFF-FFFF-FFFE
    • bpdu mac-address 0180-c200-0002 FFFF-FFFF-FFFF
    • bpdu mac-address 0180-c200-0004 FFFF-FFFF-FFFC
    • bpdu mac-address 0180-c200-0008 FFFF-FFFF-FFF8
  2. (从方法一切换到方法二时,该步骤必须执行,如果直接使用方法二则不必执行)接口视图下执行命令undo l2protocol-tunnel user-defined-protocol 802.1X enable删除透传802.1X协议报文。


Agile Controller有线802.1X认证
组网需求
某企业的用户帐号和组织结构均在AD服务器上维护,基于非移动办公需求,需在园区内提供有线接入网络方案。考虑到安全性,使用有线802.1X方式接入。
用户认证成功后方可访问Internet资源。

图片.png

配置EAP报文透传,将EAP报文从终端用户透传到认证控制设备。(汇聚层认证场景)
除下面特殊情况外,protocol-mac和group-mac可以随意取值:
    保留的组播MAC地址:0180-C200-0000~0180-C200-002F。
    特殊的组播MAC地址:0100-0CCC-CCCC和0100-0CCC-CCCD。
    Smart Link协议报文的目的MAC地址:010F-E200-0004。
    设备上已经使用过的普通组播MAC地址。
    在接入交换机上定义二层透明传输EAP报文。
    [S2700] l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    设置接入交换机上行和下行接口使能二层协议透明传输功能。
    [S2700] interface GigabitEthernet 0/0/1
    [S2700-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol dot1x enable
    [S2700-GigabitEthernet0/0/1] bpdu enable
    [S2700-GigabitEthernet0/0/1] quit
    [S2700] interface GigabitEthernet 0/0/2
    [S2700-GigabitEthernet0/0/2] l2protocol-tunnel user-defined-protocol dot1x enable
    [S2700-GigabitEthernet0/0/2] bpdu enable
    [S2700-GigabitEthernet0/0/2] quit

【设备】配置802.1X认证参数,实现终端用户802.1X方式接入认证。
    配置RADIUS服务器模板和认证计费方案。
    [S5700] authentication unified-mode  //缺省是unified-mode,如未更改可无需执行该命令
    [S5700] radius-server template radius_huawei  
    [S5700-radius-radius_huawei] radius-server authentication 192.168.11.10 1812 source ip-address 192.168.100.100  
    [S5700-radius-radius_huawei] radius-server accounting 192.168.11.10 1813 source ip-address 192.168.100.100
    [S5700-radius-radius_huawei] radius-server shared-key cipher Admin@123  
    [S5700-radius-radius_huawei] quit
    [S5700] radius-server authorization 192.168.11.10 shared-key cipher Admin@123  
    [S5700] aaa  
    [S5700-aaa] authentication-scheme auth_scheme  //认证方案
    [S5700-aaa-authen-auth_scheme] authentication-mode radius  //认证方案必须为RADIUS
    [S5700-aaa-authen-auth_scheme] quit
    [S5700-aaa] accounting-scheme acco_scheme  //计费方案
    [S5700-aaa-accounting-acco_scheme] accounting-mode radius  //计费方案为RADIUS
    [S5700-aaa-accounting-acco_scheme] accounting realtime 15  
    [S5700-aaa-accounting-acco_scheme] quit

全局默认域内引用RADIUS服务器模板和认证计费方案。
    [S5700-aaa] domain default  
    [S5700-aaa-domain-default] authentication-scheme auth_scheme
    [S5700-aaa-domain-default] accounting-scheme acco_scheme
    [S5700-aaa-domain-default] radius-server radius_huawei
    [S5700-aaa-domain-default] quit
    [S5700-aaa] quit
    配置全局默认域。
    [S5700] domain default  //配置全局默认域
    全局默认域为default,如果需要修改,请先在AAA视图下创建域,再将此域设置为全局默认域。
    启用802.1X认证。
    [S5700] interface GigabitEthernet 0/0/1
    [S5700-GigabitEthernet0/0/1] authentication dot1x
    [S5700-GigabitEthernet0/0/1] quit
【设备】配置终端用户认证前和认证后允许访问的资源。
    认证前域即配置认证用户可以免认证访问服务器区域的资源。
    [S5700] authentication free-rule 1 destination ip 192.168.11.1 mask 255.255.255.255
    [S5700] authentication free-rule 2 destination ip 192.168.11.10 mask 255.255.255.255
    [S5700] authentication free-rule 3 destination ip 192.168.11.100 mask 255.255.255.255
    认证后域即通过ACL定义认证后允许访问的资源。
    [S5700] acl 3001  
    [S5700-acl-adv-3001] rule 1 permit ip  
    [S5700-acl-adv-3001] quit


NAC网络准入控制、radius、802.1X(列表、list、全)radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为S系列S交换机配置802.1X认证时,如何在中间二层交换机上透传EAP报文(如何透传eap 报文)

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!