接入服务在运用802.1x 协议和radius 协议的基础上,实现对用户接入的认证和管理功能,具有高效、安全、易于运营等优点 。
ieee 802.1x 称为基于端口的访问控制协议(port-based network access control) 。
它的协议体系结构包括三个重要部分:
- 客户端系统、
- 认证系统
- 认证服务器 。
radius 采用client/server 模型 。在nas 上运行的是client 端,负责传送用户信息到指定的radius 服务器,并根据服务器返回的结果进行相应的操作 。
pap(password authentication protocol)是一种简单的明文验证方式 。nas 要求用户提供用户名和密码,用户以明文方式返回用户信息 。服务器端根据用户配置查看是否有此用户以及密码是否正确,然后返回不同的响应 。这种验证方式的安全性较差,传送的用户名和密码容易被窃取 。
chap(challenge handshake authentication protocol)是一种加密的验证方式,能够避免建立连接时传送用户的真实密码 。nas 向用户发送一个随机产生的挑战口令,用户用自己的密码和md5 算法对挑战口令进行加密,并返回用户名和加密的挑战口令(加密口令) 。
服务器端用自己保存的用户密码和md5 算法对挑战口令进行加密 。比较用户和服务器端的加密口令,根据比较结果返回不同的响应 。
配置802.1x先进入nas 管理模式:config nas
1. 开启/关闭端口的802.1x 功能
aaa-control port [portlist] dot1x {enable|disable}
2. 配置端口的认证控制模式aaa-control port [portlist] port-mode {auto|force-unauthorized| force-authorized}
可以配置的模式如下:- auto:从配置成auto 的端口接入的用户必须通过认证,认证成功与否决定了用户能否接入成功 。
- force-authorized:强制认证通过,用户不需要认证便可以通过该端口接入 。
- force-unauthorized:强制认证不通过,用户不能通过该端口接入 。
3. 允许/禁止端口多用户接入
aaa-control port [portlist] multiple-hosts {enable|disable}
4. 配置端口的最大用户接入数目aaa-control port [portlist] max-hosts [0-64]
一个端口可以接入多个用户,每个用户有自己独立的认证和计费过程 。一个端口允许有多个用户接入时,aaa-control port max-hosts 命令才有意义 。5. 打开/关闭配置重认证机制
dot1x re-authenticate {enable|disable}
6. 配置重认证的时间间隔dot1x re-authenticate period [1-4294967295]
为了判断接入的用户是否一直保持连接,nas 可以定时要求接入的用户进行重认证 。重认证需要为每个在线用户启动一次完整的认证过程,如果用户量较大,认证报文将非常频繁,会对交换机造成一定的负担 。7. 打开/关闭端口的异常下线检测机制
aaa-control port [portlist] keepalive {enable|disable}
8. 设置端口的异常下线检测周期aaa-control port [portlist] keepalive period [1-3600]
除了重认证机制,为判断接入用户是否保持连接,nas 模块还提供了异常下线检测机制 。异常下线检测只需要少量的报文交互便可以确定用户是否在线 。异常下线检测机制是通过设备主动向客户端定期发送检测请求来实现的 。
请求报文利用了802.1x 协议定义的eapol/eap repid 报文,如果收到客户端的eapol/eap respid 响应说明该用户在线;如果未收到响应则说明用户已经下线 。
9. 配置端口的认证方式
aaa-control port [portlist] protocol {pap|chap|eap }
用户接入认证时,在认证服务器与认证系统之间有三种用户身份识别方式,包含pap,chap 和eap-md5 方式 。系统默认为eap-md5 。10. 配置协议参数设置认证系统一次认证失败后到接受下一次认证请求的间隔
dot1x quiet-period [0-65535]
设置认证系统接收不到客户端回复而重发eapol 数据包的等待时间dot1x tx-period [1-65535]
设置认证系统接收来自认证客户端系统的数据包的超时时间dot1x supplicant-timeout [1-65535]
设置认证系统接收来自认证服务器的数据包的超时时间dot1x server-timeout [1-65535]
设置认证系统接收来自客户端的challenge 响应的超时重传次数dot1x max-request [1-10]
802.1x 通过在客户端系统和认证系统之间传递eapol 数据包,在认证系统和认证服务器之间传递radius 数据包实现访问控制 。在传递数据包的过程中有如下的参数控制:
- 5000元台式电脑配置合集 直播电脑配置推荐4000-5000
- ping命令的3种常见用法 ping测试是什么
- 最好的太空题材游戏是哪些?31款大合集介绍
- 交换机恢复出厂设置的3种方法 华为交换机恢复出厂设置命令
- 手机街机游戏合集500安卓版 街机游戏大全免费下载
- 街机游戏500游戏合集 经典街机游戏合集1000
- 如何快速更改windows帐户密码 修改windows用户密码命令
- 手把手教你查看mac地址 查看mac地址的命令
- 一文详解cad缩放命令 cad等比例缩放怎么操作
- 30秒教你快速重开系统 lol重开命令是什么