华三802.1x认证配置

升级步骤：

1、 停用需要安装新版本的上的交换机的802.1X认证协议，进入到交换机全局配置模式下，undo dot1x即可。 全局配置模式下： undo dot1x

2、 交换机上的802.1X认证停用后就可以安装新的代理程序（安装时自动卸载6.2的客户端）。

3、 删除交换机上老的认证IP地址，添加新的认证IP地址。命令如下： 全局模式下：

radius scheme system

undo primary authentication undo primary accounting

primary authentication 172.16.10.5 1812 primary accounting 172.16.10.5 1813

4、 开启策略的802.1X认证（已开启）。

5、 开启交换机上的802.1X认证，命令如下： 全局配置模式下：

domain default enable system dot1x

dot1x authentication-method eap 6、 代理自动认证，上网成功；

配置详细命令如下：

H3C交换机进行相关配置，常用的命令如下： //设置交换机ip system-view

interfac

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括

port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X方式，如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息

示例配置：

Router#configure terminal

Router(config)#aaa new-model

Router(config)#aaa authentication dot1x default group radius

Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey

Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0

Router(config-if)#dot1x port-control auto

AUTO是常用的方

客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1x协议分配的一个组播MAC地址：01-80-C2-00-00-03。

设备端收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求

用户的客户端程序发送输入的用户名.设备端用的源地址是参与生成树的那个MAC地址，

客户端程序响应设备端发出的请求，将用户名信息通过数据帧（EAP-Response/Identity

报文）发送给设备端

设备端将客户端发送的数据帧经过封包处理后（RADIUS Access-Request报文）送给认证

服务器进行处理。

（4）RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表对

比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。

(5) 客户端程序收到由设备端传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对密码部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response

Secospace系统802.1X认证配置指导书

华为技术有限公司 Huawei Technologies Co., Ltd.

版权所有 侵权必究 All rights reserved

目 录

1.

802.1X认证简介 ...................................................................................................................1 1.1.1 概述 .............................................................................................................................1 1.1.2 基本原理 ......................................................................................................................2 1.1.3 与Secospace系统结合认证 .........

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

华中科技大学

硕士学位论文

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

姓名：周晓

申请学位级别：硕士

专业：通信与信息系统

指导教师：王芙蓉

20060428

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

摘要

随着信息技术的高速发展，网络安全技术也越来越受到重视，由此推动了防火墙、访问控制等各种网络安全技术的蓬勃发展。出于网络安全和计费的需要，基于端口控制的802.1X技术成为主流的身份验证机制，与此同时，以“集中式管理、分布式防护”为理念的分布式防火墙也以有效的端点防护成为企业网络安全重要解决方案。如今，有70%以上的安全威胁来自于企业内部，那些通过身份认证的主机往往有意无意地充当着攻击源，使得管理员防不胜防。企业希望能够以基于身份验证和主机安全状态的新型信任模式来控制终端接入内网。论文主要针对802.1X认证技术和分布式防火墙技术协同工作开展深入研究，并给出一种具体的解决方案。

首先，对802.1X协议及相关的EAP协议和RADIUS协议进行系统的研究。通过分析802.1X技术所采用的安全技术和工作原理，实现802.1X的从基于端口到基于用户的扩展。分析整理

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

Web认证配置

21.1 理解Web认证

21.1.1 Web认证概述

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行接入认证。 未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在Web认证服务器进行认证，只有认证通过后才可以使用互联网资源。 如果用户试图通过HTTP 访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称作强制认证。 Web认证可以为用户提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等。

21.1.2 Web认证基本概念

Web认证的基本概念主要有HTTP拦截、HTTP重定向。

21.1.2.1HTTP拦截

HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来，不进行转发。这些HTTP报文是连接在接入设备的端口下的用户所发出的，但目的并不是接入设备本身。例如，某用户通过IE浏览器上网，接入设备本应该将这些HTTP请求报文转发到网关的，但如果启动HTTP拦截，这些报文可以不被转发。 HTTP拦截之后，

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进