一. 802.1X协议与体系结构
802.1X协议是 IEEE802 LAN/WAN 委员会为了解决无线局域网网络安全问题提出的。后来该协议作为局域网端口的一个普通接入控制机制应用于以太网中,主要用于解决以太网内认证和安全方面的问题,在局域网接入设备的端口这一级对所接入的设备进行认证和控制。本交换机可以作为一个认证系统来对网络中的计算机进行认证。连接在端口上的用户设备如果能通过交换机认证,就可以访问局域网中的资源;如果不能通过交换机认证,则无法访问局域网中的资源。
802.1X 体系结构。802.1X的系统是采用典型的Client/Server体系结构,包括三个实体,如下图所示
1) 客户端:局域网中的一个实体,多为普通计算机,用户通过客户端软件发起802.1X认证,并由设备端对其进行认证。客户端软件必须为支持802.1X认证的用户终端设备。
2) 设备端:通常为支持 802.1X 协议的网络设备,如本交换机,为客户端提供接入局域网的物理/逻辑端口,并对客户端进行认证。
3) 认证服务器:为设备端提供认证服务的实体,例如可以使用 RADIUS 服务器来实现认证服务器的认证和授权功能。该服务器可以存储客户端的相关信息,并实现对客户端的认证和授权。为了保证认证系统的稳定,可以为网络设置一个备份认证服务器。当主认证服务器出现故障时,备份认证服务器可以接替认证服务器的工作,保证认证系统的稳定。
二. 搭建radius认证服务器
本文以试用版的WinRadius做为认证服务端。(也可以在Windows Server 上搭建Radius认证服务器。有关服务器的搭建方法请在网上参考相关资料)
认证服务器上的配置:
● 服务器IP地址:192.168.1.101
● 认证端口:1812
● 计费端口:1813
● 密钥:WinRadius
● 服务器上设置用户账号(用户名密码都为test1234)
三. 配置3100的802.1x功能
1.Radius配置(强调交换机的ip必须修改成跟客户端,radius服务器同一网段)
将服务器上的相关设置对应配置在交换机上。如果不需要进行上网计费,则不需要启用计费功能。
2.端口配置
端口模式
a) 自动:端口需要进行认证。
b) 强制授权:端口不需要认证即可通讯
c) 强制断开:将端口强制断开
d) 需要认证的端口使用自动模式,接Radius服务器的端口配置为强制授权即可
3.客户端认证
1) 如果客户端为xp用户时,pc接到交换机的自动端口后,需要一下几步
a)首先要开启服务
右键点击我的电脑,选择管理,进入服务选项。开启wired autoconfig
b)开启服务后,右键单击网络-属性-更改适配器设置,右键单击本地连接,属性,身份验证,勾选802.1x认证,EAP类型选择MD5-质疑
c)当上述信息设置成功后,桌面右下角会有提示输入用户名和密码,单击后会出现,如下图所示,输入之前在radius服务上创建的用户名和密码,即可认证成功
2)若客户端为win7客户端
a)首先也要开启服务
右键点击我的电脑,选择管理,进入服务选项,开启wired autoconfig
b)win7开启MD5认证方式
Win7默认是MD5认证关闭的,所以我们要去执行一个注册表,使其能支持MD5认证,
命令如下(在桌面新建一文本文档,将以下命令输入进去,将后缀名改为.reg,双击执行即可)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]
"RolesSupported"=dword:0000000a
"FriendlyName"="MD5"
"InvokeUsernameDialog"=dword:00000001
"InvokePasswordDialog"=dword:00000001
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\
61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
c)开启服务后,右键单击网络-属性-更改适配器设置,右键单击本地连接,属性,身份验证,勾选802.1x认证,验证类型选择MD5, 其他设置—指定身份验证—选择用户或计算机身份验证
电话:0755-29361081
地址:深圳市龙华区大浪街道丽荣路1号国乐科技园6栋13楼