-
802.1X
环境测试
支持的设备和功能描述
CISCO:MAC
旁路认证特性<
/p>
(MAB)
H3C:
MAC
认证旁路功能
思
路
当终端发送无
EAPOL
认证信息的数据包
通过交换机时,交换机若开启了基于
MAC
的认证
功能(
MAB
),则交换机等待
802.1X
认证超时后会启动
MAB
认证以终端
MAC
作为帐号
密码进
行认证,如果在
RADIUS
服务器上已授权许可该
MAC
地址表,则认证成功
,PXE
协
议通过,
PHANTOSYS
终端启动,终端进入操作系统后,进行再认证过程,此时先以域帐
号进行认证,若不
能以域帐号通过认证,则认证失败,再次以
MAB
通过认证
这种方式的好处,不需要在交换机上取
消
802.1X
认证,不用为了避免其它设备接入网络进
行
MAC
与端口绑定,不影响正常的
802.1X
认证
测试环境
WIN 2003
SER(X86) SP2+CISCO ACS SERVER v4.2
认证服务器一
WIN 2003
SER(X86) SP2+DNS+AD+IAS+IIS+CA
认证服务器二
CISCO 3560(Version 12.2(55)SE3)
网络设备
参考资料
Configure the RADIUS Server with Client
MAC Addresses ACS
配置
/en/US/docs/net_mgmt/cisco_
secure_access_control_server_for_windows/4.
0/user/guide/
ACS4.0
手册
/en/US/products/sw/secursw/
ps2086/products_configuration_guide_chapter
/en/US/tech
/tk722/tk809/technologies_configuration_example091
86a00808
MAC Authentication Bypass
/u
nivercd/cc/td/doc/solution/
以下内容摘自
CISCO
3560
命令手册
You can
configure the switch to authorize clients based on
the client MAC address (see Figure 9-2
on page 9-5) by using the MAC
authentication bypass feature. For example, you
can enable this
feature on 802.1x ports
connected to devices such as printers.
If
802.1x
authentication
times
out
while
waiting
for
an
EAPOL
response
from
the
client,
the
switch tries to authorize the client by
using MAC authentication bypass.
When
the MAC authentication bypass feature is enabled
on an 802.1x port, the switch uses the
MAC
address
as
the
client
identity.
The
authentication
server
has
a
database
of
client
MAC
addresses that are allowed network
access. After detecting a client on an 802.1x
port, the switch
waits
for
an
Ethernet
packet
from
the
client.
The
switch
sends
the
authentication
server
a
RADIUS-access/request
frame
with
a
username
and
password
based
on
the
MAC
address.
If
authorization succeeds,
the switch grants the client access to the
network. If authorization fails, the
switch assigns the port to the guest
VLAN if one is configured.
以下内容摘自
Quidway
S5300
系列以太网交换机
配置指南
2.4.4
(可选)使能
MAC
旁路认证功能
< br>
背景信息
MAC
旁路认证,指当终端进行
802.1x
认证失败后
,把它的
MAC
地址作为用户名和密码上送
RADIUS
服
务器进行认证。对于某些特殊终端,例如打
印机等,无法使用和安装
802.1x
终端软件,可以通过基于
MA
C
的旁路认证方式进行认证。
配置
MAC
旁路
认证,有以下两种配置方法:
操作步骤
?
系统视图下
1.
执行命令
system-
view
,进入系统视图。
2.
执行命令
dot1x
mac-
bypass
interface
{
interface-type
interface-number1
[
to
interface-
number2
]
}
&<1-10>
,使能接口
MAC
旁路认证功能。
< br>
系统视图下执行
dot1x
mac-bypass
命令时指定接口列表,
< br>可以批量配置接口
MAC
旁路
认
证功能。
?
接口视图下
1.
执行命令
system-
view
,进入系统视图。
2.
执行命令
interface
interface-type
interface-
number
,进入接口视图。
3.
执行命令
dot1x
mac-byp
ass
,在接口下使能
MAC
旁路认证
功能。
执行本命令将包含并覆盖该接口下的
< br>802.1x
使能命令,即
o
如果接口下原来没有使能
802.1x
,执行
dot1x
mac-bypass
命令后,
802
.1x
使能了。
o
如果接口下原来已经使能
802.1x
,执行
dot1x
mac-bypass
命令后,覆盖原来的配置,即
接口的认证方式为
MAC
旁路认证。
去使能
MAC
旁路认证功
能,使用
undo
dot1x
en
able
命令。注意同时也将去使能
802.1x
功能。
CISCO ACS SERVER
操作步骤
先在
ACS SERVER
上建立以终
端
MAC
为用户名密码的帐号(小写)
ACS
SERVER
设置
首次运行
ACS
后需要设置网络,
选择
network configuration
选项,
再选择
AAA
CLIENTS
菜单下
的
ADD EN
TRY
添加
AAA
终端(交换机)
,如图所示
设
置
AAA
设备名(不能有空格)
,
IP
,共享密钥,认证模式选择
RADIU
S
(
IETF
)设置好后选
择界面下的提交和保存
设置好后如图所示
再根据实际情况更改
AAA SERVER
与交换机通信的端口
(默认
1645
,
1646
)
,
本次案例使用
1812
,
1813
设置接口界面选项
添加允许组设置使用的选项
进行组设置
注意:
081
的值是需要的实际
VLAN
ID
,点击提交保存即可
WINOWS 2003 IAS SERVER
依次添加<
/p>
DNS,AD,IAS,IIS,CA
组件
-
-
-
-
-
-
-
-
-
上一篇:IPGUARD安全网关快速部署指南
下一篇:交换机参数_201653163550