cjh EVE模拟器802.1x实验:用户名密码认证,配置通过802.1x认证控制电脑网络示例(win7)
EVE模拟器802.1x实验:用户名密码认证,配置通过802.1x认证控制电脑网络示例(win7)
(1)拓扑图
PC1的mac地址:
(2)配置RADIUS服务器
配置步骤包括:添加设备、添加用户等待。
配置RADIUS服务器参考配置如下:
群晖NAS: 配置Radius Server
http://www.zh-cjh.com/wangluoanquan/2845.html
(3)交换机的基础配置
sw1:配置设备的管理ip地址与默认路由
interface Vlanif1
ip address 10.12.3.3 255.255.0.0
ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
(4)交换机配置RADIUS认证
# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。
radius server group 1
radius server shared-key www.zh-cjh.com
radius server authentication 10.12.160.8 1812
radius server user-name domain-excluded
#默认是开启的
[sw1]radius enable
# 配置AAA认证方案,指定认证方式为RADIUS+Local。
aaa
authentication-scheme sch1
authentication-mode radius local
# 在域下引用AAA认证方案、RADIUS服务器模板。
aaa
domain zh-cjh.com
authentication-scheme sch1
radius server group 1
# 配置example.com为全局默认管理域。
aaa
default-domain admin zh-cjh.com
(5)在Switch上配置802.1X报文透传功能
由于Switch与用户之前存在透传交换机LAN Switch,为保证用户能够通过802.1x认证,务必保证LAN Switch能够透传EAP报文。
Switch作为二层交换机,为保证用户能够通过802.1X认证,需在Switch上配置802.1X报文透传功能。
[sw1]l2protocol-tunnel user-defined-protocol 802.1X protocol-mac ?
H-H-H Multicast MAC address, including but not limited to 0180-c200-0000 to
0180-c200-0013, 0180-c200-0016 to 0180-c200-002f, 0100-0ccc-cccc, and
0100-0ccc-cccd
[sw1]l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0000 group-mac ?
H-H-H MAC address begin with 0x01, excluding but not limited to
0180-c200-0000 to 0180-c200-002f
default-group-mac Default group-MAC address, the default value is
0100-0ccd-cdd0
[sw1-GE1/0/1]l2protocol-tunnel user-defined-protocol 1 protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
Info: Please make sure the input multicast MAC address does not conflict with other protocols.
interface GE1/0/1
undo shutdown
l2protocol-tunnel user-defined-protocol 1 enable
bpdu bridge enable
dot1x enable
(6)配置802.1x认证
[sw1]dot1x enable
interface GE1/0/1
undo shutdown
l2protocol-tunnel user-defined-protocol 1 enable
dot1x enable
(7.1)win7: 启用Wired AutoConfig与WLAN AutoConfig服务并配置为自动启动
(7.2)win7: 802.1X身份验证(如果windows上没有此选项,请检查Wired AutoConfig是否已启动)
(7.3)win7: 取消自动使用Windows密码
(7.4)win7: 配置并保存用户名以及密码
验证失败,而且radius server上没有相关日志。
问题可能出现在交换机透传EAP报文上或者802.1x认证方式(EAP中继认证、EAP终结认证)方面,因为交换机与radius server的连接正常。还有一种可能是这个eve不支持估802.1x的实验。
pc远程ssh方式登录到交换机时,使用radius server的密码正常。
使用802.1x客户端进行测试:
radius serer收到不相关的包,因为802.1x的流量在交换机的上联接口也抓不到。
解决:eve模拟器上运行:
for i in /sys/class/net/pnet*/bridge/group_fwd_mask ; do echo 65535 > $i ; done
测试:失败
查看radius server的记录
解决:
再进行测试:认证成功,而且几秒后也能ping通网络了。在没有认证成功前,也是获取不到ip地址的。
[sw1]display dot1x
Global 802.1x: Enabled
Authentication Method : CHAP
Max Online Users : 4096
Current Online Users : 1
Current Pre-Online Users: 0
Reauthen Period : 3600s
GE1/0/1 802.1x: Enabled
Port Control Type : Auto
Authentication Mode : MAC-based
Authentication Method: CHAP
Reauthentication : Disabled
Max Users : 3072
Current Users : 1
[sw1]
[sw1]display dot1x sessions
Total 1 dot1x sessions.
---------------------------------------
slot user-num
---------------------------------------
1 1
---------------------------------------
[sw1]
这里修改为单播,一样能认证成功。
认证方式:
radius server group 1
radius server shared-key-cipher 密码
radius server authentication 10.12.160.22 1812
radius server user-name domain-excluded
[sw1]dot1x authentication-method chap
[sw1]dot1x authentication-method pap
[sw1]dot1x authentication-method eap
可以年到认证方式为eap时,带域名的用户名认证时,虽然配置了domain-excluded(发送用户名时不带域名),但是发送过去时还是带域名,所以认证失败。
[sw1]dot1x authentication-method eap
不带域名时测试:失败
原因终端发送到交换机上的用户名带域名和不带域名会影响到aaa选择不同的认证策略。
解决方式一:配置认证域参数
[sw1]domain zh-cjh.com
解决方式二:把默认domain也配置上认证参数。
aaa
domain default
authentication-scheme sch1
radius server group 1
#
domain zh-cjh.com
authentication-scheme sch1
radius server group 1
[sw1]dot1x authentication-method eap
[sw1]dot1x authentication-method chap
结论:eap认证方式时,没有方法把域名去掉后再发送给radius server。
EAP方式时,radius server才能读到终端的mac地址。
发送给radius server的用户名不要带其他的参数,如域名,否则,radius serve识别,除非是同一个厂家的radius server。
终端用户名带域只是为了到交换机时,让交换要匹配使用aaa中的哪一个认证策略。
接口的认证方式优先于全局的配置的:
sw1]dot1x authentication-method eap
[sw1]
[sw1]dis dot1x
Global 802.1x: Enabled
Authentication Method : EAP
Max Online Users : 4096
Current Online Users : 1
Current Pre-Online Users: 0
Reauthen Period : 3600s
GE1/0/1 802.1x: Enabled
Port Control Type : Auto
Authentication Mode : MAC-based
Authentication Method: EAP
Reauthentication : Disabled
Max Users : 3072
Current Users : 1
[sw1]
[sw1]int g1/0/1
[sw1-GE1/0/1]dot1x authentication-method chap
[sw1-GE1/0/1]
[sw1-GE1/0/1]dis dot1x
Global 802.1x: Enabled
Authentication Method : EAP
Max Online Users : 4096
Current Online Users : 1
Current Pre-Online Users: 0
Reauthen Period : 3600s
GE1/0/1 802.1x: Enabled
Port Control Type : Auto
Authentication Mode : MAC-based
Authentication Method: CHAP
Reauthentication : Disabled
Max Users : 3072
Current Users : 1
[sw1-GE1/0/1]
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于EAP终结方式中用来对用户密码信息进行加密处理的MD5 challenge由设备端(用户电脑端)生成。
可以在sw1的ge1/0/0接口进行抓包分析:
chap认证方式:
[sw1]dot1x authentication-method chap
dot1x authentication-method chap.pcapng
chap比pap认证方式多了Challenge
pap认证方式:
[sw1]dot1x authentication-method pap
dot1x authentication-method pap.pcapng
eap认证方式:
[sw1]dot1x authentication-method eap
dot1x authentication-method eap.pcapng
命令dot1x authentication-method { chap | pap | eap },配置802.1x认证方式。
缺省情况下,802.1x认证方式为CHAP。
PAP是一种两次握手认证协议,它采用明文方式加载到RADIUS报文中传送口令。该方式安全性较低,不建议使用。
CHAP是一种三次握手认证协议,它只在RADIUS报文中传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。如果是基于安全性的考虑,建议采用该方式。
EAP认证功能,设备不对接收到的包含用户认证信息的EAP报文作任何处理,直接封装到RADIUS报文中发送给RADIUS服务器完成认证,这个技术也称之为EAPOR(EAP over Radius)。如果采用EAP-MD5认证方法,只需启动EAP认证即可。
其中PAP和CHAP认证属于终结认证,EAP方式属于中继认证方式。
NAC网络准入控制、radius、802.1X(列表、list、全)radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » EVE模拟器802.1x实验:用户名密码认证,配置通过802.1x认证控制电脑网络示例(win7)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm