1、802.1x 标准简介

IEEE 802.1x 标准（以下简称802.1x）的主要内容是一种基于端口的网络接入控制

（Port Based Network Access Control）协议。

对于诸如电信接入、商务局域网（典型的例子是写字楼中的LAN）以及移动办公等应用场合，局域网服务的提供者普遍希望能对用户的接入进行控制，为此产生了对“基于端口的网络接入控制”的需求。

“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连接被物理断开。

配置举例：

1.     组网需求

如下图所示，某用户的工作站与以太网交换机的端口GigabitEthernet 0/1 相连接。交换机的管理者希望在各端口上对用户接入进行认证，以控制其访问Internet；接入控制模式要求是基于MAC 地址的接入控制。

所有AAA 接入用户都属于一个缺省的域：huawei163.net，该域最多可容纳30 个用户；认证时，先进行RADIUS 认证，如果RADIUS 服务器没有响应再转而进行本地认证；计费时，如果RADIUS 计费失败则切断用户连接使其下线；此外，接入时在用户名后不添加域名，正常连接时如果用户有超过20 分钟流量持续小于2000Bytes的情况则切断其连接。

由两台RADIUS 服务器组成的方案与交换机相连，其IP 地址分别为10.11.1.1 和10.11.1.2，要求使用前者作为主认证/从计费服务器，使用后者作为主计费服务器；设置系统与RADIUS 认证服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”，设置系统在向RADIUS 服务器发送报文后5 秒种内如果没有得到响应就向其重新发送报文，重复发送报文的次数总共为5次，设置系统每15 分钟就向RADIUS 服务器发送一次实时计费报文，指示系统从

用户名中去除用户域名后再将之传给RADIUS 服务器。本地802.1x 接入用户的用户名为localuser，密码为localpass，使用明文输入，闲置切断功能处于打开状态。

2. 组网图

# 开启指定端口GigabitEthernet 0/1 的802.1x 特性。

[Quidway] dot1x interface GigabitEthernet 0/1

# 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC 地址的）。

[Quidway] dot1x port-method macbased interface GigabitEthernet 0/1

# 创建RADIUS 组radius1 并进入其视图。

[Quidway] radius scheme radius1

# 设置主认证/计费RADIUS 服务器的IP 地址。

[Quidway-radius-radius1] primary authentication 10.11.1.1

[Quidway-radius-radius1] primary accounting 10.11.1.2

# 设置备份认证RADIUS 服务器为本地RADIUS 认证服务器。

[Quidway-radius-radius1] secondary authentication 127.0.0.1 1645

# 设置备份计费RADIUS 服务器的IP 地址。

[Quidway-radius-radius1] secondary accounting 10.11.1.1

[Quidway-radius-radius1] quit

# 设置交换机与认证RADIUS 服务器交互报文时的加密密码。

[Quidway] local-server nas-ip 127.0.0.1 key name

[Quidway] radius scheme radius1

[Quidway-radius-radius1] key authentication name

# 设置系统与计费RADIUS 服务器交互报文时的加密密码。

[Quidway-radius-radius1] key accounting money

# 设置系统向RADIUS 服务器重发报文的时间间隔与次数。

[Quidway-radius-radius1] timer 5

[Quidway-radius-radius1] retry 5

# 设置系统向RADIUS 服务器发送实时计费报文的时间间隔。

[Quidway-radius-radius1] timer realtime-accounting 15

# 指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。

[Quidway-radius-radius1] user-name-format without-domain

[Quidway-radius-radius1] quit

# 创建用户域huawei163.net 并进入其视图。

[Quidway] domain huawei163.net

# 指定radius1 为该域用户的RADIUS 方案。

[Quidway-isp-huawei163.net] radius-scheme radius1

# 设置该域最多可容纳30 个用户。

[Quidway-isp-huawei163.net] access-limit enable 30

# 启动闲置切断功能并设置相关参数。

[Quidway-isp-huawei163.net] idle-cut enable 20 2000

# 添加本地接入用户。

[Quidway] local-user localuser

[Quidway-luser-localuser] service-type lan-access

[Quidway-luser-localuser] password simple localpass

# 开启全局802.1x 特性。

[Quidway] dot1x

2、AAA 概述

AAA 是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。

这里的网络安全主要是指访问控制，包括：

􀁺

哪些用户可以访问网络服务器？

􀁺 具有访问权的用户可以得到哪些服务？

􀁺 如何对正在使用网络资源的用户进行计费？

针对以上问题，AAA 必须提供下列服务：

􀁺 认证：验证用户是否可获得访问权。

􀁺 授权：授权用户可使用哪些服务。

􀁺 计费：记录用户使用网络资源的情况。

AAA 一般采用客户/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。因此，AAA 框架具有良好的可扩展性，并且容易实现用户信息的集中管理。

3、RADIUS 协议概述

如前所述，AAA 是一种管理框架，因此，它可以用多种协议来实现。在实践中，人们最常使用RADIUS 协议来实现AAA

1. 什么是RADIUS

RADIUS 是Remote Authentication Dial-In User Service（远程认证拨号用户服务）的简称，它是一种分布式的、客户机/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（例如，它常被应用来管理使用串口和调制解调器的大量分散拨号用户）。

RADIUS 系统是NAS（Network Access Server）系统的重要辅助部分。

当RADIUS 系统启动后，如果用户想要通过与NAS（PSTN 环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机）建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时，NAS，也就是RADIUS 客户端将把用户的认证、授权和计费请求传递给RADIUS 服务器。

RADIUS 服务器上有一个用户数据库，其中包含了所有的用户认证和网络服务访问信息。RADIUS 服务器将在接收到NAS 传来的用户请求后，通过对用户数据库的查找、更新，完成相应的认证、授权和计费工作，并把用户所需的配置信息和计费统计数据返回给NAS——在这里，NAS 起到了控制接入用户及对应连接的作用，而RADIUS 协议则规定了NAS 与RADIUS 服务器之间如何传递用户配置信息和计费信息。

NAS 和RADIUS 之间信息的交互是通过将信息承载在UDP 报文中来完成的。在这个过程中，交互双方将使用密钥对报文进行加密，以保证用户的配置信息（如密码）被加密后才在网络上传递，从而避免它们被侦听、窃取。

2. RADIUS 操作

RADIUS 服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能。

通常整个操作步骤如下：首先，客户端向RADIUS 服务器发送请求报文（该报文中包含用户名和加密口令）；然后，客户端会收到RADIUS 服务器的响应报文，如ACCEPT 报文、REJECT 报文等（其中，ACCEPT 报文表明用户通过认证；REJECT 报文表明用户没有通过认证，需要用户重新输入用户名和口令，否则访问被拒绝）。

4、AAA/RADIUS 在交换机中的实现

在一个AAA/RADIUS 框架中，Quidway 系列交换机是作为用户接入设备即NAS，相对于RADIUS 服务器来说，Quidway 系列交换机是RADIUS 系统的客户端。Quidway 系列交换机参与的、使用RADIUS 认证的组网示意图如下所示。

AAA 和RADIUS 协议典型配置举例

FTP/Telnet 用户远端RADIUS 服务器认证配置

1. 组网需求

如下图所示的环境中，现需要通过对交换机的配置实现RADIUS 服务器对登录交换机的Telnet 用户的远端认证。

其中：由一台RADIUS 服务器（其担当认证RADIUS 服务器的职责）与交换机相连，服务器IP 地址为10.110.91.164，设置交换机与认证RADIUS 服务器交互报文时的加密密码为“expert”，设置交换机从用户名中去除用户域名后再将之传给RADIUS服务器。

2. 组网图

# 配置Telnet 用户采用远端认证方式，即scheme 方式。

[Quidway-ui-vty0-4] authentication-mode scheme

# 配置domain。

[Quidway] domain cams

[Quidway-isp-cams] quit

# 配置RADIUS 方案。

[Quidway] radius scheme cams

[Quidway-radius-cams] primary authentication 10.110.91.164 1812

[Quidway-radius-cams] key authentication expert

[Quidway-radius-cams] server-type huawei

[Quidway-radius-cams] user-name-format without-domain

# 配置domain 和RADIUS 的关联。

[Quidway-radius-cams] quit

[Quidway] domain cams

[Quidway-isp-cams] radius-scheme cams