[原创]Quidway S系列交换机802.1X实现

lijf2

为什么要实现802.1X
随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求。802.1x协议具有完备用户的认证、管理功能，很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更适合在宽带以太网中的使用。
802.1X协议概况
IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol）。
IEEE 802.1x协议的体系结构包括三个重要的部分：Supplicant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。
　　客户端系统：一般为一个用户终端系统，该终端系统通常要安装一个客户端App，用户通过启动这个客户端App发起802.1x协议的认证过程。为支撑基于端口的接入控制，客户端系统需支撑EAPOL（Extensible Authentication Protocol Over LAN）协议。
　　认证系统：通常为支撑802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等）,有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，可保证客户端 始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。
　　认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证系统和认证服务器之间通过EAP协议进行通信。
　　认证系统和认证服务器之间的通信可以通过网络进行，也可以使用其他的通信通道，例如如果认证系统和认证服务器集成在一起，二个实体之间的通信就可以不采用EAP协议。大家的产品可以实现认证系统和认证服务器的集成能力，完成EAP报文的终结，提供标准的RADIUS接口。

802.1X协议技术特点
1、协议实现简单
802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。
2、认证和业务分离
　　802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由Radius和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换；所以通过认证之后的数据包是无需封装的纯数据包。认证系统简化了PPPOE方式中对每个数据包进行拆包和封装等繁琐的工作，所以802 .1x封装效率高，消除了网络瓶颈；同时，由于802.1x认证包采用了在不可控通道中的独立处理的方式，因此认证处理容量可以很大，远远高于传统的BAS，无需要购买昂贵设备，降低了建网成本。
3、和其他认证方式的比较：
　　802.1x协议虽然源于IEEE 802.11无线以太网（EAPOW），但是，它在以太网中的引入，解决了传统的PPPOE和WEB/PORTAL认证方式带来的问题，消除了网络瓶颈，简轻了网络封装开销，降低了建网成本。
众所周知，PPPOE是从基于ATM的窄带网引入到宽带以太网的，由此可以看出，PPPOE并不是为宽带以太网量身定做的认证技术，将其应用于宽带以太网，必然会有其局限性，虽然其方式较灵活，在窄带网中有较丰富的应用经验，但是，它的封装方式，也造成了宽带以太网的种种等问题。在PPPOE认证中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多或者数据包增大，封装速度必然跟不上，成为了网络瓶颈；其次这样大量的拆包解包过程必须由一个功能强劲同时价格昂贵的设备来完成，这个设备就是大家传统的BAS，每个用户发出的每个数据包BAS必须进行拆包识别和封装转发；为了解决瓶颈问题，厂商想出了提高BAS性能，或者采用大量分布式BAS等方式来解决问题，但是BAS的功能就决定了它是一个昂贵的设备，这样一来建设成本就会越来越高。
　　WEB/PORTAL认证是基于业务类型的认证，不需要安装其他客户端App，只需要浏览器就能完成，就用户来说较为方便。但是由于WEB认证走的是7层协议，从逻辑上来说为了达到网络2层的连接而跑到7层做认证，这首先不符合网络逻辑。其次由于认证走的是7层协议，对设备必然提出更高要求，增加了建网成本。第三，WEB是在认证前就为用户分配了IP地址，对目前网络珍贵的IP地址来说造成了浪费，而且分配IP地址的DHCP对用户而言是完全裸露的，容易造成被恶意攻击，一旦受攻击瘫痪，整网就没法认证；为了解决易受攻击问题，就必须加装一个防火墙，这样一来又增加了建网成本。WEB/PORTAL认证用户连接性差，不容易检测用户离线，基于时间的计费较难实现；用户在访问网络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证，易用性不够好；而且认证前后业务流和数据流无法区分。所以，在以太网中，WEB/PORTAL认证目前只是限于在酒店,校园等网络环境中使用。

大家实现的802.1X与IEEE 802.1X有何区别
由于硬件等多方面的原因，大家实现的1X与IEEE 802.1X还是有些区别的，列举如下：
a、IEEE 802.1X通过重认证，解决用户上线后的安全问题；
     大家的Lanswitch通过握手维护用户的连接信息。
     重认证对Radius server要求比较高－－若radius server只支撑老的RFC2138/RFC2139，则radius server不支撑重认证； 重认证机制比较复杂，对lanswitch的硬件要求较高。
       握手机制是Lanswitch与客户端的单播握手，对Radius server没有要求，因此，若用户远程认证实现接入，这时把server与Lanswitch的连接断开，Lanswitch并不能切断与用户的连接。但Lanswitch对下线话单丢失的情况，有保护措施，也就是并不会丢失用户的计费信息，在上面这种情况，Lanswitch虽不切断与用户的连接，但用户在服务器连接断掉后的计费信息，都会保存在Lanswitch上，待连接重新建立后传给服务器。
       总而言之，这两种方式，并不矛盾，重认证和握手可以并存于Lanswitch上。重认证通过认证来防止非法用户访问网络，握手机制通过握手来防止非法用户访问网络。
       b、IEEE 802.1X有对受控方向的定义，IN和BOTH，在大家产品上不实现BOTH。

IN：PC1通过e0/10口访问外部网络受控，即需要通过认证才能访问，外部网络访问PC1不受控。
BOTH：PC1通过e0/10口访问外部网络受控，外部网络访问PC1也受控。

802.1X配置
实现本地认证的配置：
1）配置aaa
                       aaa authentication auth local
                 aaa accounting acc disable
说明：simple认证也是本地认证的一种，它和local认证相比，在认证时不对密码进行验证，即用户可以不需密码直接通过认证上网。

                     2）配置域huawei
                       Domain huawei  
                       authen-scheme auth
                 acct-scheme acc
                 state active
                 Exit
说明：域里配置的auth要和aaa配置的auth名称一致，acc也一样，如上蓝色部分和红色部分。

3）配置本地用户
user test@huawei state active service-type 8021x password 0 test

4）启动dot
Dot1X
Dot 1X int e0/10
                  说明：全局启动dot后，用户接入端口也要手工启动dot，这一步不可省，而服务器与Lanswitch接入的端口千万不能启动Dot1X。

实现远程认证的配置：
1）配置aaa
Aaa authentication auth radius
Aaa accounting acc enable offline
说明：Enable offline即认证失败后用户下线；enable online是认证失败后用户仍在线。
2）配置radius host
Radius host  radius
Primary auth 10.110.92.74 1812
Primary acct 10.110.92.74 1813
Exit
说明：10.110.92.74为Radius server的IP地址。
3）配置域huawei
Authen-scheme auth
Acct-scheme acc
Radius-scheme radius
State active
4）启动dot
Dot 1X
Dot1X int e0/10
几个概念，帮助你入门
首先声明，这几个概念，是目前大家Lanswitch的实现，将来若有变动，本文档应随变动而修改。
1、port-method
大家在敲命令行的时候，Port-method 有两种选择：
“S3026-1(config)#dot1X  port-method ?
  macbased   Mac based
  portbased  Port based   ”
基于mac的认证和基于port的认证，这两种方式有什么不同呢？
a、应用方式不同：
mac方式：对一个端口下挂的所有用户，每一个用户都必须通过认证，才能上网。
port方式：对一个端口下挂的所有用户，只要有一个用户通过认证，其他用户不必通过认证，即可上网。
b、实现的机制不同：
mac方式：端口启动dot1X，
第一步，用户未认证前，把该端口设成Mac max-mac-count 0，禁止地址学习；
第二步，用户认证通过后，在这个端口上配置一条mac地址，如：
MAC ADDR        VLAN ID    STATE            PORT INDEX          AGING TI
0005.5da4.6b2d        1              system                Ethernet0/10          5
只有在Lanswitch上存在mac地址表项的用户才可以上网。

port方式：端口启动dot1X
第一步，用户未认证前，借用Span tree机制，端口设成discarding状态。
第二步，用户认证通过后，端口状态变为forwarding状态。
当然这些端口状态对用户不可见。
port方式在用户认证的时候不配置mac地址。

c、认证时交互报文不同。
mac方式：PC发起的start报文目的mac是0180c2000003，源mac是PC的Mac；
                   之后的request报文或response报文目的mac都是单播报文，是PC和
                   Lanswitch的Mac。
port方式：PC发起的start报文目的mac是0180c2000003，源mac是PC的mac，这点和mac方式一样。
                   之后的request报文或response报文是PC和0180c20003的交互，即request报文源mac是0180c2000003,response报文目的mac是0180c2000003。

2、port-control
“S3026-1(config)#dot1x port-control ?
  Auto                        Auto
  Force-authorized     Forced-auth
  force-unauthorized  Forced-unauth”
根据IEEE 802.1X，ForceUnauthorized是常关模式，端口保持非认证状态，即用户从这个端口接入，是无论如何上不了网的，不管用户是否通过认证。
ForceAuthorized是常开模式，端口保持认证状态，即用户从这个端口接入，肯定可以上网，不管用户是否通过认证。
Auto：端口是开还是关取决于认证是否通过。认证通过，用户可以上网，否则，用户不能上网。端口只有置于这种模式下，客户端才能认证通过，大家的Lanswitch缺省配置就是auto模式。

其他的都很简单，我觉得没有什么好讲的了，另外，在《Quidway S系列交换机802.1X测试项目手册》中也有阐述，大家可以看看。
常见认证失败原因分析
大家huawei的客户端提示信息较少，认证不通过时常常是报：用户名和密码不符。寻找原因就比较麻烦，我建议大家从以下几个方面着手：
首先，保证链路连接正确。
检测方法：将Lanswitch的dot1X关闭－－“No dot1X”，本地认证PC ping Lanswitch，远程认证PC ping radius server，保证能ping通。
其次，检查用户和Lanswitch连接的端口是否启动1X。
检测方法：可以通过“Show run”或“show dot int e0/10”来查看。
再次，检查交换机配置是否正确。包括：
远程认证检查交换机配置的key是否和Radius server的key一致；
                        域里是否引用了Radius host；
                         域的状态是否激活。
第四，检查NAS地址配置是否和Radius server上指定的地址一致。
在radius server上可以指定NAS地址，交换机上的NAS配置须和radius server上指定的一致。
第五，对于大家的cams服务器，客户端上的用户名要和cams上的业务名一致，而不是和帐号名一致，用户密码要和业务密码一致。
如：客户端用户名是test@huawei,密码test。cams上创建一个帐号用户，111@huawei,密码111，此帐号需要申请业务－－LAN接入业务（因为不申请业务这个帐号就不能提供服务），申请业务的业务名必须是test@huawei，业务密码必须是Test。  
第六，对于cams上生成的预付费卡用户，密码是随机的，你需要到cams上查找密码，路径即是生成卡用户时指定的路径。需要注意的是，对于这种用户，交换机上应配置：
“S3026-1(config-radius-default)#username-format without-domain”
认证时，客户端输入，如：
用户：10000001@huawei
密码：726939
Lanswitch这样配置是因为在cams上预付费卡用户名是不带域名存在的，当然，对预付费卡来说，用户上网的先决条件一定是卡里的余额大于零。
第七，如果和cams配合认证还是失败，可以telnet登上去看cams的log信息，在/root/cams/log目录下，根据日期就可以查看，比如今天是2002年7月30日，文件名就是20020730.log，大家需要注意的是，千万不能“vi”打开看log，这样会造成读写冲突，丢失日志信息，建议大家使用“Tail -f  20020730.log”命令查看。


总结
下面总结802.1x协议的优点：
简洁高效：纯以太网技术内核，保持IP网络无连接特性，去除冗余昂贵的多业务网关设备，消除网络认证计费瓶颈和单点故障，易于支撑多业务；
容易实现：可在普通L3、L2、IP DSLAM上实现，网络综合造价成本低。
安全可靠：在二层网络上实现用户认证，并可以通过设备实现MAC、端口、账户和密码等绑定技术具有很高的安全性；
行业标准：IEEE标准，MicroSoft操作系统内置支撑；
易于运营：控制流和业务流完全分离，易于实现多业务运营，少量改造传统
包月制等单一收费制网络即可升级成运营级网络。

参考资料清单：
IEEE 802.1X
其他说明：
本文档会随着产品的功能完善和相关意见进行相应更新。