MSR810配置本地认证的有线802.1X认证

e254652554c6af18d35a21a6b968adbf.gif

正文共:1567 字 15 图,预估阅读时间:2 分钟

IEEE 802.1X协议又称DOT1X协议,是一种基于端口的网络接入控制协议(Port based network access control protocol),即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。

802.1X系统中包括三个实体:客户端系统、认证系统和认证服务器,认证系统的体系架构如下图所示:

1d0c75d201230a33cc3589e3b12cfb14.png

客户端系统即终端设备,认证系统包含认证端口和认证系统两部分;认证服务器一般和认证系统使用的AAA方案相关,可以是本地认证方案或RADIUS方案。如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码;如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。

为了配置方便,我们今天的案例就使用MSR810-W自带的本地认证,用户必须设置为lan-access服务类型的网络接入类用户,如下所示:

#
local-user tietou class networkpassword simple tietou1xservice-type lan-accessauthorization-attribute user-role network-operator

对应的,我们新建一个domain域802.1x,并将lan-access用户的认证方法和授权方法配置为local本地认证,不配置计费。

#
domain 802.1xauthentication lan-access localauthorization lan-access local

缺省情况下,设备采用的认证方法为EAP终结方式,该方式下,设备对客户端发送的EAP报文可以支持本地认证的本地终结处理,还可以支持与RADIUS服务器进行联动;认证时,默认使用CHAP类型的认证方法,满足安全性的要求。

如果客户端采用了MD5-Challenge类型的EAP认证,则设备端只能采用CHAP认证;如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证,设备上可选择使用PAP认证或CHAP认证,但是CHAP认证更安全。

如果使用RADIUS认证方案,则可以采用EAP中继认证方式。此时,设备对客户端发送的EAP报文进行中继处理,并能支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

接下来,我们就可以开启接口下的802.1X认证了。需要注意的是,只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。

#
dot1x
#
interface GigabitEthernet0/2port link-mode bridgedot1x port-method portbaseddot1xdot1x mandatory-domain 802.1x

其中,dot1x port-method命令用来配置端口的接入控制方式。缺省情况下,端口采用的接入控制方式为macbased,表示基于MAC地址对接入用户进行认证,即该端口上的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。而我们案例中配置的接入控制方式为portbased,表示基于端口对接入用户进行认证,即只要该端口上的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其它用户也会被拒绝使用网络。

dot1x mandatory-domain命令用来指定端口上802.1X用户使用的强制认证域。从指定端口上接入的802.1X用户将按照如下先后顺序选择认证域:端口上指定的强制ISP域>用户名中指定的ISP域>系统缺省的ISP域。因为我们此处使用的ISP域是新建的802.1x,所以推荐在接口上进行指定。

最后,我们使用H3C iNode客户端的802.1X功能进行连接,需要先定制客户端。此前,我们也定制过SSL VPN的客户端VSR白送的的SSL VPN功能,你要不要?我来帮着更新一下Linux连接SSL VPN的操作指导,官网手册过时了!MacOS iNode客户端连接SSL VPN,今天再来演示一下802.1X客户端的定制。

首先,到H3C官网下载iNode客户端,页面如下:

a7afd06b0e38f89ce330756fbc85d0c9.png

然后运行压缩包中Windows路径下的安装文件,来安装iNode管理中心。

6828a1491ab2e8d057377dadc8b74221.png

安装完成后,运行iNode管理中心,点击左侧的“客户端定制”,然后在右侧对话框的网络接入组件选择“802.1X”,其他均可以不选,点击“完成”就可以了。

aee0afe25f394f6f6f1925e5f9bfb4a7.png

“完成客户端定制”对话框,依次点击“场景设置”“添加场景”,勾选“802.1X”,点击“确定”

74e02b9261396f41995d5ea866087a2d.png

回到“完成客户端定制”对话框,勾选“生成定制的客户端安装程序”,可以根据需求选择“静默式安装”“MSI”,最后点击“确定”开始生成安装包。

6dbf27b8d89c2fd6db2f7f5228a7a729.png

生成完成后,会弹出“客户端定制结果”对话框,点击“查找目标”进入到客户端安装包所在路径。

a88ad7367bc3aab9bca5f942e90ab643.png

找到安装包之后,就可以开始安装了。

708b4ed17b075a853f7afbea1c8f0645.png

安装完成后,运行客户端,输入用户名和密码进行认证。

4948b2197ea579931472c0535497333c.png

如果本地认证出现异常,请点击更多中的“属性”,正确选择使用中的有线网卡,并且确认802.1X连接属性中的“上传客户端版本号”选项未被选中

ed3a1ffd8dac3a3c6ec50bda70f177dd.png

再次进行连接,此时客户端可以正常上线。

615852778d9875e9dcbe466b6b99d78a.png

在设备上,我们可以使用命令查看端口上802.1X的配置情况。

display dot1x interface GigabitEthernet 0/2

f6bb675aec81bb7d48854f894f1b7eba.png

当802.1X用户输入正确的用户名和密码成功上线后,可使用命令查看到上线用户的连接情况。

display dot1x connection

50fcd9547ff179b692b6898224e60cee.png

还可以查看802.1X的会话连接信息。

display dot1x sessions

f94837041a1935624ecc45fd7a76fda3.png

因为路由器开启了DHCP功能,所以终端通过802.1X认证之后可以正常获取IP地址,可以从设备上查看地址分配情况。

cf857899123154dfb6938382d4438a7b.png

可以看到,客户端的MAC地址显示比正常的多了两位,前两位为Client identifier,代表硬件类型,此处值为01,即表示以太网。

f55a0eb7b9afc1ff78113d85e2ed4a15.gif

长按二维码
关注我们吧

0c9ead2ab3eb2871ef92ef4cabf8112d.jpeg

2069310b18da1e620ca644e5ae265d6e.png

网络之路23:DHCP进阶实验

配合DHCP实验讲解一下DHCP考题

使用VLC media player初步认识单播、广播和组播

通过抓包简单对比一下单播、广播和组播的区别

HCL中竟然新增了Openwrt服务器,你知道怎么用吗?

HCL使用Openwrt测试组播的简单操作

iperf测试组播的命令是什么?通过HCL学习一下

组播源和组播接收者的IP地址配置不配行不行?

基于子VLAN的组播VLAN实验

ip address命令操作指南

添加组播地址的autojoin标志就能测试祖播了

手撸一个自动创建SSL证书的SHELL脚本

Linux下的VLC简介

ip route命令操作指南

AI讽刺检测:侮辱你的AI而不冒犯它

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/52765.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

RabbitMQ 常见问题与故障排查

目录 前言 常见错误与解决方案 1. 连接失败 2. 队列阻塞 3. 消息丢失 4. 消费者不消费 5. 资源耗尽 日志分析 1. 配置 RabbitMQ 日志 2.日志文件位置 3. 日志分析工具 4. 分析日志文件 5. 常见日志问题及解决方案 Docker中日志分析 1. 查看 RabbitMQ 日志 2. 获…

Django 第八课 -- 路由

目录 一. 前言 1.1. Django1.1.x 版本 1.2. Django 2.2.x 之后的版本 二. 正则路径中的分组 2.1. 正则路径中的无名分组 2.2. 正则路径中的有名分组 三. 反向解析 3.1. 普通路径 3.2. 正则路径(无名分组) 3.3. 正则路径(有名分组&a…

代码随想录训练营 Day41打卡 动态规划 part08 121. 买卖股票的最佳时机 122. 买卖股票的最佳时机II 123. 买卖股票的最佳时机III

代码随想录训练营 Day41打卡 动态规划 part08 一、力扣121. 买卖股票的最佳时机 给定一个数组 prices ,它的第 i 个元素 prices[i] 表示一支给定股票第 i 天的价格。 你只能选择 某一天 买入这只股票,并选择在 未来的某一个不同的日子 卖出该股票。设计…

反事实推理(Counterfactual Reasoning):探索未知与决策的桥梁

反事实推理(Counterfactual Reasoning):探索未知与决策的桥梁 反事实推理(Counterfactual Reasoning)是一种思维方式,它试图回答“如果……会怎样?”的问题。简单来说,反事实推理是…

中国料箱穿梭车玩家TOP榜单

导语 大家好,我是社长,老K。专注分享智能制造和智能仓储物流等内容。 新书《智能物流系统构成与技术实践》人俱乐部 料箱穿梭车前景 随着全球智慧物流建设的加速推进,智能仓储物流成为未来发展的重要趋势。在此背景下,料箱穿梭车作…

cuda,torch,paddle向下兼容

1、第一次配置yolov9模型时,使用的cuda的版本是11.6,torch和torchvision都是对应版本的 使用的tensorrt版本8.6,可以正常跑yolov9 其它不动,直接将cuda版本换为cuda11.7,依然可以正常运行 2、paddleseg paddle同样安…

carla unreal engine源码:如何创建radar可视化探测锥

文章目录 前言一、C实现方法1、DrawDebugCone函数2、carla工程修改3、make launch4、探测锥验证 二、蓝图实现方法1、创建并打开蓝图2、打开蓝图事件图表3、绘制蓝图事件4、编译再运行 前言 1、在自动驾驶仿真调试以及测试过程中,我们经常会用到雷达的探测锥&#…

Memory-based Controller Shutdown (PCIe)

本文介绍NVMe协议中定义的Controller Shutdown流程,当Host需要下电或关机的情况下,应该按下面步骤对控制器进行有序的下电操作。 Normal Controller Shutdown,Host应依次执行以下操作: 如果Controller是enabled(i.e.,…

设计模式 代理模式(Proxy Pattern)

简绍 代理模式是一种结构型设计模式,它允许您提供一个替代对象(代理)来控制对一个真实对象的访问。这种模式通常用于在访问某个对象之前或之后执行一些额外的操作,比如缓存、日志记录、权限验证等 静态代理 静态代理的特点 代…

OpenCV小练习:身份证号码识别

目标:针对一张身份证照片,把身份证号码识别出来(转成数字或字符串)。 实现思路:需要将目标拆分成两个子任务:(1) 把身份证号码区域从整张图片中检测/裁剪出来;(2) 将图片中的数字转化成文字。第…

Java重修笔记 第四十五天 LinkedHashSet 类

LinkedHashSet 类 1. LinkedHashSet 是 HashSet 的子类,继承 HashSet 的方法 2. LinkedHashSet 的底层是 LinkedHashMap ,底层维护了一个数组加双向链表的组合 3. LinkedHashSet 根据元素的 hashCode 值来决定元素在 table 数组上的存储位置&#xf…

Pandas库性能优化指南:从基础到进阶(终)

Pandas是Python中广泛使用的数据处理库,凭借其强大的功能和易用性,深受数据科学家和开发者的青睐。然而,Pandas在处理大规模数据时可能会遇到性能瓶颈,导致执行效率低下。本文将深入探讨如何通过一系列优化技巧,提升Pa…

快速学习go-zero

go的web框架有很多,目前go的社区大家对于框架的态度也不尽相同,有些轻量级的框架,但是也就代表整合第三方中间件就需要自己根据客户端进行封装,比如gingorm,也有些功能完全但是被认为丢失了go本身轻量设计的初衷, 比如goframe,而同样的微服务有很多框架,国内比较出门的就是go-z…

rockyliunx 救援模式下禁用docker

目录地址 /usr/lib/systemd/system/docker.service 进入系统界面: 选择系统 按E 按e出现 如下界面,找到 quite 后面添加 init/bin/bash 按 ctrl x 保存 后,到如下界面 加载文件系统为读写 输入命令 mount -o remount, rw / 修改docer.s…

docker的安装+docker镜像的基本操作

一.docker的介绍 1、Docker 是什么? Docker 是⼀个开源的应⽤容器引擎,可以实现虚拟化,完全采⽤“沙 盒”机制,容器之间不会存在任何接⼝。 Docker 通过 Linux Container(容器)技术将任意…

SpringBoot项目集成数据脱敏(密码加密)功能

代码连接【https://gitee.com/pengmqqq/sensitive-data-encryption】 介绍 后端敏感数据加密的一些解决方案,包括: 配置文件敏感数据加解密前端传输敏感数据加解密数据库获取的敏感数据加解密 软件架构 配置文件数据脱敏: Jasypt AES …

【线程池】

什么是线程池? 线程池是一个可以复用线程的技术。简单来说,线程池是一种基于池化技术的思想来管理线程的技术,旨在减少线程的创建和销毁次数,提高系统的响应速度和吞吐量。它预先创建了一定数量的线程,并将这些线程放…

力扣52-最大子序和(java详细题解)

题目链接:https://leetcode.cn/problems/maximum-subarray/description/ 前情提要: 因为本人最近都来刷贪心类的题目所以该题就默认用贪心方法来做。 贪心方法:局部最优推出全局最优。 如果一个题你觉得可以用局部最优推出全局最优&#…

Java中的定时器(Timer)

目录 一、什么是定时器? 二、标准库中的定时器 三、实现自定义定时器 一、什么是定时器? 定时器就像一个"闹钟",当它到达设定的时间后,就会执行预定的代码。 例如,我们在TCP的超时重传机制中讲过,如果服务器在规定…