FAQ-S-B S3100系列交換機(jī) 802.1x認(rèn)證

一.  802.1X協(xié)議與體系結(jié)構(gòu)

    802.1X協(xié)議是 IEEE802 LAN/WAN 委員會為了解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題提出的。后來該協(xié)議作為局域網(wǎng)端口的一個普通接入控制機(jī)制應(yīng)用于以太網(wǎng)中，主要用于解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題，在局域網(wǎng)接入設(shè)備的端口這一級對所接入的設(shè)備進(jìn)行認(rèn)證和控制。本交換機(jī)可以作為一個認(rèn)證系統(tǒng)來對網(wǎng)絡(luò)中的計算機(jī)進(jìn)行認(rèn)證。連接在端口上的用戶設(shè)備如果能通過交換機(jī)認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過交換機(jī)認(rèn)證，則無法訪問局域網(wǎng)中的資源。

    802.1X 體系結(jié)構(gòu)。802.1X的系統(tǒng)是采用典型的Client/Server體系結(jié)構(gòu)，包括三個實體，如下圖所示

    1)  客戶端：局域網(wǎng)中的一個實體，多為普通計算機(jī)，用戶通過客戶端軟件發(fā)起802.1X認(rèn)證，并由設(shè)備端對其進(jìn)行認(rèn)證。客戶端軟件必須為支持802.1X認(rèn)證的用戶終端設(shè)備。

    2)  設(shè)備端：通常為支持 802.1X 協(xié)議的網(wǎng)絡(luò)設(shè)備，如本交換機(jī)，為客戶端提供接入局域網(wǎng)的物理/邏輯端口，并對客戶端進(jìn)行認(rèn)證。

    3)  認(rèn)證服務(wù)器：為設(shè)備端提供認(rèn)證服務(wù)的實體，例如可以使用 RADIUS 服務(wù)器來實現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。該服務(wù)器可以存儲客戶端的相關(guān)信息，并實現(xiàn)對客戶端的認(rèn)證和授權(quán)。為了保證認(rèn)證系統(tǒng)的穩(wěn)定，可以為網(wǎng)絡(luò)設(shè)置一個備份認(rèn)證服務(wù)器。當(dāng)主認(rèn)證服務(wù)器出現(xiàn)故障時，備份認(rèn)證服務(wù)器可以接替認(rèn)證服務(wù)器的工作，保證認(rèn)證系統(tǒng)的穩(wěn)定。

二.  搭建radius認(rèn)證服務(wù)器

    本文以試用版的WinRadius做為認(rèn)證服務(wù)端。（也可以在Windows Server 上搭建Radius認(rèn)證服務(wù)器。有關(guān)服務(wù)器的搭建方法請在網(wǎng)上參考相關(guān)資料）

    認(rèn)證服務(wù)器上的配置：

        ● 服務(wù)器IP地址：192.168.1.101

        ● 認(rèn)證端口：1812

        ● 計費端口：1813

        ● 密鑰：WinRadius

        ● 服務(wù)器上設(shè)置用戶賬號（用戶名密碼都為test1234）

三.  配置3100的802.1x功能

    1.Radius配置（強(qiáng)調(diào)交換機(jī)的ip必須修改成跟客戶端，radius服務(wù)器同一網(wǎng)段）

      將服務(wù)器上的相關(guān)設(shè)置對應(yīng)配置在交換機(jī)上。如果不需要進(jìn)行上網(wǎng)計費，則不需要啟用計費功能。

    2.端口配置

    端口模式

        a)  自動：端口需要進(jìn)行認(rèn)證。

        b)  強(qiáng)制授權(quán)：端口不需要認(rèn)證即可通訊

        c)  強(qiáng)制斷開：將端口強(qiáng)制斷開

        d)  需要認(rèn)證的端口使用自動模式,接Radius服務(wù)器的端口配置為強(qiáng)制授權(quán)即可

    3.客戶端認(rèn)證

        1) 如果客戶端為xp用戶時，pc接到交換機(jī)的自動端口后，需要一下幾步

            a)首先要開啟服務(wù)

              右鍵點擊我的電腦，選擇管理，進(jìn)入服務(wù)選項。開啟wired autoconfig

            b)開啟服務(wù)后，右鍵單擊網(wǎng)絡(luò)-屬性-更改適配器設(shè)置，右鍵單擊本地連接，屬性，身份驗證，勾選802.1x認(rèn)證，EAP類型選擇MD5-質(zhì)疑

               c)當(dāng)上述信息設(shè)置成功后，桌面右下角會有提示輸入用戶名和密碼，單擊后會出現(xiàn)，如下圖所示，輸入之前在radius服務(wù)上創(chuàng)建的用戶名和密碼，即可認(rèn)證成功

        2)若客戶端為win7客戶端

             a)首先也要開啟服務(wù)

              右鍵點擊我的電腦，選擇管理，進(jìn)入服務(wù)選項，開啟wired autoconfig

        b)win7開啟MD5認(rèn)證方式

        Win7默認(rèn)是MD5認(rèn)證關(guān)閉的，所以我們要去執(zhí)行一個注冊表，使其能支持MD5認(rèn)證,

    命令如下（在桌面新建一文本文檔，將以下命令輸入進(jìn)去，將后綴名改為.reg,雙擊執(zhí)行即可）

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]

    "RolesSupported"=dword:0000000a

    "FriendlyName"="MD5"

    "InvokeUsernameDialog"=dword:00000001

    "InvokePasswordDialog"=dword:00000001

    "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

    00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\

    61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00

        c)開啟服務(wù)后，右鍵單擊網(wǎng)絡(luò)-屬性-更改適配器設(shè)置，右鍵單擊本地連接，屬性，身份驗證，勾選802.1x認(rèn)證，驗證類型選擇MD5, 其他設(shè)置—指定身份驗證—選擇用戶或計算機(jī)身份驗證