Radius的安全认证——基于北电5520FUNK SBR
 

一、EAPOL

Extension Authentication Protocol over LAN,当在交换机端口配置了eapol后,电脑接到端口上就会被要求输入用户名密码以通过验证,验证可以由本地或者远端的Radius服务器来完成。
Guest-vlan:在EAP认证通过后,交换机会根据端口预先配置的vlan或者Radius服务器返回的VSA来将此端口分配到某个vlan中,如果在认证超过了规定次数后仍然不通过,则交换机会将端口放到Guest-vlan中,以达到访问控制的目的。当然,如果在端口上不启用Guest-vlan,除非认证通过,否则在此端口中只能由EAP的数据流,其他数据流都是被阻断的。
Guest-vlan只有在端口处于SHSASingle Host with Single Authentication)模式下才能生效,在此模式下,一个端口只允许一个MAC地址进行注册,并在认证通过后也端口也只会被分配到一个基于端口的VLAN中。
SHSA模式下的VLAN分配流程:
1、  端口处于EAP模式下
a)         如果配置了Guest-vlan,那么此时端口的PVIDGuest-vlan ID
b)        如果没有配置Guest-vlan,那么此时端口只允许通过EAPOL数据流,知道认证通过。
2、  EAP的认证过程中
1
3、  认证通过
端口被放入预先配置的VLAN或者从Radius返回的VLAN中。这里VLAN的配置有两种方法:
a)         将这个端口配置到一个基于端口的VLAN A中,然后在端口上启用EAPOL,并配置端口的Guest-vlan(首先要配置好全局的Guest-vlan),此时查看端口状态处于Guest-vlan中,当终端接上并认证通过时,端口会转到VLAN A中去。这时的Radius服务器只需要提供认证功能,并返回acceptreject的消息。
b)        端口预先不配置到任何VLAN中,只要启用EAPOL,并配置端口的Guest-vlanRadius服务器的返回值配置如下:
Tunnel-TypeVLAN
Tunnel-Medium-Type802
Tunnel-Private-Group-IdVLAN ID(认证通过后需要放入的VLAN号)
未认证或认证失败时端口处于Guest-vlan中,认证通过后交换机会江端口放入Radius服务器所返回的VLAN ID中,前提是这个VLAN必须是存在的。
4、  认证失败
a)         如果配置了Guest-vlan,端口被放入;
b)        如果没有配置,则端口保持接收认证状态。

二、配置(VLAN IDRadius服务器返回,另一种方式更加简单)

1、配置Radius
radius-server password fallback
radius-server host 10.10.10.1
radius-server secondary-host 10.10.10.2
radius-server port 1812
radius-server key ********
 
2、配置EAPOL
首先在全局模式下:
eapol enable
 
再在端口模式下:
eapol port init status
如:eapol port 1/15 init status auto quiet-interval 2
port即想要配置EAP认证的端口
init初始化EAP认证
status有三种状态:authorized, auto, unauthorized,为了达到认证的目的,选择auto状态即可,再这种状态下,认证通过了及变为authorized,端口可以传送数据,否则只能传输EAPOL的数据流。
 
3、配置Guest-vlan
首先在全局配置模式下:
eapol guest-vlan enable vid <1-4096>
再在端口模式下配置Guest-vlan
eapol guest-vlan enable vid <1-4096>
如:eapol guest-vlan port 1/15 enable vid 18
 
4         配置Radius服务器
新建一个profile,在return-list中加上下面三条返回值:
Tunnel-TypeVLAN
Tunnel-Medium-Type802
Tunnel-Private-Group-IdVLAN ID认证通过后需要放入的VLAN),
然后配置一个在此profile中的帐户,配置好客户端的认证方式与Radius上设置的相同,接上客户端稍侯会弹出要求输入用户名密码的对话框,输入后即可通过认证。
 
通过这种方式可以达到对用户的控制,让他们处于不同的VLAN,通过ACL来控制访问策略。不过有一个地方需要注意的是,当一个用户A通过认证后并且交换机根据Radius的返回值将端口放到了1111中,此时在此端口上换另一个用户B进行登陆,并且BRadius上的帐户没有VLAN的返回值,只要认证通过,此时B也会在VLAN1111中,即使配置了Guest-vlan B也会在VLAN1111中。这就要求在为用户建立帐号时,必须要指定VLAN返回值,否则会带来一定的问题。

三、在配置了EAP认证的端口上配置non-EAP主机

这种认证主要针对于打印机等无法进行客户端配置的设备来进行端口认证,虽然从字面上理解non-EAP即是不要进行EAP认证的意思,但是实际上还是需要认证的。有两种认证方式:本地认证和Radius认证。
这种方式的前提是端口要支持multihost,并且在端口上不能配置Guest-vlan
no eapol guest-vlan enable 端口
eapol multihost port enable 端口
 
本地认证:
eapol multihost allow-non-eap-enable 全局和端口
再在端口上用eapol multihost non-eap-mac来配置non-EAP的主机MAC地址
Radius认证
eapol multihost radius-non-eap-enable  全局和端口
AAA上配置好约定的用户名和密码(MACIP、端口号的组合),终端(如打印机)无需作任何配置,连接好后交换机会自动到AAA上作认证。
默认情况下用户名为MAC地址,密码为IP地址.MAC地址.模块号端口号,可以通过下面的语句就来修改密码的格式,但用户名格式不可修改:
eapol multihost non-eap-pwd-fmt
 
eapol multihost non-eap-mac-max 端口最大认证数1-32,默认为1

四、客户端认证方式说明

1 令牌用户,无论是管理员还是普通用户组,令牌只支持ttls认证,不支持peapmd5,因此需要安装ttls插件。
2 静态密码用户,三种方式都可以使用,md5 ttls peap,因此可以不安装ttls插件。

五、AAA配置

1profile修改
建立profiel AUTOAU:用来对打印机等设备建立自动认证帐户,为普通用户组增加checklist,将接入层交换机加入。
2、认证方式修改
    Authentication PoliciesOrder of Methods中增加Native User认证选项,认证方式设置为MD5-ChallengeSQL认证选项的认证方式增加MS-CHAP-V2MD5-Challenge
3、过滤器
EAP-PEAP的认证方式增加过滤器
Request-filters:设置为ttls_calledstnID
Response-filters:设置ttls_acceptttls_reject

六、分布层交换机配置

//_DS_01
config vlan 18 create byport 1
config vlan 18 name To_AS_02_guestvlan
config vlan 18 ip create 10.237.171.253/255.255.255.0
config vlan 18 ip vrrp 13 address 10.237.171.254
config vlan 18 ip vrrp 13 priority 254
config vlan 18 ip vrrp 13 backup-master enable
config vlan 18 ip vrrp 13 enable
 
 
config mlt 1 add vlan 18
config mlt 25 add vlan 18
 
config vlan 18 ip ospf interface-type passive
config vlan 18 ip ospf enable
config vlan 18 ip ospf area 0.0.0.1
 
config ip dhcp-relay create-fwd-path agent 10.237.171.253 server 10.237.128.131 mode dhcp state enable
config vlan 18 ip dhcp-relay enable
config vlan 18 ip dhcp-relay mode dhcp
 
// DS_02
config vlan 18 create byport 1
config vlan 18 name To_AS_02_guestvlan
config vlan 18 ip create 10.237.171.252/255.255.255.0
config vlan 18 ip vrrp 13 address 10.237.171.254
config vlan 18 ip vrrp 13 backup-master enable
config vlan 18 ip vrrp 13 enable
 
 
config mlt 1 add vlan 18
config mlt 25 add vlan 18
 
config vlan 18 ip ospf interface-type passive
config vlan 18 ip ospf enable
config vlan 18 ip ospf area 0.0.0.1
 
config ip dhcp-relay create-fwd-path agent 10.237.171.252 server 10.237.128.131 mode dhcp state enable
config vlan 18 ip dhcp-relay enable
config vlan 18 ip dhcp-relay mode dhcp

七、接入层交换机配置

//AS_02
vlan create 18 name gu-vlan type port 1
vlan members add 1/48,2/24
全局模式:
eapol  enable
eapol guest-vlan enable vid 18
 
端口模式:(分别在1/15-1/171/37-1/42端口)
eapol port 1/15 init status auto quiet-interval 2 其中quiet-interval指定当第一次认证不通过时,间隔2s可以进行下一次认证,默认时间为60s
eapol guest-vlan port 1/15 enable vid 18

八、DHCP配置

1、在DHCP服务器上新增加一个作用域,网段为10.237.171.0/24,起止IP地址分别设为10.237.171.110.237.171.248,留出一点IP地址用于交换机配置。
2、添加作用域选项:选项名 003路由器
                   10.237.171.254
3、激活作用域