|
一、TLS认证简介 1.TLS认证 (1)认证过程 · 最安全认证技术 · 实施最复杂 (2)TLS双向证书认证 · 服务器对客户端进行认证 · 客户端对服务器进行认证 2.TLS认证过程 3.交换机认证模式 (1)MAC认证模式 · 该模式下连接到同一端口的每个设备都需要单独进行认证; · 华为交换机默认模式。 (2)端口认证模式 · 只要连接到端口的某个客户端通过认证; · 其它客户端则不需要认证,就可以访问网络资源。 4.测试组网 (1)组网说明 · 交换机使用华为的S5720; · 服务器采用开源的Freeradius; · 测试仪和交换机两个接口相连,并且在同一个VLAN里; · 在交换机G0/0/1接口启用DOT1X。 (2)测试思路 · 测试仪P1向P2发送两条流量:DOT1X-Traffic,Back-Traffic,源MAC分别为0000-0011-1111, 00-0000-0022-2222,初始情况下两条流量都不通; · 测试仪P1模拟DOT1X客户端,源MAC地址是0000-0011-1111,和服务器进行 TLS认证; · 如果认证通过,流DOT1X-Client能通。 二、环境准备 1.配置前准备:华为交换机配置 (1)配置Radius认证(传统模式) undo authentication unified-mode # radius-server template radTem radius-server shared-key cipher xinertel radius-server authentication 80.1.1.3 1812 weight 80 # aaa authentication-scheme radTemp authentication-mode radius domain dot1x authentication-scheme radTemp radius-server radTem # (2)全局配置DOT1X domain dot1x # dot1x enable # dot1x authentication-method eap # (3)接口配置 # interface GigabitEthernet0/0/1 port link-type access port default vlan 2 dot1x enable //接口配置dot1x # interface GigabitEthernet0/0/2 port link-type access port default vlan 2 # interface GigabitEthernet0/0/3 undo portswitch ip address 80.1.1.1 255.255.255.0 # 2.配置前准备:查看交换机接口的DOT1X信息 (1)接口信息 · 802.1X使能 · 默认是MAC-based · 认证模式是EAP 3.配置前准备:查看交换机DOT1X统计信息 4.配置前准备: Freeradius配置 外层隧道 (1)修改Client的配置 · 文件:/etc/raddb/clients.conf · 添加如下内容 · Secret要和交换机上配置相同 (2)修改eap配置 · 文件:/etc/raddb/mods-available/eap · 修改默认认证类型为tls 5.配置前准备: Freeradius配置 证书 (1)修改eap配置 · 指定证书所在的位置 · 文件:/etc/raddb/mods-available/eap 6.配置前准备: Freeradius测试 (1)打开测试账号:修改eap配置 · 文件:/etc/raddb/users · 去掉下面内容的注释 (2)以Debug模式启动Freeradius (3)如果出现如下的回复,则配置成功 7.配置前准备: MariaDB配置 (1)修改Freeradius中的数据库类型 · 文件:/etc/raddb/mods-available/sql · 去掉下面内容的注释 (2)在MariaDB中添加账号 (3)使用新添加的内容查看 8.配置前准备:最后测试 (1)环境搭建好标识 · 在华为交换机中测试通过
| 
楼主
标题置顶
标题高亮
