打印

网络测试技术——802.1X TLS认证(上篇)

[复制链接]
10943|0
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
一、TLS认证简介
1.TLS认证
1认证过程
· 最安全认证技术
· 实施最复杂
2TLS双向证书认证
· 服务器对客户端进行认证
· 客户端对服务器进行认证
2.TLS认证过程
3.交换机认证模式
1MAC认证模式
· 该模式下连接到同一端口的每个设备都需要单独进行认证;
· 华为交换机默认模式。
2)端口认证模式
· 只要连接到端口的某个客户端通过认证;
· 其它客户端则不需要认证,就可以访问网络资源。
4.测试组网
1组网说明
· 交换机使用华为的S5720
· 服务器采用开源的Freeradius
· 测试仪和交换机两个接口相连,并且在同一个VLAN里;
· 在交换机G0/0/1接口启用DOT1X
2测试思路
· 测试仪P1P2发送两条流量:DOT1X-TrafficBack-Traffic,源MAC分别为0000-0011-1111, 00-0000-0022-2222,初始情况下两条流量都不通;
· 测试仪P1模拟DOT1X客户端,源MAC地址是0000-0011-1111,和服务器进行 TLS认证;
· 如果认证通过,流DOT1X-Client能通。
二、环境准备
1.配置前准备:华为交换机配置
1配置Radius认证(传统模式)
undo authentication unified-mode
#
radius-server template radTem
   radius-server shared-key cipher xinertel
   radius-server authentication 80.1.1.3 1812 weight 80
#
aaa
   authentication-scheme radTemp
        authentication-mode radius
   domain dot1x
        authentication-scheme radTemp
        radius-server radTem
#
2)全局配置DOT1X
domain dot1x
#
dot1x enable
#
dot1x authentication-method eap
#
3)接口配置
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
dot1x enable        //接口配置dot1x
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
#
interface GigabitEthernet0/0/3
undo portswitch
ip address 80.1.1.1 255.255.255.0        
#
2.配置前准备:查看交换机接口的DOT1X信息
1接口信息
· 802.1X使能
· 默认是MAC-based
· 认证模式是EAP
3.配置前准备:查看交换机DOT1X统计信息
4.配置前准备: Freeradius配置 外层隧道
1修改Client的配置
· 文件:/etc/raddb/clients.conf
· 添加如下内容
· Secret要和交换机上配置相同
2修改eap配置
· 文件:/etc/raddb/mods-available/eap
· 修改默认认证类型为tls
5.配置前准备: Freeradius配置  证书
1修改eap配置
· 指定证书所在的位置
· 文件:/etc/raddb/mods-available/eap
6.配置前准备: Freeradius测试
1打开测试账号:修改eap配置
· 文件:/etc/raddb/users
· 去掉下面内容的注释
2)以Debug模式启动Freeradius
3)如果出现如下的回复,则配置成功
7.配置前准备: MariaDB配置
1)修改Freeradius中的数据库类型
· 文件:/etc/raddb/mods-available/sql
· 去掉下面内容的注释
2)在MariaDB中添加账号
3使用新添加的内容查看
8.配置前准备:最后测试
1)环境搭建好标识
· 在华为交换机中测试通过

使用特权

评论回复

相关帖子

发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

166

主题

173

帖子

0

粉丝