■ 山东广播电视台 周雁智 邱建朋 李岩

编者按：随着网络安全问题日益凸显，接入安全越来越被重视，对接入终端进行认证是安全防护的第一道防线。本文主要讲述通过部署Windows 2008 R2 RADIUS服务器和使用Windows自带dot1X客户端，实现dot1X接入认证，防止非授权用户进入网络。

dot1X是IEEE 802.1X的缩写，是基于 Client/Server的访问控制和认证协议。简单地讲，dot1X是一种认证技术，是对连接到交换机上的终端进行认证。

如果交换机开启了dot1X认证，终端连接到交换机的接口上进行二层通信时首先要进行身份验证，在通过认证之前只有认证消息和协议报文可以通过，其他访问均被交换机拒绝。dot1X认证系统包括三个部分 ：客户端（Client）、设备端（Device）和认证服务器（Server）。

客户端：连接网络的终端设备，本文使用Windows 7旗舰版系统的PC为例。

设备端：与客户端连接的设备，对客户端进行认证，比如交换机，本文使用H3C 5500交换机为例。

图1 配置客户端

认证服务器：为设备端提供认证服务的设备，本文使用Windows 2008 R2 RADIUS服务器为例。

dot1X认证过程这里就不再赘述，本文结合实际部署介绍客户端、设备端与认证服务器的具体配置和注意事项。

配置客户端

以Windows 7 旗舰版系统为例，设置如下：

第 一步：确认启用Wired AutoConfig服务，该服务为有线自动配置(DOT3SVC)服务，负责对以太网接口执行IEEE 802.1X身份验证。

如果当前有线网络部署强制执行802.1X身份验证，则应配置DOT3SVC服务运行以用于建立第2层连接性或用于提供对网络资源的访问权限。DOT3SVC服务会影响到强制执行802.1X身份验证的有线网络。

第二步：打开“网络和共享中心”，点击“本地连接”，在弹出的选项页单击“属性”，选择“身份验证”选项卡，勾选“启用IEEE802.1X身份验证”。点击“设置”，去掉验证服务器证书选项。打开“其他设置”，勾选“制定身份验证模式”，选择“用户身份验证”，点击“确定”。设置完成，如图1所示。

配置设备端

以H3C5500系列交换机为例，配置如下：

#开启全局802.1X特性dot1x

#创 建RADIUS方 案radiusTest并进入其视图

radiusschemeradiusTest

#配置主认证/计费RADIUS服务器的IP地址

primaryauthentication192.168.10.14

primary accounting 192.168.10.14

#配置共享密钥为keyTest

key authentication cipher keyTest

timerresponsetimeout10

#配置发送给RADIUS服务器的用户名不携带域名，是否携带域名需要综合考虑服务器端的设置以及服务器端是否接受域名。

user-name-format without-domain

#配置发送RADIUS报文的源接口IP

图2 交换机debug信息

nas-ip192.168.11.1(接入交换机的IP)

#创建域test并进入其视图

domain test

#配置802.1X用户使用RADIUS方案radiusTest进行认证、授权方法

authenticationdefaultradius-scheme radiusTest

authorization default radius-scheme radiusTest

#指定域test为缺省的域。如果用户在登录时没有提供域名，系统将把用户归于缺省的域。

domain default enable test

#开启指定端口GigabitEthernet1/0/5的802.1X特性

interface GigabitEthernet1/0/5

port link-mode bridge

port access vlan 10

dot1x

#关闭在线用户握手功能，默认为开启状态。undo dot1x handshake#关闭默认组播触发功能

undo dot1x multicasttrigger

#开启单播触发功能（默认为组播触发功能）

dot1x unicast-trigger

在配置华三交换机的时候，接口下通过undo dot1x handshake命令，关闭在线用户握手功能，终止客户端后续发送的协商请求（保活消息）。如不使用该命令，会出现客户端PC与认证服务器握手失败，导致认证不成功。

通过debugging radius packet命令查看交换机的debug信息发现Receive EAPOL-START but user has online. Authentication timeout，如图2所示。这是因为认证成功后，客户端仍发送认证协商报文。因为用户已在线，本地连接身份验证最终超时。

配置RADIUS服务

以Windows 2008 R2 Server操作系统为例，配置步骤如下：

第一步：安装网络策略服务

1.登录Windows 2008 R2 Server操作系统，选择“服务器管理器”中的“角色”点击“添加角色”。

2.选择“添加角色向导”点击“开始之前”，进入“下一步”。

3.选择“服务器角色”，勾选“网络策略和访问服务”，进入“下一步”。

4.选择“网络策略和访问服务”，进入“下一步”。

5.选择“角色服务”，勾选“网络策略服务器”，进入“下一步”。

6.选择“确认”，进入“安装”，安装完毕，点击“关闭”。

第二步：建立账户及账户组

1.在桌面选择“开始”进入“管理工具”内的“计算机管理”，选择“本地用户和组”进入“用户”，右击选择“新用户”。

2. 设置用户名 ：test、密码 ：123456，点击“创建”。

3.右击新建的用户，选择“属性”，进入“拨入”选项卡，设置网络访问权限选择为“允许访问”，点击“应用”再“确定”。

4.右击“本地用户和组”内的“组”，选择“新建组”，设置 组 名 ：radiusTestGroup，在成员选项中点击“添加”。

5.选择用户，将添加的用户test添加到该组radiusTestGroup中，点 击“创建”。

第三步：建立Radius服务器

1.在桌面选择“开始”进入“管理工具”内的“网络策略服务器”，选择“用于拨号或VPN连接的RADIUS服务器”，点击“配置VPN或拨号”。

2.设置连接类型为“拨号连接”，选择“下一步”。

3.在“指定拨号或VPN服务器”选项中，点击“添加”RADIUS客户端。

4.在弹出的窗口中，“地址（IP或DNS）”一栏中输入设备端的IP地址（此处为交换机发送RADIUS报文的源接口 IP ：192.168.11.1），设定共享机密（此处“共享机密”需同交换机中的“共享密钥”相同，为 ：keyTest），点击“确定”，进入“下一步”。

5.在“入配置身份验证方法”中，勾选MS-CHAP、MSCHAP2两种加密方式，进入“下一步”。

6.指定用户组，点击“添加”，在弹出的窗口中，点击“高级”,再选择“立即查找”，将之前建立的用户组radiusTestGroup添加进来，然后点击“确定”，进入“下一步”。

7.进入“IP筛选器”，点击“下一步”，进入“指定加密设置”点击“下一步”，进入“指定一个领域”名称，添加域名称test，选择“下一步”，点击“完成”。

通过以上配置，使用Windows 2008 R2 Server操作系统成功搭建Radius服务器，作为dot1X认证的外部认证服务器。

测试

配置交换机nas-ip与Radius服务器网络可达，客户端连接交换机的1/0/5口，在客户端弹出的身份验证窗口输入用户名、密码。认证成功后即可访问网络，同时可以在交换机上查看到用户登录信息。