H3C交换机的dot1x认证

在交换机上，什么是dot1x？能解释的详细点吗？这是条命令还是什么，有什么作用？谢谢~

dot 是 . 的意思，dot1 X 是 IEEE 802.1 X的缩写，是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。以下是一些详细介绍：

网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问，受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。

1.802.1x认证特点

基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。

2.802.1x应用环境特点

(1)交换式以太网络环境

对于交换式以太网络中，用户和网络之间采用点到点的物理连接，用户彼此之间通过VLAN隔离，此网络环境下，网络管理控制的关键是用户接入控制，802.1x不需要提供过多的安全机制。

(2)共享式网络环境

当802.1x应用于共享式的网络环境时，为了防止在共享式的网络环境中出现类似“搭载”的问题，有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系，并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中，用户之间共享接入物理媒介，接入网络的管理控制必须兼顾用户接入控制和用户数据安全，可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中，可以通过加速WEP密钥重分配周期，弥补WEP静态分配秘钥导致的安全性的缺陷。

3.802.1x认证的安全性分析

802.1x协议中，有关安全性的问题一直是802.1x反对者攻击的焦点。实际上，这个问题的确困扰了802.1x技术很长一段时间，甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案：802.1x结合EAP，可以提供灵活、多样的认证解决方案。
4.802.1x认证的优势

综合IEEE802.1x的技术特点，其具有的优势可以总结为以下几点。

简洁高效：纯以太网技术内核，保持了IP网络无连接特性，不需要进行协议间的多层封装，去除了不必要的开销和冗余；消除网络认证计费瓶颈和单点故障，易于支持多业务和新兴流媒体业务。

容易实现：可在普通L3、L2、IPDSLAM上实现，网络综合造价成本低，保留了传统AAA认证的网络架构，可以利用现有的RADIUS设备。

安全可靠：在二层网络上实现用户认证，结合MAC、端口、账户、VLAN和密码等；绑定技术具有很高的安全性，在无线局域网网络环境中802.1x结合EAP－TLS，EAP－TTLS,可以实现对WEP证书密钥的动态分配，克服无线局域网接入中的安全漏洞。

行业标准：IEEE标准，和以太网标准同源，可以实现和以太网技术的无缝融合，几乎所有的主流数据设备厂商在其设备，包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持，Linux也提供了对该协议的支持。

应用灵活：可以灵活控制认证的颗粒度，用于对单个用户连接、用户ID或者是对接入设备进行认证，认证的层次可以进行灵活的组合，满足特定的接入技术或者是业务的需要。

易于运营：控制流和业务流完全分离，易于实现跨平台多业务运营，少量改造传统包月制等单一收费制网络即可升级成运营级网络，而且网络的运营成本也有望降低。
参考资料：http://baike.baidu.com/view/310804.htm

free-ip 是不受控制的ip地址。也就是没有认证通过的pc可以访问这些ip地址
而acl是访问控制列表。这个要看怎么定义和下发的。

这个要看认证服务器CAMS的设置，CAMS可以强制你使用H3C客户端，也可以让你使用第三方客户端，你可以试一下，如果不行，就必须将XP的DOT1X功能关闭，改用H3C的客户端了。

是需要的专用的客户端的..XP自带不行.因为H3C在里面加入了自己的认证内容

---

融安县17237947478： H3C交换机的dot1x认证 - ？
不郭福善： 这个要看认证服务器CAMS的设置,CAMS可以强制你使用H3C客户端,也可以让你使用第三方客户端,你可以试一下,如果不行,就必须将XP的DOT1X功能关闭,改用H3C的客户端了.

融安县17237947478： [H3C]dot1x interface Ethernet 1/0/1 to Ethernet 1/0/7交换机配置什么意思? - ？
不郭福善： 意思是:在e1/0/1到e1/0/7接口上开启,DOT1X的验证服务.类型于cisco的inter e1/0/1 - 7dot1x

融安县17237947478： H3C交换机 dot1x中的free - ip 与acl有什么区别? - ？
不郭福善： free-ip 是不受控制的ip地址.也就是没有认证通过的pc可以访问这些ip地址 而acl是访问控制列表.这个要看怎么定义和下发的.

融安县17237947478： 在交换机上,什么是dot1x?能解释的详细点吗?这是条命令还是什么,有什么作用?谢谢 - ？
不郭福善： dot 是 . 的意思,dot1 X 是 IEEE 802.1 X的缩写,是基于Client/Server的访问控制和认证协议.它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN.在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备...

融安县17237947478： dot1x认证,怎么才能做到认证前(未通过认证)也能打开某个地址 - ？
不郭福善： 如果你做的是802.1x基于端口的认证,那么从这个端口下学习到多个MAC地址或主机,dot1x仍然不起作用 很显然你那傻瓜交换机下不止有一台PC, 就算只有一台PC, 那傻瓜交换机本身也有MAC地址 如果你在实验dot1x的eap-md5认证 那么需要多敲一条命令:注意: 最新IOS有命令变动 dot1x host-mode multi-host (12.2(50)之前版本IOS) authentication host-mode multi-host (新IOS)

融安县17237947478： 请教802.1x验证的问题(无法找到端口)？
不郭福善： h3cclient源代码中的dot1x.cpp中获取机器的网卡主要用了如下语句interfacenum = ifc.ifc_len / sizeof(struct ifreq);一般情况下,每个网络接口应该占用32个字节,所以ifc.ifc_len应该是32的倍数,但是从dd wrt系统内核获取到的ifc.ifc_len却不是32的倍数,所以获取的网络接口信息不正确.而open wrt下却可以正常获取.我现在在dd wrt下手工将自己的wan口的网卡信息添加到源代码中,然后编译程序,可以正常拨号.

融安县17237947478： CISCO的交换机是否支持基于MAC地址的DOT1X认证? - ？
不郭福善： 应该可以

融安县17237947478： h3c交换机如何配置802.1X认证? - ？
不郭福善： 你输入错误了 交换机无需认证 只要将路由 请拼 192.168.1.1 或者192.168.0.1 还有 192.168.1.1----192.168.1.54 都可以 拼出后 设置向导 用户 密码均 admin 后 保存 然后 输入上网站账号与口令 即可

融安县17237947478： H3C路由器可以使用802.1X认证吗? - ？
不郭福善： h3c的交换机可以.dot1x你打这个命令看看有吗?如果有就支持,没有那就不支付呗.

融安县17237947478： H3C 3100交换机上配置 802.1X认证怎么来做?是在服务器做认证? - ？
不郭福善： 除了在交换机上设置和客户端电脑上设置外,还需要安装配置radius认证服务器.