一、TLS认证简介
1.TLS认证
(1)认证过程
· 最安全认证技术
· 实施最复杂
(2)TLS双向证书认证
· 服务器对客户端进行认证
· 客户端对服务器进行认证
2.TLS认证过程
3.交换机认证模式
(1)MAC认证模式
· 该模式下连接到同一端口的每个设备都需要单独进行认证;
· 华为交换机默认模式。
(2)端口认证模式
· 只要连接到端口的某个客户端通过认证;
· 其它客户端则不需要认证,就可以访问网络资源。
4.测试组网
(1)组网说明
· 交换机使用华为的S5720;
· 服务器采用开源的Freeradius;
· 测试仪和交换机两个接口相连,并且在同一个VLAN里;
· 在交换机G0/0/1接口启用DOT1X。
(2)测试思路
· 测试仪P1向P2发送两条流量:DOT1X-Traffic,Back-Traffic,源MAC分别为0000-0011-1111, 00-0000-0022-2222,初始情况下两条流量都不通;
· 测试仪P1模拟DOT1X客户端,源MAC地址是0000-0011-1111,和服务器进行 TLS认证;
· 如果认证通过,流DOT1X-Client能通。
二、环境准备
1.配置前准备:华为交换机配置
(1)配置Radius认证(传统模式)
undo authentication unified-mode
radius-server template radTem
radius-server shared-key cipher xinertel
radius-server authentication 80.1.1.3 1812 weight 80
aaa
authentication-scheme radTemp
authentication-mode radius
domain dot1x
authentication-scheme radTemp
radius-server radTem
(2)全局配置DOT1X
domain dot1x
dot1x enable
dot1x authentication-method eap
(3)接口配置
interface GigabitEthernet0/0/1
port link-type access
port default vlan 2
dot1x enable //接口配置dot1x
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
interface GigabitEthernet0/0/3
undo portswitch
ip address 80.1.1.1 255.255.255.0
2.配置前准备:查看交换机接口的DOT1X信息
(1)接口信息
· 802.1X使能
· 默认是MAC-based
· 认证模式是EAP
3.配置前准备:查看交换机DOT1X统计信息
4.配置前准备: Freeradius配置 外层隧道
(1)修改Client的配置
· 文件:/etc/raddb/clients.conf
· 添加如下内容
· Secret要和交换机上配置相同
(2)修改eap配置
· 文件:/etc/raddb/mods-available/eap
· 修改默认认证类型为tls
5.配置前准备: Freeradius配置 证书
(1)修改eap配置
· 指定证书所在的位置
· 文件:/etc/raddb/mods-available/eap
6.配置前准备: Freeradius测试
(1)打开测试账号:修改eap配置
· 文件:/etc/raddb/users
· 去掉下面内容的注释
(2)以Debug模式启动Freeradius
(3)如果出现如下的回复,则配置成功
7.配置前准备: MariaDB配置
(1)修改Freeradius中的数据库类型
· 文件:/etc/raddb/mods-available/sql
· 去掉下面内容的注释
(2)在MariaDB中添加账号
(3)使用新添加的内容查看
8.配置前准备:最后测试
(1)环境搭建好标识
· 在华为交换机中测试通过
下篇我们将为您带来网络测试技术——802.1X TLS认证的详细测试场景配置以及仪器操作方式,我们不见不散!