接入认证:802.1X、Portal认证、MAC地址认证结合端口安全

802.1X是为了解决无线局域网安全问题提出来的，后来被以太网广泛应用 、2004年完成标准化

802.1X协议是一种基于端口的网络接入控制协议802.1X通常与radius配合使用对接入用户的认证授权802.1X技术可以扩展到基于MAC地址对用户接入进行控制，对同一个物理口上的多个用户分别进行认证控制vlan最常用的划分方式是基于端口划分，该方式对于从同一端口进入的untagged报文添加相同的vlan标签，同一vlan内进行转发处理，一般场合用于固定的办公环境

802.1X两个端口角色:

1、非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接收认证报文，只有在通过认证后才会切换到授权状态2、受控端口始终处于双向连通状态，用于传递业务报文，在非授权状态下禁止从客户端接收任何报文

EAP认证机制用于无线网，也可以用于有线局域网

EAP报文四种消息 1 request  2 response  3 success  4 failure

客户端必须支持EAPOL(局域网上的可扩展认证协议)，802.1X认证系统使用EAP，来实现客户端、设备端和认证服务器之间的认证信息的交换，EAP协议报文使用EAPOL封装格式，一种是EAPOR封装格式承载于radius协议中，另一种是EAP协议报文由设备进行终结

以上不足就是相对安全移动性差，MAC vlan就是弥补端口vlan不足点，基于源MAC地址决定给报文添加某个vlan的标签，一般和802.1X联合使用

华为交换机配置

radius-server template Dot1x-OFFICE

radius-server authentication 10.10.10.1 1812radius-server accounting 10.10.10.1 1813radius-server shared-key cipher admin@123quitradius-server authorization 10.10.10.1 shared-key cipher admin@123aaaauthentication-scheme Dot1x-OFFICE  authentication-mode radius  quitaccounting-scheme Dot1x-OFFICE accounting-mode radiusaccounting realtime 15quitdomain default  authentication-scheme Dot1x-OFFICEaccounting-scheme Dot1x-OFFICE radius-server Dot1x-OFFICEquitquitdomain default  authentication free-rule 1 destination ip 10.10.10.1 mask 255.255.255.255  acl 3001  rule 1 permit ip   quitdot1x-access-profile name dot1x_access_profileauthentication-profile name dot1x dot1x-access-profile dot1x_access_profileinterface GigabitEthernet0/0/7 authentication-profile dot1x

设备会对在线用户进行arp探测，默认探测周期为300秒（即5分钟），探测arp报文的默认源是255.255.255.255，win7不回应该类型的ARP报文，导致用户探测下线。

两种解决办法：1、 通过access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address #修改探测的源IP

（注：该vlan-id为认证网络vlan，ip-address为网关地址，MAC地址为网关MAC）

2、升级到V2R7版本以上

access-user arp-detect default ip-address 0.0.0.0 #将ARP探测的默认源IP改为0.0.0.0

802.1X配置

dot1x 开启802.1X特性

dot1x interface g0/1 开启端口的802.1X特性dot1x authentication-method chap 设置802.1X认证方式dot1x port-method 设置端口接入控制方式dot1x guest-vlan 2 interface g0/24 指定来宾vlan和接口vlan 10local-user zhangsanauthorization-attribute vlan 10

MAC认证是一种基于端口和MAC地址对用户访问权限进行控制的认证方式，不需要安装任何客户端软件

MAC地址认证方式:

1、远程radius认证2、本地认证

mac-authentication 启用全局的MAC地址认证

mac-authentication interface G0/0 启动G0/0接口MAC地址认证

mac-authentication user-name-format fix aaa password simple 123456 配置MAC地址认证用户名密码

mac-authentication domain H3C 配置MAC认证用户使用的认证域

MAC地址欺骗主要针对MAC地址表进行，和ARP地址欺骗区别不同

MAC地址欺骗主要利用交换机MAC地址学习机制***者可以伪装的源MAC地址帧发送给交换机来实施MAC地址欺骗***MAC地址欺骗***会导致交换机要发送到正确目的地址的数据帧发送给***者

MAC vlan优点:

1、能够实现精确的接入控制，它能精确定义某个终端和VLAN的绑定关系，从而实现将指定终端的报文在指定vlan中转发2、能够实现灵活的接入控制，同一终端通过不同端口接入设备时，设备会给终端分配相同的vlan运行机制:当端口收到一个untagged报文后，以报文的源MAC地址为匹配关键字，通过查找MACvlan表项来获知该终端绑定的vlan，从而实现将指定的报文在指定的vlan中转发MAC vlan表项有两种:静态配置、动态配置静态配置:手工添加表项、工作量大动态配置:基于MAC的接入认证，用户会发起认证请求、认证服务器会对认证用户名和密码进行验证，如果通过，则会下发vlan信息应用限制:1、MAC VLAN只能在Hybrid端口使用2、同一个mac地址只能绑定一个vlan3、采用动态方式配置MAC VLAN时需要结合AAA认证服务器4、建议不要在聚合成员端口配置MAC VLAN功能mac-vlan mac-address 0000-dddd-cccc vlan 100MAC地址表管理包含设备的端口号以及所属的vlanid在PC机上安装INode智能管理客户端节约vlan资源、简化网络配置，安全可靠