網絡測試技術——802.1X TLS認證（上篇）

1、TLS認證簡介

1.TLS認證

（1）認證過程

· 最安全認證技術

· 實施最複雜

（2）TLS雙向證書認證

· 服務器對客戶端進行認證

· 客戶端對服務器進行認證

2.TLS認證過程

3.交換機認證模式

（1）MAC認證模式

· 該模式下鏈接到同一端口的每一個設備都須要單獨進行認證；

· 華爲交換機默認模式。

（2）端口認證模式

· 只要鏈接到端口的某個客戶端經過認證；

· 其它客戶端則不須要認證，就能夠訪問網絡資源。

4.測試組網

（1）組網說明

· 交換機使用華爲的S5720；

· 服務器採用開源的Freeradius；

· 測試儀和交換機兩個接口相連，而且在同一個VLAN裏；

· 在交換機G0/0/1接口啓用DOT1X。

（2）測試思路

· 測試儀P1向P2發送兩條流量：DOT1X-Traffic，Back-Traffic，源MAC分別爲0000-0011-1111, 00-0000-0022-2222，初始狀況下兩條流量都不通；

· 測試儀P1模擬DOT1X客戶端，源MAC地址是0000-0011-1111，和服務器進行 TLS認證；

· 若是認證經過，流DOT1X-Client能通。

2、環境準備

1.配置前準備：華爲交換機配置

（1）配置Radius認證（傳統模式）

undo authentication unified-mode

radius-server template radTem

radius-server shared-key cipher xinertel

radius-server authentication 80.1.1.3 1812 weight 80

aaa

authentication-scheme radTemp

authentication-mode radius

domain dot1x

authentication-scheme radTemp

radius-server radTem

（2）全局配置DOT1X

domain dot1x

dot1x enable

dot1x authentication-method eap

（3）接口配置

interface GigabitEthernet0/0/1

port link-type access

port default vlan 2

dot1x enable //接口配置dot1x

interface GigabitEthernet0/0/2

port link-type access

port default vlan 2

interface GigabitEthernet0/0/3

undo portswitch

ip address 80.1.1.1 255.255.255.0

2.配置前準備：查看交換機接口的DOT1X信息

（1）接口信息

· 802.1X使能

· 默認是MAC-based

· 認證模式是EAP

3.配置前準備：查看交換機DOT1X統計信息

4.配置前準備： Freeradius配置 外層隧道

（1）修改Client的配置

· 文件：/etc/raddb/clients.conf

· 添加以下內容

· Secret要和交換機上配置相同

（2）修改eap配置

· 文件：/etc/raddb/mods-available/eap

· 修改默認認證類型爲tls

5.配置前準備： Freeradius配置 證書

（1）修改eap配置

· 指定證書所在的位置

· 文件：/etc/raddb/mods-available/eap

6.配置前準備： Freeradius測試

（1）打開測試帳號：修改eap配置

· 文件：/etc/raddb/users

· 去掉下面內容的註釋

（2）以Debug模式啓動Freeradius

（3）若是出現以下的回覆，則配置成功

7.配置前準備： MariaDB配置

（1）修改Freeradius中的數據庫類型

· 文件：/etc/raddb/mods-available/sql

· 去掉下面內容的註釋

（2）在MariaDB中添加帳號

（3）使用新添加的內容查看

8.配置前準備：最後測試

（1）環境搭建好標識

· 在華爲交換機中測試經過

下篇咱們將爲您帶來網絡測試技術——802.1X TLS認證的詳細測試場景配置以及儀器操做方式，咱們不見不散！