网络测试技术——802.1X TLS认证（上篇）

一、TLS认证简介

1.TLS认证

（1）认证过程

· 最安全认证技术

· 实施最复杂

（2）TLS双向证书认证

· 服务器对客户端进行认证

· 客户端对服务器进行认证

2.TLS认证过程

3.交换机认证模式

（1）MAC认证模式

· 该模式下连接到同一端口的每个设备都需要单独进行认证；

· 华为交换机默认模式。

（2）端口认证模式

· 只要连接到端口的某个客户端通过认证；

· 其它客户端则不需要认证，就可以访问网络资源。

4.测试组网

（1）组网说明

· 交换机使用华为的S5720；

· 服务器采用开源的Freeradius；

· 测试仪和交换机两个接口相连，并且在同一个VLAN里；

· 在交换机G0/0/1接口启用DOT1X。

（2）测试思路

· 测试仪P1向P2发送两条流量：DOT1X-Traffic，Back-Traffic，源MAC分别为0000-0011-1111, 00-0000-0022-2222，初始情况下两条流量都不通；

· 测试仪P1模拟DOT1X客户端，源MAC地址是0000-0011-1111，和服务器进行 TLS认证；

· 如果认证通过，流DOT1X-Client能通。

二、环境准备

1.配置前准备：华为交换机配置

（1）配置Radius认证（传统模式）

undo authentication unified-mode

#

radius-server template radTem

radius-server shared-key cipher xinertel

radius-server authentication 80.1.1.3 1812 weight 80

#

aaa

authentication-scheme radTemp

authentication-mode radius

domain dot1x

authentication-scheme radTemp

radius-server radTem

#

（2）全局配置DOT1X

domain dot1x

#

dot1x enable

#

dot1x authentication-method eap

#

（3）接口配置

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 2

dot1x enable        //接口配置dot1x

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 2

#

interface GigabitEthernet0/0/3

undo portswitch

ip address 80.1.1.1 255.255.255.0

#

2.配置前准备：查看交换机接口的DOT1X信息

（1）接口信息

· 802.1X使能

· 默认是MAC-based

· 认证模式是EAP

3.配置前准备：查看交换机DOT1X统计信息

4.配置前准备： Freeradius配置 外层隧道

（1）修改Client的配置

· 文件：/etc/raddb/clients.conf

· 添加如下内容

· Secret要和交换机上配置相同

（2）修改eap配置

· 文件：/etc/raddb/mods-available/eap

· 修改默认认证类型为tls

5.配置前准备： Freeradius配置  证书

（1）修改eap配置

· 指定证书所在的位置

· 文件：/etc/raddb/mods-available/eap

6.配置前准备： Freeradius测试

（1）打开测试账号：修改eap配置

· 文件：/etc/raddb/users

· 去掉下面内容的注释

（2）以Debug模式启动Freeradius

（3）如果出现如下的回复，则配置成功

7.配置前准备： MariaDB配置

（1）修改Freeradius中的数据库类型

· 文件：/etc/raddb/mods-available/sql

· 去掉下面内容的注释

（2）在MariaDB中添加账号

（3）使用新添加的内容查看

8.配置前准备：最后测试

（1）环境搭建好标识

· 在华为交换机中测试通过

下篇我们将为您带来网络测试技术——802.1X TLS认证的详细测试场景配置以及仪器操作方式，我们不见不散！