好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



交换机802.1X认证配置

1功能需求及组网说明

交换机802.1X认证配置  1

『配置环境参数』

1.      PC1PC2分别属于VLAN10VLAN20,分别连接到交换机SwitchA的端口E0/1E0/2

2.      PC1PC2IP地址分别为10.10.1.1/2420.20.1.1/24

『组网需求』

1.      SwitchA上启动802.1X认证,对PC1PC2完成认证

交换机802.1X认证配置  2

『配置环境参数』

1.      PC1PC2分别属于VLAN10VLAN20,分别连接到二层交换机SwitchA的端口E0/1E0/2SwitchA通过G1/1端口连接到远端的CAMS服务器

2.      PC1PC2IP地址分别为10.10.1.1/2420.20.1.1/24CAMS服务器的地址为100.1.1.2/24

『组网需求』

1.      SwitchA上启动802.1X认证,对PC1PC2进行远端RADIUS认证

2数据配置步骤

『交换机dot1x认证配置流程』

用户在通过认证之前,PC1所连接的物理端口E0/1只有认证端口是打开的,而数据端口是关闭状态,因此,当PC1通过dot1x认证之前,只有认证报文通过端口E0/1进行转发,而PC1无法上网;当PC1通过dot1x认证之后,端口E0/1的数据端口打开,PC1可以正常上网。

此例中RADIUS服务器以华为3com公司自己研发的CAMS为例,如果配合CAMS完成一些特殊的功能,比如:屏蔽代理、动态下发绑定规则等,需要RADIUS服务器支持华为3com私有RADIUS属性,因此必须将RADIUS方案的服务器类型配置为”huawei”类型,例如:
[SwitchA-radius-cams]server-type huawei

SwitchA相关配置(1)

1.        创建(进入)VLAN10
[SwitchA]vlan 10

2.        E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1

3.        创建(进入)VLAN20
[SwitchA]vlan 20

4.        E0/2加入到VLAN20
[SwitchA-vlan20]port Ethernet 0/2

5.        分别开启E0/1E0/2802.1X认证
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2

6.        全局使能802.1X认证功能(缺省情况下,802.1X功能处于关闭状态)
[SwitchA]dot1x enable

7.        添加本地802.1X用户,用户名为”dot1x”,密码为明文格式的”huawei”
[SwitchA]local-user dot1x
[SwitchA-luser-dot1x]service-type lan-access
[SwitchA-luser-dot1x]password simple huawei

【补充说明】

端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式,缺省是接入控制方式为macbased。两种方法的区别是:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
例如,修改端口E0/1的接入控制方式为portbased方式:
[SwitchA]dot1x port-method portbased interface Ethernet 0/1
或者:
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]dot1x port-method portbased

SwitchA相关配置(2)

1.        创建(进入)VLAN10
[SwitchA]vlan 10

2.        E0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1

3.        创建(进入)VLAN20
[SwitchA]vlan 20

4.        E0/2加入到VLAN20
[SwitchA-vlan20]port Ethernet 0/2

5.        创建(进入)VLAN100
[SwitchA]vlan 100

6.        G1/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1

7.        创建(进入)VLAN接口100,并配置IP地址
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 100.1.1.1 255.255.255.0

8.        创建一个名为”cams”RADIUS方案,并进入其视图
[SwitchA]radius scheme cams

9.        配置方案”cams”的主认证、计费服务器地址和端口号
[SwitchA-radius-cams]primary authentication 100.1.1.1 1812
[SwitchA-radius-cams]primary accounting 100.1.1.1 1813

10.    配置交换机与RADIUS服务器交互报文时的密码
[SwitchA-radius-cams]key authentication cams
[SwitchA-radius-cams]key accounting cams

11.    配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器
[SwitchA-radius-cams]user-name-format without-domain

12.    创建用户域”huawei”,并进入其视图
[SwitchA]domain huawei

13.    指定”cams”为该用户域的RADIUS方案
[SwitchA-isp-huawei]radius-scheme cams

14.    指定交换机缺省的用户域为”huawei”
[SwitchA]domain default enable huawei

15.    分别开启E0/1E0/2802.1X认证
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2

16.    全局使能dot1x认证功能(缺省情况下,dot1x功能处于关闭状态)
[SwitchA]dot1x enable

【补充说明】

如果RADIUS服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchARADIUS服务器之间的认证报文通讯正常。

 

X Close
X Close