交换机
802.1
X
认证配置
1
功能需求及组网说明
交换机
802.1X
认证配置
图
1
『配置环境参数』
1.
PC1
和
PC2
分别属于
VLAN10
和
VLAN20
,分别连接到交换机
SwitchA
的端口
E0/1
和
E0/2
2.
PC1
和
PC2
的
IP
地址分别为
10.10.1
.1/24
和
20.20.1.1/24
『组网需求』
1.
在
SwitchA
上启动
802.1X
认证,对
PC1
、
PC2
完成认证
交换机
802.1X
认证配置
图
2
『配置环境参数』
1.
PC1
和
PC2
分别属于
VLAN10
和
VLAN20
,分别连接到二层交换机
SwitchA
的端口
E0/1
和
E0/2
;
SwitchA
通过
G1/1
端口连接到远端的
CAMS
服务器
2.
PC1
和
PC2
的
IP
地址分别为
10.10.1
.1/24
和
20.20.1.1/24
,
CAMS
服务器的地址为
100.1.1.2/24
『组网需求』
1.
在
SwitchA
上启动
802.1X
认证,对
PC1
和
PC2
进行远端
RADIUS
认证
2
数据配置
步骤
『交换机
dot1x
认证配置流程』
用户在通过认证之前,
PC1
所连接的物理端口
E0/1
只有认证端口是打开的,而数据端口是关闭状态,因此,当
PC1
通过
dot1x
认证之前,只有认证报文通过端口
E0/1
进行转发,而
PC1
无法上网;当
PC1
通过
dot1x
认证之后,端口
E0/1
的数据端口打开,
PC1
可以正常上网。
此例中
RADIUS
服务器以华为
3com
公司自己研发的
CAMS
为例,如果配合
CAMS
完成一些特殊的功能,比如:屏蔽代理、动态下发绑定规则等,需要
RADIUS
服务器支持华为
3com
私有
RADIUS
属性,因此必须将
RADIUS
方案的服务器类型配置为
”huawei”
类型,例如:
[SwitchA-radius-cams]server-type huawei
[SwitchA-radius-cams]server-type huawei
【
SwitchA
相关配置
(
图
1)
】
1.
创建(进入)
VLAN10
[SwitchA]vlan 10
[SwitchA]vlan 10
2.
将
E0/1
加入到
VLAN10
[SwitchA-vlan10]port Ethernet 0/1
[SwitchA-vlan10]port Ethernet 0/1
3.
创建(进入)
VLAN20
[SwitchA]vlan 20
[SwitchA]vlan 20
4.
将
E0/2
加入到
VLAN20
[SwitchA-vlan20]port Ethernet 0/2
[SwitchA-vlan20]port Ethernet 0/2
5.
分别开启
E0/1
、
E0/2
的
802.1X
认证
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2
6.
全局使能
802.1X
认证功能(缺省情况下,
802.1X
功能处于关闭状态)
[SwitchA]dot1x enable
[SwitchA]dot1x enable
7.
添加本地
802.1X
用户,用户名为
”dot1x”
,密码为明文格式的
”huawei”
[SwitchA]local-user dot1x
[SwitchA-luser-dot1x]service-type lan-access
[SwitchA-luser-dot1x]password simple huawei
[SwitchA]local-user dot1x
[SwitchA-luser-dot1x]service-type lan-access
[SwitchA-luser-dot1x]password simple huawei
【补充说明】
端口开启
dot1x
认证后可以采用基于端口
(portbased)
或基于
MAC
地址
(macbased)
两种接入控制方式,缺省是接入控制方式为
macbased
。两种方法的区别是:当采用
macbased
方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用
portbased
方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
例如,修改端口 E0/1 的接入控制方式为 portbased 方式:
[SwitchA]dot1x port-method portbased interface Ethernet 0/1
或者:
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]dot1x port-method portbased
例如,修改端口 E0/1 的接入控制方式为 portbased 方式:
[SwitchA]dot1x port-method portbased interface Ethernet 0/1
或者:
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]dot1x port-method portbased
【
SwitchA
相关配置
(
图
2)
】
1.
创建(进入)
VLAN10
[SwitchA]vlan 10
[SwitchA]vlan 10
2.
将
E0/1
加入到
VLAN10
[SwitchA-vlan10]port Ethernet 0/1
[SwitchA-vlan10]port Ethernet 0/1
3.
创建(进入)
VLAN20
[SwitchA]vlan 20
[SwitchA]vlan 20
4.
将
E0/2
加入到
VLAN20
[SwitchA-vlan20]port Ethernet 0/2
[SwitchA-vlan20]port Ethernet 0/2
5.
创建(进入)
VLAN100
[SwitchA]vlan 100
[SwitchA]vlan 100
6.
将
G1/1
加入到
VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
[SwitchA-vlan100]port GigabitEthernet 1/1
7.
创建(进入)
VLAN
接口
100
,并配置
IP
地址
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 100.1.1.1 255.255.255.0
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 100.1.1.1 255.255.255.0
8.
创建一个名为
”cams”
的
RADIUS
方案,并进入其视图
[SwitchA]radius scheme cams
[SwitchA]radius scheme cams
9.
配置方案
”cams”
的主认证、计费服务器地址和端口号
[SwitchA-radius-cams]primary authentication 100.1.1.1 1812
[SwitchA-radius-cams]primary accounting 100.1.1.1 1813
[SwitchA-radius-cams]primary authentication 100.1.1.1 1812
[SwitchA-radius-cams]primary accounting 100.1.1.1 1813
10.
配置交换机与
RADIUS
服务器交互报文时的密码
[SwitchA-radius-cams]key authentication cams
[SwitchA-radius-cams]key accounting cams
[SwitchA-radius-cams]key authentication cams
[SwitchA-radius-cams]key accounting cams
11.
配置交换机将用户名中的用户域名去除掉后送给
RADIUS
服务器
[SwitchA-radius-cams]user-name-format without-domain
[SwitchA-radius-cams]user-name-format without-domain
12.
创建用户域
”huawei”
,并进入其视图
[SwitchA]domain huawei
[SwitchA]domain huawei
13.
指定
”cams”
为该用户域的
RADIUS
方案
[SwitchA-isp-huawei]radius-scheme cams
[SwitchA-isp-huawei]radius-scheme cams
14.
指定交换机缺省的用户域为
”huawei”
[SwitchA]domain default enable huawei
[SwitchA]domain default enable huawei
15.
分别开启
E0/1
、
E0/2
的
802.1X
认证
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2
16.
全局使能
dot1x
认证功能(缺省情况下,
dot1x
功能处于关闭状态)
[SwitchA]dot1x enable
[SwitchA]dot1x enable
【补充说明】
如果
RADIUS
服务器不是与
SwitchA
直连,那么需要在
SwitchA
上增加路由的配置,来确保
SwitchA
与
RADIUS
服务器之间的认证报文通讯正常。