1. H3C防火墙上为×××用户做验证... 1
1.1 配置AAA认证方案... 1
1.2 创建ISP... 2
1.3 新建一个虚模版... 2
1.4 虚模版加入firewall zone. 2
1.5 增加一个L2TP... 2
1.6 测试×××用户登录... 2
2. H3C的AP验证无线网卡MAC地址... 2
2.1 配置radius scheme... 2
2.2 配置MAC认证的域:... 3
2.3 配置全局MAC认证:... 3
2.4 开启无线端口的MAC认证... 3
2.5 测试... 3
3. H3C交换机验证局域网主机网卡MAC地址... 3
3.1 配置RADIUS 方案... 3
3.2 配置ISP 域的AAA 方案... 3
3.3 开启全局MAC 地址认证特性... 4
3.4 开启端口Ethernet1/0/1 MAC 地址认证... 4
3.5 测试... 4

在H3C设备上用好外部radius认证,可以扩展H3C设备的功能并加强安全管理。下面从h3c的防火墙、交换机、无线AP 3种设备来总结如何应用外部radius认证。
前言:要做到radius认证,就必须架设一台radius服务器,关于如何架设radius服务器的文章网络上有很多,也可以参考我的博文《freeradius+mysql为华为防火墙做***用户验证》(看完本文后大家都能做radius认证了,^_^),下面配置中的一些解释性内容也有部分与此文有关。
环境:主radius服务器ip地址:192.168.1.1
次radius服务器ip地址:192.168.1.2
H3C设备与radius服务器通讯密码:myh3c
1. H3C防火墙上为×××用户做验证
目的:当用户使用secpoint客户端软件从外部连接防火墙时,用radius服务器对其身份进行认证。
1.1 配置AAA认证方案
[MY] radius scheme ***user
;创建AAA方案名“***user”
[MY-radius-***user] primary authentication 192.168.1.1  ;认证主服务器IP
[MY-radius-***user] primary accounting 192.168.1.1    ;计费主服务器IP
[MY-radius-***user] secondary authentication 192.168.1.2
; 认证次服务器IP
[MY-radius-***user] secondary accounting 192.168.1.2
; 认证次服务器IP
[MY-radius-***user] accounting optional  ;允许计费,即使计费失败也不会挂断用户
[MY-radius-***user] key authentication myh3c
;与radius服务器连接密码
[MY-radius-***user] key accounting myh3c

[MY-radius-***user] user-name-format without-domain 
最后一行表示用户名不带域名后缀发送给radius服务器:
例如***用户名为rhh,则发送给radius服务器的用户名也是rhh。在mysql中设置用户名时,也只需要输入rhh即可。
如果不配置最后一行,则发送给radius服务器的用户名将是rhh@domain格式的。在mysql中设置用户名时,需要输入rhhrhh@domain。
1.2 创建ISP
[MY] domain test   
;创建一个域“test”
[MY-isp-test] scheme radius-scheme ***user
;关联到AAA认证方案“***user”
[MY-isp-test] ip pool 98 10.0.98.2 10.0.98.250    ;为***用户分配ip地址
1.3 新建一个虚模版
[MY] interface Virtual-Template 98                            ;创建虚模版98
[MY-Virtual-Template98] ppp authentication-mode chap domain test
;关联到域“test”
[MY-Virtual-Template98] ip address 10.0.98.1 255.255.255.0       
[MY-Virtual-Template98] remote address pool 98                  ;***用户地址
1.4 虚模版加入firewall zone
[MY] firewall zone untrust
[MY-zone-untrust] add interface  Virtual-Template 98
1.5 增加一个L2TP
[MY]-group 98
[MY-98]allow virtual-template 98 remote group98    ;关联到虚模版98
1.6 测试×××用户登录
在mysql的radius数据库的radcheck表中加入用户名和密码
用***客户端软件登录
2. H3C的AP验证无线网卡MAC地址
目的:当无线网卡连接AP时,对无线网卡MAC地址进行验证。
完整的文章可以参考我的博文《freeradius+mysql为华为AP做无线用户MAC地址验证》。
2.1 配置radius scheme

全局下:
radius scheme ap-radius
primary authentication 192.168.1.1
primary accounting 192.168.1.1
secondary authentication 192.168.1.2
secondary accounting 192.168.1.2
key authentication myh3c
key accounting myh3c
user-name-format without-domain
2.2 配置MAC认证的域:
全局下:
domain ap-dom
authentication default radius-scheme ap-radius
authorization default radius-scheme ap-radius
accounting default radius-scheme ap-radius
2.3 配置全局MAC认证:
全局下:
port-security enable
mac-authentication domain ap-dom
2.4 开启无线端口的MAC认证
[AP01]  int WLAN-BSS 1
[AP01-WLAN-BSS1]  port-security port-mode mac-authentication
[AP01]  int WLAN-BSS 2
[AP01-WLAN-BSS2]  port-security port-mode mac-authentication

2.5 测试
在mysql的radius数据库的radcheck表中加入用户名(即无线网卡的mac地址)和密码(同样为无线网卡的mac地址)
注意:加入数据库中的做为用户名和密码的mac地址不能带有“-”,且必须小写。例如无线网卡的mac地址为:0021-0064-E2B1,则加入mysql数据库中的用户名和密码均为:00210064e2b1

 

3. H3C交换机验证局域网主机网卡MAC地址
目的:当局域网中的电脑连接到交换机端口时,对网卡MAC地址进行验证。

3.1 配置RADIUS 方案

全局下:

radius scheme port-auth

primary authentication 192.168.1.1

primary accounting 192.168.1.1

secondary authentication 192.168.1.2

secondary accounting 192.168.1.2

key authentication myh3c

key accounting myh3c

user-name-format without-domain

3.2 配置ISP 域的AAA 方案

全局下:

domain dom-auth

authentication default radius-scheme port-auth

authorization default radius-scheme port-auth

accounting default radius-scheme port-auth

3.3 开启全局MAC 地址认证特性

全局下:

mac-authentication

配置MAC 地址认证用户所使用的ISP 域。

mac-authentication domain dom-auth

# 配置MAC 地址认证的定时器。

mac-authentication timer offline-detect 180

mac-authentication timer quiet 180

# 配置MAC 地址认证用户名格式:使用用户的源MAC 地址做用户名与密码。

mac-authentication user-name-format mac-address

3.4 开启端口Ethernet1/0/1 MAC 地址认证

全局下:

mac-authentication interface Ethernet 1/0/1

3.5 测试
在mysql的radius数据库的radcheck表中加入用户名(即网卡的mac地址)和密码(同样为网卡的mac地址)
注意:加入数据库中的做为用户名和密码的mac地址不能带有“-”,且必须小写。例如网卡的mac地址为:000D-0064-E2B1,则加入mysql数据库中的用户名和密码均为:000d0064e2b1