H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
第1章 802.1x配置
# 设置系统与计费RADIUS服务器交互报文时的共享密钥。
[Sysname-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Sysname-radius-radius1] timer response-timeout 5 [Sysname-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Sysname-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Sysname-radius-radius1] user-name-format without-domain [Sysname-radius-radius1] quit
# 创建域aabbcc.net并进入其视图。
[Sysname] domain aabbcc.net
# 指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。
[Sysname-isp-aabbcc.net] authentication default radius-scheme radius1 local [Sysname-isp-aabbcc.net] authorization default radius-scheme radius1 local [Sysname-isp-aabbcc.net] accounting default radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[Sysname-isp-aabbcc.net] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[Sysname-isp-aabbcc.net] idle-cut enable 20 [Sysname-isp-aabbcc.net] quit
# 配置域aabbcc.net为缺省用户域。
[Sysname] domain default enable aabbcc.net
# 开启全局802.1x特性。
[Sysname] dot1x
# 开启指定端口Ethernet2/0/1的802.1x特性。
[Sysname] interface Ethernet 2/0/1 [Sysname-Ethernet2/0/1] dot1x [Sysname-Ethernet2/0/1] quit
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Sysname] dot1x port-method macbased interface Ethernet 2/0/1
1-19
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
第1章 802.1x配置
1.6 Guest VLAN的典型配置举例
1. 组网需求
如图1-11所示,一台主机通过802.1x认证接入网络,认证服务器为RADIUS服务器。Supplicant接入交换机的端口Ethernet2/0/1在VLAN1内;认证服务器在VLAN2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN10内;交换机连接Internet网络的端口Ethernet2/0/2在VLAN5内。
Update serverAuthenticator serverVLAN 10VLAN 2Eth2/0/4Eth2/0/3VLAN 1Eth2/0/1VLAN 5Eth2/0/2SwitchInternetSupplicant
图1-11 GuestVlan典型组网图
如图1-12所示,在Ethernet2/0/1上开启802.1x特性并设置VLAN10为端口的Guest VLAN,当设备从端口发送触发认证报文(EAP-Request/Identity)超过设定的最大次数而没有收到任何回应报文后,Ethernet2/0/1被加入Guest VLAN中,此时Supplicant和Update Server都在VLAN10内,Supplicant可以访问Update Server并下载802.1x客户端。
1-20
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
Update server第1章 802.1x配置
Authenticator serverVLAN 10VLAN 10Eth2/0/4GuestVlan 10Eth2/0/1VLAN 2Eth2/0/3VLAN 5Eth2/0/2SwitchInternetSupplicant
图1-12 使能GuestVlan
如图1-13所示,当用户认证成功上线,认证服务器下发VLAN5。此时Supplicant和Ethernet2/0/2都在VLAN5内,Supplicant可以访问Internet。
Update serverAuthenticator serverVLAN 10Eth2/0/4VLAN 2Eth2/0/3VLAN 5Eth2/0/1VLAN 5Eth2/0/2SwitchInternetSupplicantVLAN 5 图1-13 用户上线,VLAN下发
2. 配置步骤
# 配置RADIUS方案2000。
[Sysname] radius scheme 2000
[Sysname-radius-2000] primary authentication 10.11.1.1 1812 [Sysname-radius-2000] primary accouting 10.11.1.1 1813 [Sysname-radius-2000] key authentication abc [Sysname-radius-2000] key accouting abc
1-21
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
[Sysname-radius-2000] user-name-format without-domain [Sysname-radius-2000] quit
第1章 802.1x配置
# 配置domain,该domain使用刚才配置好的RADIUS方案2000。
[Sysname] domaim system
[Sysname-isp-system] authentication default radius-scheme 2000 [Sysname-isp-system] authorization default radius-scheme 2000 [Sysname-isp-system] accounting default radius-scheme 2000 [Sysname-isp-system] quit
# 开启全局802.1x特性。
[Sysname] dot1x
# 开启指定端口的802.1x特性。
[Sysname] interface Ethernet 2/0/1 [Sysname-Ethernet2/0/1] dot1x
# 配置端口上进行接入控制的方式为portbased。
[Sysname-Ethernet2/0/1] dot1x port-method portbased
# 配置端口上进行接入控制的模式为auto。
[Sysname-Ethernet2/0/1] dot1x port-control auto [Sysname-Ethernet2/0/1] quit
# 创建VLAN10。
[Sysname] vlan 10 [Sysname-vlan10] quit
# 配置指定端口的Guest VLAN。
[Sysname] dot1x guest-vlan 10 interface Ethernet 2/0/1
通过命令display current-configuration或者display interface Ethernet 2/0/1可以查看Guest VLAN配置情况。在没有用户上线、用户认证失败或用户成功下线等情况下发送触发认证报文(EAP-Request/Identity)超过设定的最大次数时,通过命令display vlan 10可以查看端口配置的Guest VLAN是否生效。
1.7 下发ACL典型配置举例
1. 组网需求
如图1-14所示,主机Host通过802.1x认证接入网络,认证服务器为RADIUS服务器。Internet网络中有一台FTP服务器,IP地址为10.0.0.1。
? ?
在认证服务器上配置授权下发ACL 3000。
在Switch的Ethernet2/0/1上开启802.1x认证,并配置ACL 3000。
1-22
H3C S7500E系列以太网交换机 操作手册 802.1x-MAC地址认证
第1章 802.1x配置
当用户认证成功上线,认证服务器下发ACL 3000。此时ACL 3000在Ethernet2/0/1上生效,Host可以访问Internet,但不能访问FTP服务器。 2. 组网图
Authentication servers(RADIUS server cluster)10.1.1.110.1.1.2Eth2/0/1192.168.1.1/24Eth2/0/2192.168.1.2/24InternetFTP server10.0.0.1Host192.168.1.10Switch
图1-14 下发ACL典型组网图
3. 配置步骤
(1) 在Switch上配置ACL下发 # 配置各接口的IP地址(略)。 # 配置RADIUS方案。
[Sysname] radius scheme 2000
[Sysname-radius-2000] primary authentication 10.1.1.1 1812 [Sysname-radius-2000] primary accounting 10.1.1.2 1813 [Sysname-radius-2000] key authentication abc [Sysname-radius-2000] key accounting abc
[Sysname-radius-2000] user-name-format without-domain [Sysname-radius-2000] quit
# 配置ISP域的AAA方案。
[Sysname] domaim 2000
[Sysname-isp-2000] authentication default radius-scheme 2000 [Sysname-isp-2000] authorization default radius-scheme 2000 [Sysname-isp-2000] accounting default radius-scheme 2000 [Sysname-isp-2000] quit
# 配置ACL 3000,拒绝目的IP地址为10.0.0.1的报文通过。
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 deny ip destination 10.0.0.1 0
# 开启全局802.1x特性。
[Sysname] dot1x
1-23
