笑蜗牛

导航

 
802.1x典型配置举例

802.1x典型配置举例

1. 组网需求

如下图所示,某用户的工作站与以太网交换机的端口Ethernet 2/1/1相连接。

交换机的管理者希望在各端口上对接入用户进行认证,以控制其访问Internet;接入控制模式要求是基于用户MAC地址的接入控制。

所有AAA接入用户都属于一个缺省的域:H3C.net,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线;此外,接入时在用户名后不添加域名,正常连接时如果用户有超过20分钟流量持续小于2000Byte/s的情况则切断其连接。

由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,要求使用前者作为主认证/从计费服务器,使用后者作为从认证/主计费服务器;设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”,设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态。

2. 组网图

 

 

 

图1-2 启动802.1x和RADIUS对接入用户进行AAA操作

3. 配置步骤

&  说明:

RADIUS服务器上的配置,是以RADIUS方案为单位进行的。一个RADIUS方案在实际组网环境中既可以是一台独立的RADIUS服务器,也可以是两台配置相同、但IP地址不同的主、备RADIUS服务器。由于存在上述情况,因此每个RADIUS方案的配置包括:设置主服务器的IP地址、备份服务器的IP地址、共享密钥等。

# 开启全局802.1x特性。

[H3C] dot1x

# 开启指定端口Ethernet 2/1/1的802.1x特性。

[H3C] dot1x interface Ethernet 2/1/1

# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[H3C] dot1x port-method macbased interface Ethernet 2/1/1

# 创建RADIUS方案radius1并进入其视图。

[H3C] radius scheme radius1

# 设置主认证/计费RADIUS服务器的IP地址。

[H3C-radius-radius1] primary authentication 10.11.1.1

[H3C-radius-radius1] primary accounting 10.11.1.2

# 设置从认证/计费RADIUS服务器的IP地址。

[H3C-radius-radius1] secondary authentication 10.11.1.2

[H3C-radius-radius1] secondary accounting 10.11.1.1

# 设置系统与认证RADIUS服务器交互报文时的加密密码。

[H3C-radius-radius1] key authentication name

# 设置系统与计费RADIUS服务器交互报文时的加密密码。

[H3C-radius-radius1] key accounting money

# 设置系统向RADIUS服务器重发报文的时间间隔与次数。

[H3C-radius-radius1] timer 5

[H3C-radius-radius1] retry 5

# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。

[H3C-radius-radius1] timer realtime-accounting 15

# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[H3C-radius-radius1] user-name-format without-domain

[H3C-radius-radius1] quit

# 创建用户域H3C.net并进入其视图。

[H3C] domain H3C.net

# 指定radius1为该域用户的RADIUS方案。

[H3C-isp-H3C.net] radius-scheme radius1

# 设置该域最多可容纳30个用户。

[H3C-isp-H3C.net] access-limit enable 30

# 启动闲置切断功能并设置相关参数。

[H3C-isp-H3C.net] idle-cut enable 20 2000

# 添加本地接入用户。

[H3C] local-user localuser

[H3C-luser-localuser] service-type lan-access

[H3C-luser-localuser] password simple localpass

posted on 2020-10-19 12:27  笑蜗牛  阅读(639)  评论(0编辑  收藏  举报
 
Powered by:
博客园
Copyright © 2024 笑蜗牛
Powered by .NET 8.0 on Kubernetes