配置华三交换机1x和1x+mac复合认证

最新推荐文章于 2024-05-08 18:17:41 发布
最新推荐文章于 2024-05-08 18:17:41 发布
阅读量2.1k 收藏 32
点赞数 40
文章标签: 学习方法 运维 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gcl_1710/article/details/136681417
版权

一、仅做dot1x认证

  1. 全局配置

dot1x
dot1x authentication-method eap
dot1x timer tx-period 10

  1.  创建radius服务模板

radius scheme 1x-test
primary authentication 10.10.10.10 key simple 123456
primary accounting 10.10.10.10 key simple 123456
secondary authentication 10.10.10.11 key simple 123456
secondary accounting 10.10.10.11 key simple 123456
user-name-format whithout-domain
accounting-on enable

  1. 创建ISP域

domain 1x-domain
authentication lan-access radius-scheme 1x-test
authorization lan-access radius-scheme 1x-test
accounting lan-access radius-scheme 1x-test
access-limit disable
state active
idle-cut disable

  1. 接口开启802.1x认证

interface g0/0/1
port link-type hybrid
port hybrid vlan 100,110,120 untagged
port hybrid pvid vlan 10
mac-vlan enable
dot1x guest-vlan 100        //guest-vlan
dot1x auth-fail vlan 110    //认证失败vlan
dot1x critical vlan 120     //逃生vlan
undo dot1x handshake
dot1x mandatory-domain 1x-domain
undo dot1x multicast-trigger
dot1x
dot1x unicast-trigger

  1. COA配置(踢设备下线)

radius dynamic-author server
client ip 10.10.10.10 key simple 123456

 

二、1x+mac复合认证

  1. 全局配置

dot1x authentication-method eap
dot1x timer tx-period 10
mac-authentication domain 1x-domain
port-security enable

  1. 创建radius服务模板

radius scheme 1x-test
primary authentication 10.10.10.10 key simple 123456
primary accounting 10.10.10.10 key simple 123456
secondary authentication 10.10.10.11 key simple 123456
secondary accounting 10.10.10.11 key simple 123456
user-name-format whithout-domain
accounting-on enable

  1. 创建ISP域

domain 1x-domain
authentication lan-access radius-scheme 1x-test
authorization lan-access radius-scheme 1x-test
accounting lan-access radius-scheme 1x-test
access-limit disable
state active
idle-cut disable

  1. 接口开启mac认证和802.1x认证

interface g0/0/1
port link-type hybrid
port hybrid vlan 100,110,120 untagged
port hybrid pvid vlan 10
mac-vlan enable
dot1x guest-vlan 100        //guest-vlan
dot1x auth-fail vlan 110    //认证失败vlan
dot1x critical vlan 120     //逃生vlan
port-security port-mode userlogin-secure-or-mac-ext   //先1x认证再mac认证
port-security port-mode mac-else-userlogin-secure-secure-ext     //先mac,认证失败后1x  一般接哑重点使用先mac后1x
macauthentication parallel-with-dot1x    //mac认证和1x认证并行处理
undo dot1x handshake
dot1x mandatory-domain 1x-domain
undo dot1x multicast-trigger
dot1x
dot1x unicast-trigger

//如果配置的先1x后mac认证,可以配置如下命令,让mac认证延时15~30秒


mac-authentication timer auth-delay 15  

//端口同时开启了MAC地址认证和802.1X认证的情况下,某些组网环境中希望设备对用户报文先进行802.1X认证。例如,有些客户端在发送802.1X认证请求报文之前,就已经向设备发送了其它报文,比如DHCP报文,因而触发了并不期望的MAC地址认证。这种情况下,可以开启端口的MAC地址认证延时功能。开启该功能后,端口就不会在收到用户报文时立即触发MAC地址认证,而是会等待一定的延迟时间,若在此期间该用户一直未进行802.1X认证或未成功通过802.1X认证,则延迟时间超时后端口会对之前收到的用户报文进行MAC地址认证。
这样可以较快获取dhcp ip地址 

  1. COA配置(踢设备下线)

radius dynamic-author server
client ip 10.10.10.10 key simple 123456

游手好闲兢兢业业
关注
  • 40
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
防火墙802.1x(Dot1X)准入控制配置实战(附H3C模拟器)
悦分享
10-03 724
802.1X协议起源于WLAN的802.11协议,用于控制无线用户的链路层接入和身份认证。经过扩展后,802.1X也可以使用以太网帧作为承载报文,从而可适用于以太网以及其他的有线接入方式。802.1X认证,又称EAPOE( Extensible Authentication Protocol Over Ethernet)认证,可以用于有线环境解决局域网用户的接入认证问题。1. 802.1X认证角色。
Dot1x配置
why
09-19 4502
什么是Dot1x? Dot1x是RouterOS中IEEE802.1X标准的实现,全称是“基于端口的网络接入控制”。802.1x协议是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。 802.1x认证系统采用网络应用系统典型的Client/Server(C/S)结构,包括三个部分:客户端(Client)、设备端(Device)和认证服务器(Server) 1.客户端:局域网用户终端设备,但必须是支持EAPOL(
H3C交换机802.1x配置步骤详细说明
01-30
H3C交换机802.1x配置步骤详细说明
H3C交换机dot1X+AD+IAS+CA配置实验(分享错误经历)一
gxj022的专栏
08-31 1288
 【转自】 http://catcity.blog.51cto.com/310698/59940  最近搜索了不少资料,尝试在H3C 3600交换机dot1x与AD中的IAS通过域用户进行接入认证。主要参考资料       [url]http://blog.csdn.net/deflag/archive/2007/10/12/1821880.aspx[/url]      
企业网络802.1X认证配置
最新发布
qq_33097163的博客
05-08 329
交换机配置 S5500-28C-EI-V5.2。交换机配置 版本H3C S5120-v5。H3C交换机 端口配置。思科交换机 端口配置
H3C交换机配置本地dot1x认证举例
qq_23930765的博客
10-14 3105
通过display dot1x sessions和display dot1x connection可看到用户在线情况。拓扑如下,交换机2号千兆接口与pc的vbox虚拟网卡直连。使用终端桥接host模拟pc与交换机直连场景。#配置交换机地址用于验证测试并保存配置。#配置本地用户用于dot1x认证。通过inode客户端验证。#开启dot1x认证。通过终端ping测试。
交换机dot1x认证配置
热门推荐
nmglwy的博客
11-29 1万+
设备分配IP 12.16.43.250 vlan 分配IP 12.16.43.251华为交换机配置vlan interface vlanif xx vlan xx ip address 16.12.43.251 255.255.255.0 (vlan ip 在认证界面添加交换机参数使用) radius-server radius-server template ra
华为dot1x认证测试配置
weixin_34335458的博客
12-28 4671
[NW_HJ_NACC_5F-3_S3700]d cu#!Software Version V100R006C03sysname NW_HJ_NACC_5F-3_S3700#info-center source default channel 0 trap state off level warning#vlan batch 9 to 11 999#domain radiu...
Dot1x认证配置注意事项
01-08
非常好的华为Dot1x认证配置注意事项配置文档
交换机radius配置
05-16
h3c 华为交换机配置 radius
华为交换机dot1x配置认证方式
Richardlygo的博客
07-28 5519
802.1x
h3c 基于freeradius 配置802.1x
08-12
h3c 基于 freeradius 配置802.1x
H3C交换机AAA认证以及radius认证详解
08-23
本文当是华三公司的有关AAA协议的详解,大家都知道H3C出过不少通俗易懂的技术类文章,本篇也不例外,相信能为很多做网络通信设备的TX门答疑解惑
H3C_端口802.1X认证基础配置案例
04-26
H3C_端口802.1X认证基础配置案例,原创文档。 适用于H3CV7版本的网络设备,包括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
华为H3C交换机+Radius+mysql Radius认证认证方案,嵌入式客户端代码,配置(上:认证方案)
liangzai041991的专栏
07-20 5359
最近做的一个嵌入式Radius认证方案,分上中下,上:认证方案,中:嵌入式客户端代码 下:交换机和Radius配置 技术交流:1532709892@qq.com (一)Radius认证方案说明: 当交换机设置成需要认证模式,交换机只允许认证协议包通过交换机,其他网络数据包不允许通过,直到认证通过,交换机开放端口。 Radius认证方案是一个由客户端,设备和服务器三个实体组成的解决方案。客户...
DOT1X(IEEE 802.1x认证)
weixin_34326558的博客
04-19 1083
简介: 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X...
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
H3C交换机802.1&dot1x认证
weixin_34223655的博客
11-26 2974
1.全局激活Dot1x认证功能 [H3C]dot1x 2.进入接口激活dot1x [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]dot1x [H3C-GigabitEthernet1/0/1]qu 3.创建用户名密码 [H3C]local-user libin2 class ...
华三交换机开设置802.1xmac地址认证
Richardlygo的博客
07-05 2739
authentication lan-access radius-scheme radius-test none //配置802.1x用户使用radius-test的radius方案进行认证。radius-test mac-authentication timer auth-delay 10 ​​ ​//优先使用802.1x认证​​,如果认证不通过, 10秒后使用mac地址认证mac-authentication domain radius-test //指定mac地址认证时使用的认证域。
华三s3100交换机怎么配置802.1x
07-23
华三S3100交换机配置802.1X认证的步骤如下: 1. 登录交换机的管理界面,进入系统视图。 2. 创建一个Radius服务器模板,用于配置认证服务器的相关参数。可以通过以下命令创建模板: ``` radius-server template template-name authentication-mode chap accounting-mode radius radius-server shared-key cipher key radius-server authentication 10.10.10.1 1812 weight 80 ``` 其中,template-name是模板名称,key是Radius服务器的共享密钥,10.10.10.1是认证服务器的IP地址。 3. 配置交换机端口的802.1X认证。可以通过以下命令配置端口: ``` interface interface-type interface-number port link-type access dot1x enable dot1x max-user max-number dot1x pae authenticator dot1x port-method port-control auto dot1x re-authenticate server dot1x timer re-authenticate 300 dot1x timer tx-period 10 ``` 其中,interface-type和interface-number是交换机端口的类型和编号,max-number是最大用户数。 4. 配置交换机端口上的认证方式和VLAN。可以通过以下命令配置端口: ``` dot1x authentication-method eap dot1x guest-vlan vlan-id ``` 其中,vlan-id是访客VLAN的ID。 5. 配置交换机端口上允许通过的认证方式。可以通过以下命令配置端口: ``` dot1x authentication-method eap ``` 6. 最后,保存配置并退出交换机的管理界面。 这样,配置就完成了。交换机上的端口将启用802.1X认证,并且会与认证服务器进行通信。认证成功的用户将会分配到相应的VLAN,认证失败的用户将会被分配到访客VLAN。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值