交换机802.1X认证配置

交换机 802.1 X 认证配置

1 功能需求及组网说明

交换机 802.1X 认证配置   图 1

『配置环境参数』

1.      PC1 和 PC2 分别属于 VLAN10 和 VLAN20 ，分别连接到交换机 SwitchA 的端口 E0/1 和 E0/2

2.      PC1 和 PC2 的 IP 地址分别为 10.10.1 .1/24 和 20.20.1.1/24

『组网需求』

1.      在 SwitchA 上启动 802.1X 认证，对 PC1 、 PC2 完成认证

交换机 802.1X 认证配置   图 2

『配置环境参数』

1.      PC1 和 PC2 分别属于 VLAN10 和 VLAN20 ，分别连接到二层交换机 SwitchA 的端口 E0/1 和 E0/2 ； SwitchA 通过 G1/1 端口连接到远端的 CAMS 服务器

2.      PC1 和 PC2 的 IP 地址分别为 10.10.1 .1/24 和 20.20.1.1/24 ， CAMS 服务器的地址为 100.1.1.2/24

『组网需求』

1.      在 SwitchA 上启动 802.1X 认证，对 PC1 和 PC2 进行远端 RADIUS 认证

2 数据配置 步骤

『交换机 dot1x 认证配置流程』

用户在通过认证之前， PC1 所连接的物理端口 E0/1 只有认证端口是打开的，而数据端口是关闭状态，因此，当 PC1 通过 dot1x 认证之前，只有认证报文通过端口 E0/1 进行转发，而 PC1 无法上网；当 PC1 通过 dot1x 认证之后，端口 E0/1 的数据端口打开， PC1 可以正常上网。

此例中 RADIUS 服务器以华为 3com 公司自己研发的 CAMS 为例，如果配合 CAMS 完成一些特殊的功能，比如：屏蔽代理、动态下发绑定规则等，需要 RADIUS 服务器支持华为 3com 私有 RADIUS 属性，因此必须将 RADIUS 方案的服务器类型配置为 ”huawei” 类型，例如：
[SwitchA-radius-cams]server-type huawei

【 SwitchA 相关配置 ( 图 1) 】

1.        创建（进入） VLAN10
[SwitchA]vlan 10

2.        将 E0/1 加入到 VLAN10
[SwitchA-vlan10]port Ethernet 0/1

3.        创建（进入） VLAN20
[SwitchA]vlan 20

4.        将 E0/2 加入到 VLAN20
[SwitchA-vlan20]port Ethernet 0/2

5.        分别开启 E0/1 、 E0/2 的 802.1X 认证
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2

6.        全局使能 802.1X 认证功能（缺省情况下， 802.1X 功能处于关闭状态）
[SwitchA]dot1x enable

7.        添加本地 802.1X 用户，用户名为 ”dot1x” ，密码为明文格式的 ”huawei”
[SwitchA]local-user dot1x
[SwitchA-luser-dot1x]service-type lan-access
[SwitchA-luser-dot1x]password simple huawei

【补充说明】

端口开启 dot1x 认证后可以采用基于端口 (portbased) 或基于 MAC 地址 (macbased) 两种接入控制方式，缺省是接入控制方式为 macbased 。两种方法的区别是：当采用 macbased 方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用 portbased 方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。
例如，修改端口 E0/1 的接入控制方式为 portbased 方式：
[SwitchA]dot1x port-method portbased interface Ethernet 0/1
或者：
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]dot1x port-method portbased

【 SwitchA 相关配置 ( 图 2) 】

1.        创建（进入） VLAN10
[SwitchA]vlan 10

2.        将 E0/1 加入到 VLAN10
[SwitchA-vlan10]port Ethernet 0/1

3.        创建（进入） VLAN20
[SwitchA]vlan 20

4.        将 E0/2 加入到 VLAN20
[SwitchA-vlan20]port Ethernet 0/2

5.        创建（进入） VLAN100
[SwitchA]vlan 100

6.        将 G1/1 加入到 VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1

7.        创建（进入） VLAN 接口 100 ，并配置 IP 地址
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 100.1.1.1 255.255.255.0

8.        创建一个名为 ”cams” 的 RADIUS 方案，并进入其视图
[SwitchA]radius scheme cams

9.        配置方案 ”cams” 的主认证、计费服务器地址和端口号
[SwitchA-radius-cams]primary authentication 100.1.1.1 1812
[SwitchA-radius-cams]primary accounting 100.1.1.1 1813

10.    配置交换机与 RADIUS 服务器交互报文时的密码
[SwitchA-radius-cams]key authentication cams
[SwitchA-radius-cams]key accounting cams

11.    配置交换机将用户名中的用户域名去除掉后送给 RADIUS 服务器
[SwitchA-radius-cams]user-name-format without-domain

12.    创建用户域 ”huawei” ，并进入其视图
[SwitchA]domain huawei

13.    指定 ”cams” 为该用户域的 RADIUS 方案
[SwitchA-isp-huawei]radius-scheme cams

14.    指定交换机缺省的用户域为 ”huawei”
[SwitchA]domain default enable huawei

15.    分别开启 E0/1 、 E0/2 的 802.1X 认证
[SwitchA]dot1x interface Ethernet 0/1 Ethernet 0/2

16.    全局使能 dot1x 认证功能（缺省情况下， dot1x 功能处于关闭状态）
[SwitchA]dot1x enable

【补充说明】

如果 RADIUS 服务器不是与 SwitchA 直连，那么需要在 SwitchA 上增加路由的配置，来确保 SwitchA 与 RADIUS 服务器之间的认证报文通讯正常。

 

转载于:https://blog.51cto.com/700361/146698