• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

交换机s5048e

2021-06-28提问
  • 0关注
  • 1收藏,1376浏览
粉丝:0人 关注:0人

问题描述:

s5048e交换机如何配置dot1x认证接入,认证radius服务器配置

3 个回答
粉丝:138人 关注:6人

您好,请知:

以下是交换机802.1X配置的参考举例:

1.13  802.1X典型配置举例

1.13.1  802.1X认证配置举例

1. 组网需求

用户通过Device的端口GigabitEthernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

·            由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。

·            端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

·            认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。

·            所有接入用户都属于同一个ISP域bbb。

·            Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图

图1-11 802.1X认证组网图

3. 配置步骤

说明

·         下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

·         完成802.1X客户端的配置。若使用H3C iNode 802.1X客户端,为保证备选的本地认证可成功进行,请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。

·         完成RADIUS服务器的配置,添加用户帐户,保证用户的认证/授权/计费功能正常运行。

 

(1)       配置各接口的IP地址(略)

(2)       配置本地用户

# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)

<Device> system-view

[Device] local-user localuser class network

[Device-luser-network-localuser] password simple localpass

# 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access

[Device-luser-network-localuser] quit

(3)       配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1

[Device-radius-radius1] primary accounting 10.1.1.1

# 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2

[Device-radius-radius1] secondary accounting 10.1.1.2

# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。

[Device-radius-radius1] key authentication simple name

[Device-radius-radius1] key accounting simple money

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain

[Device-radius-radius1] quit

说明

发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:

·         若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);

·         若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。

 

(4)       配置ISP域

# 创建域bbb并进入其视图。

[Device] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。

[Device-isp-bbb] authentication lan-access radius-scheme radius1 local

[Device-isp-bbb] authorization lan-access radius-scheme radius1 local

[Device-isp-bbb] accounting lan-access radius-scheme radius1 local

[Device-isp-bbb] quit

(5)       配置802.1X

# 开启端口GigabitEthernet1/0/1的802.1X。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] dot1x

# 配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[Device-GigabitEthernet1/0/1] dot1x port-method macbased

# 指定端口上接入的802.1X用户使用强制认证域bbb。

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

[Device-GigabitEthernet1/0/1] quit

# 开启全局802.1X。

[Device] dot1x

这个应该是 V7 版本的配置,不是 S5048E 的配置(V5版本的)

zhiliao_hsT3a 发表时间:2023-08-04 更多>>

这个应该是 V7 版本的配置,不是 S5048E 的配置(V5版本的)

zhiliao_hsT3a 发表时间:2023-08-04
粉丝:336人 关注:0人

您好,参考链接

01-正文-新华三集团-H3C

12.12.6  设置802.1x

1. 开启/关闭全局802.1x功能

表12-133 开启/关闭全局802.1x功能

操作

命令

说明

进入系统视图

system-view

-

开启全局的802.1x特性

dot1x

缺省情况下,全局的802.1x特性处于关闭状态

关闭全局的802.1x特性

undo dot1x

-

 

2. 开启/关闭端口802.1x功能

说明

仅当开启了全局802.1x功能,端口的802.1x功能才能生效。

 

表12-134 开启/关闭端口802.1x功能

操作

命令

说明

进入系统视图

system-view

-

开启端口的802.1x特性

系统视图下

dot1x interface interface-list

两者必选其一

缺省情况下,端口的802.1x特性均为关闭状态

端口视图下

interface GigabitEthernet interface-number

dot1x

关闭端口的802.1x特性

系统视图下

undo dot1x interface interface-list

-

端口视图下

interface GigabitEthernet interface-number

undo dot1x

 

3. 设置端口接入控制的模式

表12-135 设置端口接入控制的模式

操作

命令

说明

进入系统视图

system-view

-

设置端口接入控制的模式

系统视图下

dot1x port-control authorized-force | unauthorized-force | auto } [ interface interface-list ]

两者必选其一

·     auto:自动识别模式

·     authorized-force:强制授权模式

·     unauthorized-force:强制非授权模式

·     如果interface-list不指定,则表示作用于所有端口

缺省情况下,端口接入控制的模式为auto

端口视图下

interface GigabitEthernet interface-number

dot1x port-control authorized-force | unauthorized-force | auto }

恢复端口接入控制的模式为缺省值

系统视图下

undo dot1x port-control interface interface-list ]

-

端口视图下

interface GigabitEthernet interface-number

undo dot1x port-control

 

4. 设置端口接入控制的方式

表12-136 设置端口接入控制的方式

操作

命令

说明

进入系统视图

system-view

-

设置端口接入控制的方式

系统视图下

dot1x port-method { macbased | portbased } [ interface interface-list ]

两者必选其一

·     macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证

·     portbased:指示802.1x认证系统基于端口对接入用户进行认证

·     如果interface-list不指定,则表示作用于所有端口

缺省情况下,端口接入控制的方式为macbased

端口视图下

interface GigabitEthernet interface-number

dot1x port-control authorized-force | unauthorized-force | auto }

恢复端口接入控制的方式为缺省值

系统视图下

undo dot1x port-method interface interface-list ]

-

端口视图下

interface GigabitEthernet interface-number

undo dot1x port-method

 

5. 设置802.1x用户的认证方法

表12-137 设置802.1x用户的认证方法

操作

命令

说明

进入系统视图

system-view

-

设置802.1x用户的认证方法

dot1x authentication-method eap

目前,S5000E 802.1x用户的认证只支持EAP-MD5

缺省情况下,802.1x用户的认证方法EAP认证

恢复802.1x用户的认证方法为缺省值

undo dot1x authentication-method

-

 

6. 设置Guest VLAN

说明

·     只有在基于端口对接入用户进行认证下时,S5000E才可以支持Guest VLAN功能。因此,当您开启了某端口的Guest VLAN功能后,对应的端口接入方式将自动更改为基于端口号认证。

·     一台S5000E只能配置一个Guest VLAN。

 

表12-138 设置Guest VLAN

操作

命令

说明

进入系统视图

system-view

-

开启/关闭全局Guest VLAN功能

dot1x guest-vlan vlan-id

vlan-idGuest VLAN,且该VLAN必须已经存在

缺省情况下,全局Guest VLAN功能处于关闭状态

undo dot1x guest-vlan

进入以太网端口视图

interface GigabitEthernet interface-number

-

开启/关闭端口Guest VLAN功能

dot1x guest-vlan

缺省情况下,端口Guest VLAN功能处于关闭状态

undo dot1x guest-vlan

 

7. 设置802.1x的定时器

表12-139 设置802.1x的定时器

操作

命令

说明

进入系统视图

system-view

-

设置802.1x的定时器

dot1x timer handshake-period handshake-period-value | quiet-period quiet-period-value server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value reauth-period reauth-period-value }

·     handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒

·     quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒

·     server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒

·     supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒

·     tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒

·     reauth-period-value:重认证周期时间,取值范围为1~86400,单位为秒

缺省情况下,handshake-period-value为15秒,quiet-period-value为60秒server-timeout-value为100秒supp-timeout-value为30秒,tx-period-value为30秒,

reauth-period-value为3600秒

恢复802.1x的定时器为缺省值

undo dot1x timer { handshake-period quiet-period server-timeout | supp-timeout | tx-period reauth-period }

-

 

8. 设置端口允许接入的用户最大数目

表12-140 设置端口允许接入的用户最大数目

操作

命令

说明

进入系统视图

system-view

-

设置端口允许接入的用户最大数目

系统视图下

dot1x max-user user-number [ interface interface-list ]

·     user-number:端口可容纳接入用户数量的最大值,取值范围为1~128

·     如果interface-list不指定,则表示作用于所有端口

缺省情况下,端口上可容纳接入用户数量的最大值为128

端口视图下

interface GigabitEthernet interface-number

dot1x max-user user-number

恢复端口允许接入的用户最大数目为缺省值

系统视图下

undo dot1x max-user interface interface-list ]

-

端口视图下

interface GigabitEthernet interface-number

undo dot1x max-user

 

9. 设置Radius Client

说明

S5000E不支持创建新的Radius方案,系统缺省为system方案。

 

·     设置Radius认证/授权服务器参数

表12-141 设置Radius认证/授权服务器的IP地址

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius认证/授权服务器参数

primary authentication ip-address port-number ]

ip-address:IP地址,缺省情况下为0.0.0.0

port-number:UDP端口号,取值范围为1~65535,缺省情况下为1812

恢复Radius认证/授权服务器参数为缺省值

undo primary authentication

-

 

·     设置Radius认证/授权报文的共享密钥

表12-142 设置Radius认证/授权报文的共享密钥

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius认证/授权报文的共享密钥

key authentication string

string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥

恢复Radius认证/授权报文的共享密钥为缺省值

undo key authentication

-

 

·     设置Radius计费服务器参数

表12-143 设置Radius计费服务器参数

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius计费服务器参数

primary accounting ip-address port-number ]

ip-address:IP地址,缺省情况下为0.0.0.0

port-number:UDP端口号,取值范围为1~65535,缺省情况下为1813

恢复Radius计费服务器参数为缺省值

undo primary accounting

-

 

·     设置Radius计费报文的共享密钥

表12-144 设置Radius计费报文的共享密钥

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius计费报文的共享密钥

key accounting string

string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥

恢复Radius计费报文的共享密钥为缺省值

undo key accounting

-

 

·     设置Radius服务器响应超时时长

表12-145 设置Radius服务器响应超时时长

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius服务器响应超时时长

timer time

time:超时时长,取值范围为1~10,缺省情况下为5秒

恢复Radius服务器响应超时时长为缺省值

undo timer

-

 

·     设置Radius报文超时重传次数的最大值

表12-146 设置Radius报文超时重传次数的最大值

操作

命令

说明

进入系统视图

system-view

-

进入系统缺省的Radius方案视图

radius scheme system

-

设置Radius报文超时重传次数的最大值

retry retry-times

retry-times:报文重传次数的最大值,取值范围为1~20,缺省情况下为5

恢复Radius报文超时重传次数的最大值为缺省值

undo retry

-

 

·     显示Radius方案的设置信息

表12-147 显示Radius方案的设置信息

操作

命令

说明

显示Radius方案的设置信息

display radius  [ radius-scheme-name ]

radius-scheme-name:Radius方案名,S5000E仅支持系统缺省的system方案

 

10. 显示802.1x的相关信息

表12-148 显示802.1x的相关信息

操作

命令

说明

显示802.1x的相关信息

display dot1x [ sessions | statistics ] [ interface interface-list ]

sessions:显示802.1x的会话连接信息

statistics:显示802.1x的相关统计信息

 

例:显示802.1x所有的信息。

<H3C> display dot1x

Equipment 802.1X protocol is enabled

EAP authentication is enabled

 

Configure: Transmit Period 30 s

           ReAuth Period 3600 s

           Quiet Period 60 s

           Supp Timeout 30 s

           Server Timeout 100 s

           Handshake period 15 s

           The maximal retransmitting times 5

 

Total maximum on-line user number is 512

Total current on-line user number is  0

 

GigabitEthernet0/1 is link-down

   802.1X protocol is disabled

   The port is an authenticator

   Authenticate Mode is auto

   Port Control Type is Mac-based

   ReAuthenticate is disabled

   Max on-line user number is 128

   Guest VLAN is disabled

 

   The port is not in guest vlan

   Authenticate Success: 0, Failed: 0

   EAPOL Packet: Tx 0, Rx 0

   Send EAP Request/Identity Packet : 0

        EAP Request Packet: 0

   Received EAPOL Start Packet : 0

            EAPOL LogOff Packet: 0

            EAP Response/Identity Packet: 0

            EAP Response Packet: 0

            Error Packet: 0

 

   Controlled User(s) amount to 0

表12-149 display dot1x命令显示信息描述表

字段

描述

Equipment 802.1X protocol is enabled

802.1x特性已经开启

EAP authentication is enabled

开启EAP认证

Transmit Period

发送间隔定时器

ReAuth Period

重认证周期

Quiet Period

静默定时器设置的静默时长

Supp Timeout

Supplicant认证超时定时器

Server Timeout

Authentication Server超时定时器

Handshake Period

802.1x的握手报文的发送时间间隔

The maximal retransmitting times

交换机可重复向接入用户发送认证请求帧的次数

Total maximum on-line user number

最多可接入用户数

Total current on-line user number

当前在线接入用户数

GigabitEthernet0/1 is link-down

端口GigabitEthernet0/1的状态为Down

802.1X protocol is disabled

该端口未开启802.1x协议

The port is an authenticator

该端口担当Authenticator作用

Authenticate Mode is auto

端口接入控制的模式为auto

Port Control Type is Mac-based

端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证

ReAuthenticate is disabled

端口的802.1x重认证特性处于关闭状态

Max on-line user number is 128

本端口最多可容纳的接入用户数

Guest VLAN is disabled

端口Guest VLAN功能关闭

 

粉丝:160人 关注:1人

https://www.h3c.com/cn/d_202104/1399291_30005_0.htm

这个链接已经失效了,404

zhiliao_hsT3a 发表时间:2023-08-04 更多>>

这个链接已经失效了,404

zhiliao_hsT3a 发表时间:2023-08-04

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明