S5500V3可以做802.1x的本地认证吗
- 0关注
- 0收藏,382浏览
问题描述:
S5500V3的802.1x做radius服务器认证貌似有问题,请问可以用本地认证替代吗
- 2024-07-05提问
- 举报
-
(0)
可以的,但是要建很多本地账号,而且每台交换机都要建,会很麻烦
========
1.12 802.1X典型配置举例
1. 组网需求
l 要求在Switch A端口GigabitEthernet1/0/1上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制。
l 所有接入用户都属于一个缺省的域:***.***,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线。
l 由两台RADIUS服务器组成的服务器组通过Switch B与Switch A相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。
l 设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。
l 设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。
l 设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。
l 本地802.1X接入用户的用户名为localuser,密码为localpass,使用明文输入;闲置切断功能处于打开状态,正常连接时用户空闲时间超过20分钟,则切断其连接。
2. 组网图
图1-9 802.1X认证典型组网图
3. 配置步骤
l 下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“AAA配置”。此外,802.1X客户端和RADIUS服务器上的配置略。
l 进行下面的配置之前,需要确保Host、Switch A和RADIUS服务器之间路由可达。
# 配置接口的IP地址(略)。
# 添加本地接入用户,启动闲置切断功能并设置相关参数。
<SwitchA> system-view
[SwitchA] local-user localuser
[SwitchA-luser-localuser] service-type lan-access
[SwitchA-luser-localuser] password simple localpass
[SwitchA-luser-localuser] authorization-attribute idle-cut 20
[SwitchA-luser-localuser] quit
# 创建RADIUS方案radius1并进入其视图。
[SwitchA] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[SwitchA-radius-radius1] primary authentication 10.1.1.1
[SwitchA-radius-radius1] primary accounting 10.1.1.1
# 设置备份认证/计费RADIUS服务器的IP地址。
[SwitchA-radius-radius1] secondary authentication 10.1.1.2
[SwitchA-radius-radius1] secondary accounting 10.1.1.2
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[SwitchA-radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的共享密钥。
[SwitchA-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[SwitchA-radius-radius1] timer response-timeout 5
[SwitchA-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[SwitchA-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[SwitchA-radius-radius1] user-name-format without-domain
[SwitchA-radius-radius1] quit
# 创建域***.***并进入其视图。
[SwitchA] domain ***.***
# 指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。
[SwitchA-isp-***.***] authentication default radius-scheme radius1 local
[SwitchA-isp-***.***] authorization default radius-scheme radius1 local
[SwitchA-isp-***.***] accounting default radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[SwitchA-isp-***.***] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[SwitchA-isp-***.***] idle-cut enable 20
[SwitchA-isp-***.***] quit
# 配置域***.***为缺省用户域。
[SwitchA] domain default enable ***.***
[SwitchA] dot1x
# 开启指定端口GigabitEthernet1/0/1的802.1X特性。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] dot1x
[SwitchA-GigabitEthernet1/0/1] quit
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[SwitchA] dot1x port-method macbased interface gigabitethernet 1/0/1
使用命令display dot1x interface gigabitethernet 1/0/1可以查看802.1X的配置情况。当802.1X用户使用username@***.***形式的用户名成功通过RADIUS认证上线后,可使用命令display connetion查看到上线用户的连接情况。若RADIUS认证失败,则进行本地认证。
- 2024-07-05回答
- 评论(2)
- 举报
-
(0)
这个没关系的,只有一台交换机,请问有案例可以参考吗,官网上好像只有AC的本地认证
您好,请知:
S5500V3可以做802.1x的本地认证
以下是配置案例,请参考:
本案例适用于S7000/S7500E/10500系列交换机,V5、V7交换机具体分类及型号可以参考“1.1 Comware V5、V7平台交换机分类说明”。
电脑通过交换机的G1/0/2口连入网络,设备对该端口接入的用户进行802.1X本地认证以控制其访问Internet。
配置步骤
3.1 交换机VLAN及虚接口基本配置
#交换机缺省二层口属于vlan1,给vlan1配置ip地址为192.168.1.1。
<H3C>system-view //进入系统视图
[H3C]interface Vlan-interface 1 //进入vlan1接口
[H3C-Vlan-interface1] ip address 192.168.1.1 255.255.255.0 //配置IP地址为192.168.1.1,掩码为255.255.255.0
[H3C-Vlan-interface1]quit //退出当前视图
3.2 配置认证域(缺省不配置为system域)
#创建名为local的ISP域,本地认证,不授权不计费。
[H3C]domain local //创建名为local的ISP域
[H3C-isp-local] authentication lan-access local //为dot1x用户配置本地认证方法
[H3C-isp-local] authorization lan-access none //配置AAA授权方法为不授权
[H3C-isp-local] accounting lan-access none //配置AAA授权方法为不计费
[H3C-isp-local]quit //退出当前视图
3.3 配置802.1X认证
#全局开启802.1X认证
[H3C]dot1x //全局开启802.1X认证
802.1X is already enabled globally.
#G1/0/2接口下开启802.1X认证
[H3C] interface GigabitEthernet1/0/2 //进入G1/0/2接口
[H3C-GigabitEthernet1/0/2]dot1x //接口下开启802.1x功能
#配置G1/0/2接口的强制认证ISP域为“local”。(此处不配置为默认system域)
[H3C-GigabitEthernet1/0/2]dot1x mandatory-domain local //配置G1/0/2接口的强制认证ISP域为“local”
#创建本地用户ceshi,密码为111,服务类型为lan-access。
[H3C]local-user ceshi class network //创建dot1x的本地用户,用户名为“ceshi”
[H3C-luser-network-ceshi]password simple 111 //密码为111
[H3C-luser-network-ceshi]service-type lan-access //服务器类型为lan-access
[H3C-luser-network-ceshi]quit //退出当前视图
[H3C-luser-network-ceshi]save for //保存配置
#在客户端电脑上配置有线网卡的IPV4地址192.168.1.10/24,网关为192.168.1.1,安全INODE客户端软件,定制802.1X连接,输入用户名和密码是ceshi/111
将装有INODE客户端软件的电脑接入交换机的G1/0/2,选择802.1X连接,输入正确的用户名和密码后点击连接,如下图802.1X认证通过
此时未进行802.1X认证的电脑在通过802.1x认证后可以ping通自己的网关。
- 2024-07-05回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
补充了