S5500系列交换机Triple 认证功能典型配置

S5500系列交换机Triple 认证功能典型配置

一、  组网需求：

用户通过接入设备Switch接入网络，要求在Switch的二层端口上对所有用户进行统一认证，且只要用户通过802.1X认证、Portal认证、MAC地址认证中的任何一种认证，即可接入网络。具体需求如下：

1、客户端上静态配置属于192.168.1.0/24网段的IP地址；

2、使用远程RADIUS服务器进行认证、授权和计费，且发送给RADIUS服务器的用户名不携带ISP域名；

3、本地Portal认证服务器的监听IP地址为4.4.4.4，设备向Portal用户推出系统默认的认证页面，并使用HTTP传输认证数据。

二、  组网图：

不同的客户端接入到同一个端口，在同一个端口下采用不同的认证方式。

其中一台PC机采用802.1x认证、另一台采用Portal认证、打印机采用MAC认证。

三、  配置步骤：

1、配置Portal认证；

system-view

[Switch] portal local-server http

# 配置Loopback接口12的IP地址为4.4.4.4。

[Switch] interface loopback 12

[Switch-LoopBack12] ip address 4.4.4.4 32

# 指定二层Portal认证的本地Portal服务器监听IP地址为4.4.4.4。

[Switch] portal local-server ip 4.4.4.4

# 在端口GigabitEthernet 1/0/1上使能二层Portal认证。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] portal local-server enable

2、配置802.1x认证；

 # 全局使能802.1X认证。

[Switch] dot1x

# 在端口GigabitEthernet1/0/1上使能802.1X认证（必须为基于MAC的接入控制方式）。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] dot1x port-method macbased

[Switch–GigabitEthernet1/0/1] dot1x

3、配置MAC地址认证；

# 全局使能MAC地址认证。

[Switch] mac-authentication

# 在端口GigabitEthernet 1/0/1上使能MAC地址认证。

[Switch] interface gigabitethernet 1/0/1

[Switch–GigabitEthernet1/0/1] mac-authentication

[Switch–GigabitEthernet1/0/1] quit

4、配置Radius方案；

# 创建并进入名字为rs1的RADIUS方案视图。

[Switch] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时，RADIUS服务器类型应选择extended。

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 1.1.1.2

[Switch-radius-rs1] primary accounting 1.1.1.2

[Switch-radius-rs1] key authentication radius

[Switch-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

5、配置认证域；

# 创建并进入名字为triple的ISP域。

[Switch] domain triple

# 为所有类型的用户配置缺省的AAA方案。

[Switch-isp-triple] authentication default radius-scheme rs1

[Switch-isp-triple] authorization default radius-scheme rs1

[Switch-isp-triple] accounting default radius-scheme rs1

6、验证配置结果

用户userdot通过802.1X客户端发起认证，输入正确的用户名和密码后，可成功通过802.1X认证；Web用户userpt通过Web浏览器访问外部网络，其Web请求均被重定向到认证页面http://4.4.4.4/portal/logon.htm。用户根据网页提示输入正确的用户名和密码后，能够成功通过Portal认证；打印机接入网络后，可成功通过MAC地址认证。可通过display connection命令查看已在线用户的信息。

[Switch] display connection

Slot:  1

Index=30  , Username=userpt@triple

 IP=192.168.1.2

 IPv6=N/A

 MAC=0015-e9a6-7cfe

Index=31  , Username=userdot@triple

 IP=192.168.1.3

 IPv6=N/A

 MAC=0002-0002-0001

Index=32  , Username=001588f80dd7@triple

 IP=192.168.1.4

 IPv6=N/A

 MAC=0015-88f8-0dd7

 Total 3 connection(s) matched on slot 1.

 Total 3 connection(s) matched.

四、  配置关键点：

1、  不同认证方式之间存在优先级：

客户端通过802.1x或者Portal认证之后将不再触发其他认证；

客户端通过MAC地址认证之后，将不能再触发Portal认证，但允许触发802.1x认证，若802.1x认证成功，则802.1x认证的用户信息将覆盖MAC认证的用户信息。

2、  Triple认证同样支持下发授权VLAN、认证失败的VLAN、以及ACL的下发。

3、  端口同时开启三种认证方式，不同的报文可以触发不同的认证：

MAC认证由ARP报文或者DHCP报文触发；

802.1x认证由EAP报文触发(但端口开启802.1x单播触发时，任意报文都可触发802.1x认证)；

Portal认证由HTTP报文触发。