EAD和MAC地址本地认证结合的配置(一)
一、组网:
1. PC的IP地址为1.1.1.1/8,交换机VLAN1的IP地址为1.1.1.2/8;
2. PC接在交换机的G1/0/1口;
3. 使能端口安全机制,先进行mac-authentication认证,如果成功则表明认证通过,如果失败则再进行dot1x认证。
二、组网图:
无
三、配置步骤:
1. 使能端口安全机制
[Switch] port-security enable
2. 进入以太网Ethernet1/0/1端口视图
[Switch] interface Ethernet1/0/1
3. 配置端口的安全模式为mac-else-userlogin-secure-ext
[Switch-Ethernet1/0/1] port-security port-mode mac-else-userlogin-secure-ext
4. 配置使用系统默认域为用户的MAC认证域
[Switch] MAC-authentication domain system
5. 配置认证方式为使用MAC地址为用户名
[Switch] MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
6. 添加MAC认证的用户(用户名和密码都为需要进行验证的PC机MAC地址)
[Switch] local-user local-user 00-15-c5-0d-1a-34
7. 设置MAC认证的密码
[Switch-luser-00-15-c5-0d-1a-34] password simple 00-15-c5-0d-1a-34
8. 服务类型为局域网接入类型
[Switch-luser-00-15-c5-0d-1a-34] service-type lan-access
9. 设置交换机为RADIUS服务器
[Switch]local-server nas-ip 127.0.0.1 key huawei
10. 添加本地接入用户
[Switch] local-user huawei
11. 设置本地用户的服务类型及用户级别
[Switch-luser-huawei] service-type lan-access
12. 设置密码
[Switch-luser-huawei] password simple huawei
四、配置关键点:
1. MAC认证和802.1X认证必须同时为本地认证或者同时为远程认证时才能成功,否则只有MAC认证能够成功,802.1X认证任何时候都无法通过;
2. MAC地址本地认证时,用户名和密码要配置成小写格式;远程认证时,用户名和密码需要配置为与认证服务器一致;
3. 正在进行MAC地址认证的时候,无法更改或删除用户配置;
4. MAC认证和802.1x认证都必须使用system做为其认证域,而且认证时间比较长;
5. 此处以H3C S3600-EI的本地认证为例,其他交换机如H3C S5600、Quidway S3900和Quidway S5600等配置相同。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作