EAD和MAC地址本地认证结合的配置（二）

EAD和MAC地址本地认证结合的配置（二）

一、组网：

1． PC的IP地址为1.1.1.1/8，交换机VLAN1的IP地址为1.1.1.2/8；

2． PC接在交换机的G1/0/1口；

3．先进行mac-authentication认证，如果成功则表明认证通过，如果失败则再进行dot1x认证。

二、组网图：

无

三、配置步骤：

1.       全局使能MAC地址认证功能

[Switch] MAC-authentication

2.       配置认证方式为使用MAC地址作为用户名

[Switch] MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen

3.       配置使用系统默认域为用户的MAC认证域

[Switch] MAC-authentication domain system

4.       进入以太网Ethernet1/0/1端口视图

[Switch] interface Ethernet1/0/1

5.       使能端口的MAC认证功能

[Switch-Ethernet1/0/1] MAC-authentication

6.       退出到系统视图

[Switch-Ethernet1/0/1] quit

7.       添加MAC认证的用户（用户名和密码都为需要进行验证的PC机MAC地址）

[Switch] local-user 00-15-c5-0d-1a-34

8.       设置MAC认证的密码

[Switch-luser-00-15-c5-0d-1a-34] password simple 00-15-c5-0d-1a-34

9.       服务类型为局域网接入类型

[Switch-luser-00-15-c5-0d-1a-34] service-type lan-access 

10.  全局使能dot1x认证功能

[Switch] dot1x

11.  设置交换机为RADIUS服务器

[Switch]local-server nas-ip 127.0.0.1 key huawei

12.  进入以太网Ethernet1/0/1端口视图

[Switch] interface Ethernet1/0/1

13.  使能端口的dot1x认证功能

[Switch-Ethernet1/0/1] dot1x

14.  退出到系统视图

[Switch-Ethernet1/0/1] quit

15.  添加本地接入用户

[Switch] local-user huawei

16.  设置本地用户的服务类型

[Switch-luser-huawei] service-type lan-access

17.  设置密码

[Switch-luser-huawei] password simple huawei

四、配置关键点：

1.      正在进行MAC地址认证的时候，无法更改或删除用户配置；

2.      MAC认证和dot1x认证都必须使用system做为其认证域，而且认证时间比较长；

3.      此处以H3C S3600为例，其他交换机如H3C S5600、Quidway S3900和Quidway S5600等配置相同。