EAD和MAC地址本地认证结合的配置(二)
一、组网:
1. PC的IP地址为1.1.1.1/8,交换机VLAN1的IP地址为1.1.1.2/8;
2. PC接在交换机的G1/0/1口;
3.先进行mac-authentication认证,如果成功则表明认证通过,如果失败则再进行dot1x认证。
二、组网图:
无
三、配置步骤:
1. 全局使能MAC地址认证功能
[Switch] MAC-authentication
2. 配置认证方式为使用MAC地址作为用户名
[Switch] MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
3. 配置使用系统默认域为用户的MAC认证域
[Switch] MAC-authentication domain system
4. 进入以太网Ethernet1/0/1端口视图
[Switch] interface Ethernet1/0/1
5. 使能端口的MAC认证功能
[Switch-Ethernet1/0/1] MAC-authentication
6. 退出到系统视图
[Switch-Ethernet1/0/1] quit
7. 添加MAC认证的用户(用户名和密码都为需要进行验证的PC机MAC地址)
[Switch] local-user 00-15-c5-0d-1a-34
8. 设置MAC认证的密码
[Switch-luser-00-15-c5-0d-1a-34] password simple 00-15-c5-0d-1a-34
9. 服务类型为局域网接入类型
[Switch-luser-00-15-c5-0d-1a-34] service-type lan-access
10. 全局使能dot1x认证功能
[Switch] dot1x
11. 设置交换机为RADIUS服务器
[Switch]local-server nas-ip 127.0.0.1 key huawei
12. 进入以太网Ethernet1/0/1端口视图
[Switch] interface Ethernet1/0/1
13. 使能端口的dot1x认证功能
[Switch-Ethernet1/0/1] dot1x
14. 退出到系统视图
[Switch-Ethernet1/0/1] quit
15. 添加本地接入用户
[Switch] local-user huawei
16. 设置本地用户的服务类型
[Switch-luser-huawei] service-type lan-access
17. 设置密码
[Switch-luser-huawei] password simple huawei
四、配置关键点:
1. 正在进行MAC地址认证的时候,无法更改或删除用户配置;
2. MAC认证和dot1x认证都必须使用system做为其认证域,而且认证时间比较长;
3. 此处以H3C S3600为例,其他交换机如H3C S5600、Quidway S3900和Quidway S5600等配置相同。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作