Dot1X认证实现动态VLAN区别下发案例
- 0关注
- 0收藏 1920浏览
Dot1X认证实现动态VLAN区别下发案例
一、 实现需求
1、采用Dot1X向Radius服务器认证,实现动态VLAN下发;
2、默认用户认证上来放入VLAN 10,并获取VLAN 10的地址;如果动态下发VLAN 20则用户获取VLAN 20的地址,并能够正常上网。
二、 网络拓扑
本例中采用S31EI做接入认证交换机,DHCP服务器启在S3610 SI交换机上,拓扑如下:
使用版本信息:
S31EI:Comware Software, Version 3.10, Test 2210
S3610:Comware Software, Version 5.20, Release 5309P02
iMC/UAM:PLAT(E2606)/ UAM(E6208)
iNode: V3.60 E6201
三、 配置关键点:
iMC服务器侧配置:
1、 分别创建不下发VLAN的服务service_10和下发VLAN的服务service_20,如下:
2、 分别创建用户user1申请service_1和user2申请service_2。
3、 将S31EI设备在iMC UAM中添加为接入设备,如下图所示:
交换机侧配置:
S31EI配置:
1、 创建VLAN10、VLAN20、VLAN100,并将VLAN 100设置为管理VLAN并配置地址:
#
vlan 10
#
vlan 20
#
vlan 100
#
interface Vlan-interface100
ip address 192.168.132.222 255.255.255.0
2、 配置Radius服务器
radius scheme imc_auth
server-type standard
primary authentication 192.168.132.180
primary accounting 192.168.132.180
key authentication h3c
key accounting h3c
user-name-format without-domain
3、 配置认证域
domain imc_auth_domain
scheme radius-scheme imc_auth
4、 使能该域为默认域
domain default enable imc_auth_domain
5、 开启端口下的MAC-VLAN和认证配置
interface Ethernet1/0/1
port link-type hybrid
port hybrid vlan 10 20 untagged
undo port hybrid vlan 1
port hybrid pvid vlan 10
loopback-detection enable
mac-vlan enable
dot1x
6、 全局下使能Dot1X认证
#
dot1x
S3610的配置:
主要是DHCP Server的配置和开启,详见附件。
四、 实现效果
当使用user1认证的时候,可以看到iMC上该用户的在线信息,如下:
在交换机上看到该用户的信息,并且下发的VLAN为20,如下:
<H3C>dis connection
------------------------Unit 1------------------------
Index=794 ,Username=user1@imc_auth_domain
MAC=0015-c50d-090b ,IP=192.168.10.1
IPV6=::
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
<H3C>dis conn
<H3C>dis connection uci 794
------------------------Unit 1------------------------
Index=794 , Username=user1@imc_auth_domain
MAC=0015-c50d-090b , IP=192.168.10.1
IPV6=::
Access=8021X ,Auth=EAP ,Port=Ether ,Port NO=0x10004014
Initial VLAN=10, Authorization VLAN=10
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2000-04-02 12:40:38 ,Current=2000-04-02 12:41:09 ,Online=00h00m31s
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
<H3C>
当使用user2认证的时候,可以看到iMC上该用户的在线信息,如下:
在交换机上看到该用户的信息,并且下发的VLAN为20,如下:
<H3C>dis connection
------------------------Unit 1------------------------
Index=792 ,Username=user2@imc_auth_domain
MAC=0015-c50d-090b ,IP=192.168.20.1
IPV6=::
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
<H3C>dis conn
<H3C>dis connection un
<H3C>dis connection uci
<H3C>dis connection ucibindex 792
------------------------Unit 1------------------------
Index=792 , Username=user2@imc_auth_domain
MAC=0015-c50d-090b , IP=192.168.20.1
IPV6=::
Access=8021X ,Auth=EAP ,Port=Ether ,Port NO=0x10004014
Initial VLAN=10, Authorization VLAN=20
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2000-04-02 12:34:25 ,Current=2000-04-02 12:38:30 ,Online=00h04m05s
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
五、 案例外延
此案例当中的用户认证是针对不同用户,通过申请不同的服务来实现区别对待是否下发VLAN与否,还可以针对同一个用户来实现是否动态下发VLAN,即对同一个用户申请不同的服务,这些服务由不同的服务后缀(认证域)来区别,当同一个帐号使用user@service1上来的时候不下发vlan,而使用user@service2上来的时候下发VLAN。
六、 配置附件
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作