MSR2600使用802.1X连接运营商上网

您好，请知：

MSR2600不支持作为802.1X的认证客户端。

如果是给MSR2600下的终端提供802.1X的认证接入，以下是MSR2600系列802.1X的配置举例，请参考：

2.24.1  802.1X认证配置举例

1. 组网需求

用户通过Device的端口GigabitEthernet1/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：

·     由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。

·     端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

·     认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。

·     所有接入用户都属于同一个ISP域bbb。

·     Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图

图2-1 802.1X认证组网图

‌

3. 配置步骤

(1)     配置RADIUS服务器，添加用户帐户，保证用户的认证/授权/计费功能正常运行（略）

(2)     配置各接口的IP地址（略）

(3)     配置本地用户

# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）

<Device> system-view

[Device] local-user localuser class network

[Device-luser-network-localuser] password simple localpass

# 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access

[Device-luser-network-localuser] quit

(4)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1

[Device-radius-radius1] primary accounting 10.1.1.1

# 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2

[Device-radius-radius1] secondary accounting 10.1.1.2

# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。

[Device-radius-radius1] key authentication simple name

[Device-radius-radius1] key accounting simple money

# 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain

[Device-radius-radius1] quit

(5)     配置ISP域

# 创建域bbb并进入其视图。

[Device] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费，并采用local作为备选方法。

[Device-isp-bbb] authentication lan-access radius-scheme radius1 local

[Device-isp-bbb] authorization lan-access radius-scheme radius1 local

[Device-isp-bbb] accounting lan-access radius-scheme radius1 local

[Device-isp-bbb] quit

(6)     配置802.1X

# 开启端口GigabitEthernet1/0/1的802.1X。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] dot1x

# 配置端口的802.1X接入控制方式为MAC-based（该配置可选，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[Device-GigabitEthernet1/0/1] dot1x port-method macbased

# 指定端口上接入的802.1X用户使用强制认证域bbb。

[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

[Device-GigabitEthernet1/0/1] quit

# 开启全局802.1X。

[Device] dot1x

(7)     配置802.1X客户端（略）

若使用H3C iNode 802.1X客户端，为保证备选的本地认证可成功进行，请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。

以下是MSR2600系列及MSR2600系列的802.1X的手册连接，请参考：

https://www.h3c.com/cn/d_202006/1309349_30005_0.htm#_Toc43886360

https://www.h3c.com/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_2600/