问题描述:
通过imc的EIA组件,对用户进行802.1X认证时,接入设备下行口设置hybrid接口,对多个vlan标签进行untag操作,IMC中通过对不同接入策略下发不同的vlan,实现接入用户用不同的用户名登录,所获取的地址是不一样的
想问一下,接入设备为AC时,还是mac地址认证。通过什么方式,能让无线用户根据认证的用户名密码不通过,获取的相应的vlan。
组网及组网描述:
- 2021-05-26提问
- 举报
-
(0)
最佳答案
您好,请知:
那就要将这个VLAN配置为guest vlan了,802.1X Guest VLAN功能允许用户在未认证的情况下,访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
根据端口的接入控制方式不同,Guest VLAN的生效情况有所不同。
可参考下guest vlan的配置举例:
1.12.2 802.1X支持Guest VLAN、授权VLAN下发配置举例
1. 组网需求
如图1-12所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器。Host接入Device的端口GigabitEthernet1/0/2在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN 10内;Device连接Internet网络的端口GigabitEthernet1/0/3在VLAN 5内。现有如下组网需求:
· 在端口上配置完Guest VLAN,则立即将该端口GigabitEthernet1/0/2加入Guest VLAN(VLAN 10)中,此时Host和Update Server都在VLAN 10内,Host可以访问Update Server并下载802.1X客户端。
· 用户认证成功上线后,认证服务器下发VLAN 5,此时Host和连接Internet网络的端口GigabitEthernet1/0/3都在VLAN 5内,Host可以访问Internet。
2. 组网图
图1-12 Guest VLAN及VLAN下发组网图
3. 配置步骤
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。
· 保证接入端口加入Guest VLAN或授权VLAN之后,802.1X客户端能够及时更新IP地址,以实现与相应网络资源的互通。
· 完成RADIUS服务器的配置,添加用户帐户,指定要授权下发的VLAN(本例中为VLAN 5),并保证用户的认证/授权/计费功能正常运行。
(1) 创建VLAN并将端口加入对应VLAN
<Device> system-view
[Device] vlan 1
[Device-vlan1] port gigabitethernet 1/0/2
[Device-vlan1] quit
[Device] vlan 10
[Device-vlan10] port gigabitethernet 1/0/1
[Device-vlan10] quit
[Device] vlan 2
[Device-vlan2] port gigabitethernet 1/0/4
[Device-vlan2] quit
[Device] vlan 5
[Device-vlan5] port gigabitethernet 1/0/3
[Device-vlan5] quit
(2) 配置RADIUS方案
# 创建RADIUS方案2000并进入其视图。
[Device] radius scheme 2000
# 配置主认证/计费RADIUS服务器及其共享密钥。
[Device-radius-2000] primary authentication 10.11.1.1 1812
[Device-radius-2000] primary accounting 10.11.1.1 1813
[Device-radius-2000] key authentication simple abc
[Device-radius-2000] key accounting simple abc
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
(3) 配置ISP域
# 创建域bbb并进入其视图。
[Device] domain bbb
# 配置802.1X用户使用RADIUS方案2000进行认证、授权、计费。
[Device-isp-bbb] authentication lan-access radius-scheme 2000
[Device-isp-bbb] authorization lan-access radius-scheme 2000
[Device-isp-bbb] accounting lan-access radius-scheme 2000
[Device-isp-bbb] quit
(4) 配置802.1X
# 开启端口GigabitEthernet1/0/2的802.1X。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] dot1x
# 配置端口的802.1X接入控制的方式为portbased。
[Device-GigabitEthernet1/0/2] dot1x port-method portbased
# 配置端口的802.1X授权状态为auto。(此配置可选,端口的授权状态缺省为auto)
[Device-GigabitEthernet1/0/2] dot1x port-control auto
# 配置端口的 802.1X Guest VLAN为VLAN10。
[Device-GigabitEthernet1/0/2] dot1x guest-vlan 10
[Device-GigabitEthernet1/0/2] quit
# 开启全局802.1X。
[Device] dot1x
4. 验证配置结果
可以通过命令display dot1x interface查看端口GigabitEthernet1/0/2上Guest VLAN的配置情况。
在端口上配置完Guest VLAN,则该端口会被立即加入其所属的Guest VLAN,通过命令display vlan 10可以查看到端口GigabitEthernet1/0/2加入了配置的Guest VLAN(VLAN 10)。
在用户认证成功之后,通过命令display interface可以看到用户接入的端口GigabitEthernet1/0/2加入了认证服务器下发的VLAN 5中。
- 2021-05-27回答
- 评论(1)
- 举报
-
(0)
那这样的话,认证前终端是vlan10的地址,认证后会重新获取vlan5的地址吗,能做到二次地址分配吗,会不会vlan变成5了,但是地址还没有释放,导致业务不通?
那这个vlan就需要配置成guest vlan,guest vlan相当于是这个vlan下的用户免认证
相关说明如下http://h3c.com/cn/d_201906/1208170_30005_0.htm#_Toc11949700
- 2021-05-26回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
那这样的话,认证前终端是vlan10的地址,认证后会重新获取vlan5的地址吗,能做到二次地址分配吗,会不会vlan变成5了,但是地址还没有释放,导致业务不通?