问题描述:
s5048e交换机如何配置dot1x认证接入,认证radius服务器配置
- 2021-06-28提问
- 举报
-
(0)
您好,请知:
以下是交换机802.1X配置的参考举例:
1.13 802.1X典型配置举例
1.13.1 802.1X认证配置举例
1. 组网需求
用户通过Device的端口GigabitEthernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· 由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。
· 端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
· 认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。
· 所有接入用户都属于同一个ISP域bbb。
· Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。
2. 组网图
图1-11 802.1X认证组网图
3. 配置步骤
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。
· 完成802.1X客户端的配置。若使用H3C iNode 802.1X客户端,为保证备选的本地认证可成功进行,请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。
· 完成RADIUS服务器的配置,添加用户帐户,保证用户的认证/授权/计费功能正常运行。
(1) 配置各接口的IP地址(略)
(2) 配置本地用户
# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)
<Device> system-view
[Device] local-user localuser class network
[Device-luser-network-localuser] password simple localpass
# 配置本地用户的服务类型为lan-access。
[Device-luser-network-localuser] service-type lan-access
[Device-luser-network-localuser] quit
(3) 配置RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[Device] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] primary authentication 10.1.1.1
[Device-radius-radius1] primary accounting 10.1.1.1
# 配置备份认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] secondary authentication 10.1.1.2
[Device-radius-radius1] secondary accounting 10.1.1.2
# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。
[Device-radius-radius1] key authentication simple name
[Device-radius-radius1] key accounting simple money
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(4) 配置ISP域
# 创建域bbb并进入其视图。
[Device] domain bbb
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。
[Device-isp-bbb] authentication lan-access radius-scheme radius1 local
[Device-isp-bbb] authorization lan-access radius-scheme radius1 local
[Device-isp-bbb] accounting lan-access radius-scheme radius1 local
[Device-isp-bbb] quit
# 开启端口GigabitEthernet1/0/1的802.1X。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] dot1x
# 配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Device-GigabitEthernet1/0/1] dot1x port-method macbased
# 指定端口上接入的802.1X用户使用强制认证域bbb。
[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
[Device-GigabitEthernet1/0/1] quit
# 开启全局802.1X。
[Device] dot1x
- 2021-06-28回答
- 评论(1)
- 举报
-
(0)
这个应该是 V7 版本的配置,不是 S5048E 的配置(V5版本的)
您好,参考链接
12.12.6 设置802.1x
1. 开启/关闭全局802.1x功能
表12-133 开启/关闭全局802.1x功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
开启全局的802.1x特性 | dot1x | 缺省情况下,全局的802.1x特性处于关闭状态 |
关闭全局的802.1x特性 | undo dot1x | - |
2. 开启/关闭端口802.1x功能
仅当开启了全局802.1x功能,端口的802.1x功能才能生效。
表12-134 开启/关闭端口802.1x功能
操作 | 命令 | 说明 | |
进入系统视图 | system-view | - | |
开启端口的802.1x特性 | 系统视图下 | dot1x interface interface-list | 两者必选其一 缺省情况下,端口的802.1x特性均为关闭状态 |
端口视图下 | interface GigabitEthernet interface-number | ||
dot1x | |||
关闭端口的802.1x特性 | 系统视图下 | undo dot1x interface interface-list | - |
端口视图下 | interface GigabitEthernet interface-number | ||
undo dot1x | |||
3. 设置端口接入控制的模式
表12-135 设置端口接入控制的模式
操作 | 命令 | 说明 | |
进入系统视图 | system-view | - | |
设置端口接入控制的模式 | 系统视图下 | dot1x port-control { authorized-force | unauthorized-force | auto } [ interface interface-list ] | 两者必选其一 · auto:自动识别模式 · authorized-force:强制授权模式 · unauthorized-force:强制非授权模式 · 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口接入控制的模式为auto |
端口视图下 | interface GigabitEthernet interface-number | ||
dot1x port-control { authorized-force | unauthorized-force | auto } | |||
恢复端口接入控制的模式为缺省值 | 系统视图下 | undo dot1x port-control [ interface interface-list ] | - |
端口视图下 | interface GigabitEthernet interface-number | ||
undo dot1x port-control | |||
4. 设置端口接入控制的方式
表12-136 设置端口接入控制的方式
操作 | 命令 | 说明 | |
进入系统视图 | system-view | - | |
设置端口接入控制的方式 | 系统视图下 | dot1x port-method { macbased | portbased } [ interface interface-list ] | 两者必选其一 · macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证 · portbased:指示802.1x认证系统基于端口对接入用户进行认证 · 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口接入控制的方式为macbased |
端口视图下 | interface GigabitEthernet interface-number | ||
dot1x port-control { authorized-force | unauthorized-force | auto } | |||
恢复端口接入控制的方式为缺省值 | 系统视图下 | undo dot1x port-method [ interface interface-list ] | - |
端口视图下 | interface GigabitEthernet interface-number | ||
undo dot1x port-method | |||
5. 设置802.1x用户的认证方法
表12-137 设置802.1x用户的认证方法
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
设置802.1x用户的认证方法 | dot1x authentication-method eap | 目前,S5000E 802.1x用户的认证只支持EAP-MD5 缺省情况下,802.1x用户的认证方法EAP认证 |
恢复802.1x用户的认证方法为缺省值 | undo dot1x authentication-method | - |
6. 设置Guest VLAN
· 只有在基于端口对接入用户进行认证下时,S5000E才可以支持Guest VLAN功能。因此,当您开启了某端口的Guest VLAN功能后,对应的端口接入方式将自动更改为基于端口号认证。
· 一台S5000E只能配置一个Guest VLAN。
表12-138 设置Guest VLAN
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
开启/关闭全局Guest VLAN功能 | dot1x guest-vlan vlan-id | vlan-id:Guest VLAN,且该VLAN必须已经存在 缺省情况下,全局Guest VLAN功能处于关闭状态 |
undo dot1x guest-vlan | ||
进入以太网端口视图 | interface GigabitEthernet interface-number | - |
开启/关闭端口Guest VLAN功能 | dot1x guest-vlan | 缺省情况下,端口Guest VLAN功能处于关闭状态 |
undo dot1x guest-vlan |
7. 设置802.1x的定时器
表12-139 设置802.1x的定时器
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
设置802.1x的定时器 | dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | reauth-period reauth-period-value } | · handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒 · quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒 · server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒 · supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒 · tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒 · reauth-period-value:重认证周期时间,取值范围为1~86400,单位为秒 缺省情况下,handshake-period-value为15秒,quiet-period-value为60秒server-timeout-value为100秒supp-timeout-value为30秒,tx-period-value为30秒, reauth-period-value为3600秒 |
恢复802.1x的定时器为缺省值 | undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | reauth-period } | - |
8. 设置端口允许接入的用户最大数目
表12-140 设置端口允许接入的用户最大数目
操作 | 命令 | 说明 | |
进入系统视图 | system-view | - | |
设置端口允许接入的用户最大数目 | 系统视图下 | dot1x max-user user-number [ interface interface-list ] | · user-number:端口可容纳接入用户数量的最大值,取值范围为1~128 · 如果interface-list不指定,则表示作用于所有端口 缺省情况下,端口上可容纳接入用户数量的最大值为128 |
端口视图下 | interface GigabitEthernet interface-number | ||
dot1x max-user user-number | |||
恢复端口允许接入的用户最大数目为缺省值 | 系统视图下 | undo dot1x max-user [ interface interface-list ] | - |
端口视图下 | interface GigabitEthernet interface-number | ||
undo dot1x max-user | |||
9. 设置Radius Client
S5000E不支持创建新的Radius方案,系统缺省为system方案。
· 设置Radius认证/授权服务器参数
表12-141 设置Radius认证/授权服务器的IP地址
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入系统缺省的Radius方案视图 | radius scheme system | - |
设置Radius认证/授权服务器参数 | primary authentication ip-address [ port-number ] | ip-address:IP地址,缺省情况下为0.0.0.0 |
恢复Radius认证/授权服务器参数为缺省值 | undo primary authentication | - |
· 设置Radius认证/授权报文的共享密钥
表12-142 设置Radius认证/授权报文的共享密钥
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入系统缺省的Radius方案视图 | radius scheme system | - |
设置Radius认证/授权报文的共享密钥 | key authentication string | string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
恢复Radius认证/授权报文的共享密钥为缺省值 | undo key authentication | - |
· 设置Radius计费服务器参数
表12-143 设置Radius计费服务器参数
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入系统缺省的Radius方案视图 | radius scheme system | - |
设置Radius计费服务器参数 | primary accounting ip-address [ port-number ] | ip-address:IP地址,缺省情况下为0.0.0.0 port-number:UDP端口号,取值范围为1~65535,缺省情况下为1813 |
恢复Radius计费服务器参数为缺省值 | undo primary accounting | - |
· 设置Radius计费报文的共享密钥
表12-144 设置Radius计费报文的共享密钥
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入系统缺省的Radius方案视图 | radius scheme system | - |
设置Radius计费报文的共享密钥 | key accounting string | string:密钥,为1~16个字符的字符串,区分大小写,缺省情况下,无共享密钥 |
恢复Radius计费报文的共享密钥为缺省值 | undo key accounting | - |
· 设置Radius服务器响应超时时长
表12-145 设置Radius服务器响应超时时长
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入系统缺省的Radius方案视图 | radius scheme system | - |
设置Radius服务器响应超时时长 | timer time | time:超时时长,取值范围为1~10,缺省情况下为5秒 |
恢复Radius服务器响应超时时长为缺省值 | undo timer | - |
· 设置Radius报文超时重传次数的最大值
表12-146 设置Radius报文超时重传次数的最大值
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入系统缺省的Radius方案视图 | radius scheme system | - |
设置Radius报文超时重传次数的最大值 | retry retry-times | retry-times:报文重传次数的最大值,取值范围为1~20,缺省情况下为5 |
恢复Radius报文超时重传次数的最大值为缺省值 | undo retry | - |
· 显示Radius方案的设置信息
表12-147 显示Radius方案的设置信息
操作 | 命令 | 说明 |
显示Radius方案的设置信息 | display radius [ radius-scheme-name ] | radius-scheme-name:Radius方案名,S5000E仅支持系统缺省的system方案 |
10. 显示802.1x的相关信息
表12-148 显示802.1x的相关信息
操作 | 命令 | 说明 |
显示802.1x的相关信息 | display dot1x [ sessions | statistics ] [ interface interface-list ] | sessions:显示802.1x的会话连接信息 statistics:显示802.1x的相关统计信息 |
例:显示802.1x所有的信息。
<H3C> display dot1x
Equipment 802.1X protocol is enabled
EAP authentication is enabled
Configure: Transmit Period 30 s
ReAuth Period 3600 s
Quiet Period 60 s
Supp Timeout 30 s
Server Timeout 100 s
Handshake period 15 s
The maximal retransmitting times 5
Total maximum on-line user number is 512
Total current on-line user number is 0
GigabitEthernet0/1 is link-down
802.1X protocol is disabled
The port is an authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
ReAuthenticate is disabled
Max on-line user number is 128
Guest VLAN is disabled
The port is not in guest vlan
Authenticate Success: 0, Failed: 0
EAPOL Packet: Tx 0, Rx 0
Send EAP Request/Identity Packet : 0
EAP Request Packet: 0
Received EAPOL Start Packet : 0
EAPOL LogOff Packet: 0
EAP Response/Identity Packet: 0
EAP Response Packet: 0
Error Packet: 0
Controlled User(s) amount to 0
…
表12-149 display dot1x命令显示信息描述表
字段 | 描述 |
Equipment 802.1X protocol is enabled | 802.1x特性已经开启 |
EAP authentication is enabled | 开启EAP认证 |
Transmit Period | 发送间隔定时器 |
ReAuth Period | 重认证周期 |
Quiet Period | 静默定时器设置的静默时长 |
Supp Timeout | Supplicant认证超时定时器 |
Server Timeout | Authentication Server超时定时器 |
Handshake Period | 802.1x的握手报文的发送时间间隔 |
The maximal retransmitting times | 交换机可重复向接入用户发送认证请求帧的次数 |
Total maximum on-line user number | 最多可接入用户数 |
Total current on-line user number | 当前在线接入用户数 |
GigabitEthernet0/1 is link-down | 端口GigabitEthernet0/1的状态为Down |
802.1X protocol is disabled | 该端口未开启802.1x协议 |
The port is an authenticator | 该端口担当Authenticator作用 |
Authenticate Mode is auto | 端口接入控制的模式为auto |
Port Control Type is Mac-based | 端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证 |
ReAuthenticate is disabled | 端口的802.1x重认证特性处于关闭状态 |
Max on-line user number is 128 | 本端口最多可容纳的接入用户数 |
Guest VLAN is disabled | 端口Guest VLAN功能关闭 |
… | 略 |
- 2021-06-28回答
- 评论(0)
- 举报
-
(1)
https://www.h3c.com/cn/d_202104/1399291_30005_0.htm
- 2021-06-28回答
- 评论(1)
- 举报
-
(0)
这个链接已经失效了,404
这个链接已经失效了,404
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这个应该是 V7 版本的配置,不是 S5048E 的配置(V5版本的)