802.1X认证
- 2关注
- 0收藏,922浏览
问题描述:
802.1X认证,是需要配置在核心交换机上,还是配置在所有交换机
S5560S-28F-EI如果是这台交换机需要配置,应该如何配置呢
组网及组网描述:
- 2022-10-15提问
- 举报
-
(0)
这个一般在接入交换机侧配置
https://www.h3c.com/cn/d_202207/1643567_30005_0.htm#_Toc106913292
- 2022-10-15回答
- 评论(0)
- 举报
-
(0)
您好,请知:
802.1X是在有需要认证的接入交换机上面配置的。
以下是配置举例,请参考:
3 802.1X用户本地认证典型配置举例
3.1 组网需求
如图1所示,用户通过Device的端口GigabitEthernet1/0/1接入网络。要求:Device对从该端口接入的用户采用基于端口的接入控制方式进行802.1X本地认证以控制其访问Internet。
图1 802.1X本地认证配置组网图
3.2 配置思路
为了使设备能够识别合法的用户,在设备上添加合法的802.1X认证用户名和密码。
3.3 适用产品及版本
表1 适用产品及版本
产品 | 软件版本 |
S6812系列 S6813系列 | Release 66xx系列 |
S6550XE-HI系列 | Release 6008及以上版本 |
S6525XE-HI系列 | Release 6008及以上版本 |
S5850系列 | Release 8005及以上版本 |
S5570S-EI系列 | Release 1106及以上版本 |
S5560X-EI系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
S5560X-HI系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
S5500V2-EI系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
MS4520V2-30F | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
MS4520V2-30C MS4520V2-54C | Release 65xx系列、Release 66xx系列 |
MS4520V2-28S MS4520V2-24TP | Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
S6520X-SI系列 S6520-SI系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
S5000-EI系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
MS4600系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
ES5500系列 | Release 63xx系列、Release 65xx系列、Release 66xx系列 |
S5560S-EI系列 S5560S-SI系列 | Release 63xx系列 |
S5500V3-24P-SI S5500V3-48P-SI | Release 63xx系列 |
S5500V3-SI系列(除S5500V3-24P-SI、S5500V3-48P-SI) | Release 1106及以上版本 |
S5170-EI系列 | Release 1106及以上版本 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 | Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 | Release 63xx系列 |
S5120V3-EI系列 | Release 1106及以上版本 |
S5120V3-36F-SI S5120V3-28P-HPWR-SI S5120V3-54P-PWR-SI | Release 1106及以上版本 |
S5120V3-SI系列(除S5120V3-36F-SI、S5120V3-28P-HPWR-SI、S5120V3-54P-PWR-SI) | Release 63xx系列 |
S5120V3-LI系列 | Release 63xx系列 |
S3600V3-EI系列 | Release 1106及以上版本 |
S3600V3-SI系列 | Release 1106及以上版本 |
S3100V3-EI系列 S3100V3-SI系列 | Release 63xx系列 |
S5110V2系列 | Release 63xx系列 |
S5110V2-SI系列 | Release 63xx系列 |
S5000V3-EI系列 S5000V5-EI系列 | Release 63xx系列 |
S5000E-X系列 S5000X-EI系列 | Release 63xx系列 |
E128C E152C E500C系列 E500D系列 | Release 63xx系列 |
MS4320V2系列 MS4320V3系列 MS4300V2系列 MS4320系列 MS4200系列 | Release 63xx系列 |
WS5850-WiNet系列 | Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 | Release 63xx系列 |
WAS6000系列 | Release 63xx系列 |
IE4300-12P-AC & IE4300-12P-PWR IE4300-M系列 IE4320系列 | Release 63xx系列 |
3.4 配置注意事项
使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。
只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
3.5 配置步骤
3.5.1 配置Device
(1) 配置本地用户
# 添加网络接入类本地用户,用户名为“dot1x”,并进入该用户视图。
<Device> system-view
[Device] local-user dot1x class network
New local user added.
# 配置用户“dot1x”的密码为明文123456TESTplat&!。
[Device-luser-network-dot1x] password simple 123456TESTplat&!
# 配置本地用户的服务类型为lan-access。
[Device-luser-network-dot1x] service-type lan-access
[Device-luser-network-dot1x] quit
(2) 配置虚接口地址,作为Host的网关
[Device] interface vlan-interface 1
[Device-Vlan-interface1] ip address 192.168.56.101 255.255.255.0
[Device-Vlan-interface1] quit
(3) 配置802.1X认证
# 开启端口GigabitEthernet1/0/1的802.1X认证。
[Device] interface gigabitethernet1/0/1
[Device-GigabitEthernet1/0/1] dot1x
# 配置基于端口的接入控制方式
[Device-GigabitEthernet1/0/1] dot1x port-method portbased
[Device-GigabitEthernet1/0/1] quit
# 开启全局802.1X认证。
[Device] dot1x
3.5.2 配置802.1X客户端
· 以下使用iNode PC 7.3(E0518)版本为例介绍802.1X客户端的配置。
· 若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。
· 保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。
(1) 启动客户端
图2 iNode客户端界面示意图
(2) 新建802.1X连接
点击<新建>按钮,进入新建连接向导对话框。
图3 新建802.1X连接示意图
(3) 输入用户名和密码
图4 802.1X用户名、密码配置示意图
(4) 设置连接属性
图5 802.1X连接属性配置示意图
由于本地认证不能对客户端上传的版本号进行识别,请不要勾选“上传客户端版本号”选项。
(5) 发起802.1X连接
完成新建连接后,点击iNode客户端的<连接>按钮,发起802.1X连接。
图6 802.1X启动连接示意图
3.6 验证配置
部分设备不支持VSI相关显示信息。
# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。
[Device] display dot1x interface gigabitethernet 1/0/1
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
User aging period for Auth-Fail VLAN : 1000 s
User aging period for Auth-Fail VSI : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 0
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : Port-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Add Guest VLAN delay : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
User IP freezing : Disabled
Reauth period : 0 s
Send Packets Without Tag : Disabled
Max Attempts Fail Number : 0
Guest VSI : Not configured
Auth-Fail VSI : Not configured
Critical VSI : Not configured
Add Guest VSI delay : Disabled
User aging : Enabled
Server-recovery online-user-sync : Disabled
Auth-Fail EAPOL : Disabled
Critical EAPOL : Disabled
Discard duplicate EAPOL-Start : No
EAPOL packets: Tx 0, Rx 0
Sent EAP Request/Identity packets : 0
EAP Request/Challenge packets: 0
EAP Success packets: 0
EAP Failure packets: 0
Received EAPOL Start packets : 0
EAPOL LogOff packets: 0
EAP Response/Identity packets : 0
EAP Response/Challenge packets: 0
Error packets: 0
Online 802.1X users: 0
# 当iNode客户端输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。
- 2022-10-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论