• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

802.1X认证

2022-10-15提问
  • 2关注
  • 0收藏,1178浏览
粉丝:0人 关注:0人

问题描述:

802.1X认证,是需要配置在核心交换机上,还是配置在所有交换机


S5560S-28F-EI如果是这台交换机需要配置,应该如何配置呢

组网及组网描述:


3 个回答
粉丝:16人 关注:1人

这个一般在接入交换机侧配置

https://www.h3c.com/cn/d_202207/1643567_30005_0.htm#_Toc106913292

暂无评论

粉丝:237人 关注:8人

所有需要认证的接入交换机

暂无评论

您好,请知:

802.1X是在有需要认证的接入交换机上面配置的。

以下是配置举例,请参考:

3  802.1X用户本地认证典型配置举例

3.1  组网需求

图1所示,用户通过Device的端口GigabitEthernet1/0/1接入网络。要求:Device对从该端口接入的用户采用基于端口的接入控制方式进行802.1X本地认证以控制其访问Internet

图1 802.1X本地认证配置组网图

 

3.2  配置思路

为了使设备能够识别合法的用户,在设备上添加合法的802.1X认证用户名和密码。

3.3  适用产品及版本

表1 适用产品及版本

产品

软件版本

S6812系列

S6813系列

Release 66xx系列

S6550XE-HI系列

Release 6008及以上版本

S6525XE-HI系列

Release 6008及以上版本

S5850系列

Release 8005及以上版本

S5570S-EI系列

Release 1106及以上版本

S5560X-EI系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

S5560X-HI系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

S5500V2-EI系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

MS4520V2-30F

Release 63xx系列、Release 65xx系列、Release 66xx系列

MS4520V2-30C

MS4520V2-54C

Release 65xx系列、Release 66xx系列

MS4520V2-28S

MS4520V2-24TP

Release 63xx系列

S6520X-HI系列

S6520X-EI系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

S6520X-SI系列

S6520-SI系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

S5000-EI系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

MS4600系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

ES5500系列

Release 63xx系列、Release 65xx系列、Release 66xx系列

S5560S-EI系列

S5560S-SI系列

Release 63xx系列

S5500V3-24P-SI

S5500V3-48P-SI

Release 63xx系列

S5500V3-SI系列(除S5500V3-24P-SI、S5500V3-48P-SI)

Release 1106及以上版本

S5170-EI系列

Release 1106及以上版本

S5130S-HI系列

S5130S-EI系列

S5130S-SI系列

S5130S-LI系列

Release 63xx系列

S5120V2-SI系列

S5120V2-LI系列

Release 63xx系列

S5120V3-EI系列

Release 1106及以上版本

S5120V3-36F-SI

S5120V3-28P-HPWR-SI

S5120V3-54P-PWR-SI

Release 1106及以上版本

S5120V3-SI系列(除S5120V3-36F-SI、S5120V3-28P-HPWR-SI、S5120V3-54P-PWR-SI)

Release 63xx系列

S5120V3-LI系列

Release 63xx系列

S3600V3-EI系列

Release 1106及以上版本

S3600V3-SI系列

Release 1106及以上版本

S3100V3-EI系列

S3100V3-SI系列

Release 63xx系列

S5110V2系列

Release 63xx系列

S5110V2-SI系列

Release 63xx系列

S5000V3-EI系列

S5000V5-EI系列

Release 63xx系列

S5000E-X系列

S5000X-EI系列

Release 63xx系列

E128C

E152C

E500C系列

E500D系列

Release 63xx系列

MS4320V2系列

MS4320V3系列

MS4300V2系列

MS4320系列

MS4200系列

Release 63xx系列

WS5850-WiNet系列

Release 63xx系列

WS5820-WiNet系列

WS5810-WiNet系列

Release 63xx系列

WAS6000系列

Release 63xx系列

IE4300-12P-AC & IE4300-12P-PWR

IE4300-M系列

IE4320系列

Release 63xx系列

 

3.4  配置注意事项

使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。

只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

3.5  配置步骤

3.5.1  配置Device

(1)     配置本地用户

# 添加网络接入类本地用户,用户名为“dot1x”,并进入该用户视图。

<Device> system-view

[Device] local-user dot1x class network

New local user added.

# 配置用户“dot1x”的密码为明文123456TESTplat&!。

[Device-luser-network-dot1x] password simple 123456TESTplat&!

# 配置本地用户的服务类型为lan-access。

[Device-luser-network-dot1x] service-type lan-access

[Device-luser-network-dot1x] quit

(2)     配置虚接口地址,作为Host的网关

[Device] interface vlan-interface 1

[Device-Vlan-interface1] ip address 192.168.56.101 255.255.255.0

[Device-Vlan-interface1] quit

(3)     配置802.1X认证

# 开启端口GigabitEthernet1/0/1的802.1X认证。

[Device] interface gigabitethernet1/0/1

[Device-GigabitEthernet1/0/1] dot1x

# 配置基于端口的接入控制方式

[Device-GigabitEthernet1/0/1] dot1x port-method portbased

[Device-GigabitEthernet1/0/1] quit

# 开启全局802.1X认证。

[Device] dot1x

3.5.2  配置802.1X客户端

说明

·     以下使用iNode PC 7.3(E0518)版本为例介绍802.1X客户端的配置。

·     若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。

·     保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。

 

(1)     启动客户端

图2 iNode客户端界面示意图

 

(2)     新建802.1X连接

点击<新建>按钮,进入新建连接向导对话框。

图3 新建802.1X连接示意图

 

(3)     输入用户名和密码

图4 802.1X用户名、密码配置示意图

(4)     设置连接属性

图5 802.1X连接属性配置示意图

 

说明

由于本地认证不能对客户端上传的版本号进行识别,请不要勾选“上传客户端版本号”选项。

 

(5)     发起802.1X连接

完成新建连接后,点击iNode客户端的<连接>按钮,发起802.1X连接。

图6 802.1X启动连接示意图

 

3.6  验证配置

说明

部分设备不支持VSI相关显示信息。

 

# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。

[Device] display dot1x interface gigabitethernet 1/0/1

 Global 802.1X parameters:

   802.1X authentication                : Enabled

   CHAP authentication                  : Enabled

   Max-tx period                        : 30 s

   Handshake period                     : 15 s

   Offline detect period                : 300 s

   Quiet timer                          : Disabled

       Quiet period                     : 60 s

   Supp timeout                         : 30 s

   Server timeout                       : 100 s

   Reauth period                        : 3600 s

   Max auth requests                    : 2

   User aging period for Auth-Fail VLAN : 1000 s

   User aging period for Auth-Fail VSI  : 1000 s

   User aging period for critical VLAN  : 1000 s

   User aging period for critical VSI   : 1000 s

   User aging period for guest VLAN     : 1000 s

   User aging period for guest VSI      : 1000 s

   EAD assistant function               : Disabled

       EAD timeout                      : 30 min

   Domain delimiter                     : @

 Online 802.1X wired users              : 0

 GigabitEthernet1/0/1  is link-up

   802.1X authentication            : Enabled

   Handshake                        : Enabled

   Handshake reply                  : Disabled

   Handshake security               : Disabled

   Unicast trigger                  : Disabled

   Periodic reauth                  : Disabled

   Port role                        : Authenticator

   Authorization mode               : Auto

   Port access control              : Port-based

   Multicast trigger                : Enabled

   Mandatory auth domain            : Not configured

   Guest VLAN                       : Not configured

   Auth-Fail VLAN                   : Not configured

   Critical VLAN                    : Not configured

   Critical voice VLAN              : Disabled

   Add Guest VLAN delay             : Disabled

   Re-auth server-unreachable       : Logoff

   Max online users                 : 4294967295

   User IP freezing                 : Disabled

   Reauth period                    : 0 s

   Send Packets Without Tag         : Disabled

   Max Attempts Fail Number         : 0

   Guest VSI                        : Not configured

   Auth-Fail VSI                    : Not configured

   Critical VSI                     : Not configured

   Add Guest VSI delay              : Disabled

   User aging                       : Enabled

   Server-recovery online-user-sync : Disabled

   Auth-Fail EAPOL                  : Disabled

   Critical EAPOL                   : Disabled

   Discard duplicate EAPOL-Start    : No

 

   EAPOL packets: Tx 0, Rx 0

   Sent EAP Request/Identity packets : 0

        EAP Request/Challenge packets: 0

        EAP Success packets: 0

        EAP Failure packets: 0

   Received EAPOL Start packets : 0

            EAPOL LogOff packets: 0

            EAP Response/Identity packets : 0

            EAP Response/Challenge packets: 0

            Error packets: 0

   Online 802.1X users: 0

# 当iNode客户端输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明