• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

系统升级包里的freeradius特性包是把交换生作为Radius服务器嘛? 安装此特性包后,FreeRadius Server的具体配置命令是什么?

2022-11-26提问
  • 0关注
  • 0收藏,804浏览
粉丝:0人 关注:0人

问题描述:

系统升级包里的freeradius特性包是把交换生作为Radius服务器嘛? 安装此特性包后,FreeRadius Server的具体配置命令是什么?

组网及组网描述:

2 个回答
粉丝:1人 关注:1人

是的  什么型号交换机啊 铁子

s5560x

display version 发表时间:2022-11-26

请问,把交换机配置为FreeRadius的命令是什么? 谢谢

display version 发表时间:2022-11-26

https://www.h3c.com/cn/d_202201/1523368_30005_0.htm#

才俊刘马 发表时间:2022-11-26

1.10.2 AC作为RADIUS服务器进行本地802.1X认证(EAP-PEAP加密)典型配置举例 1. 组网需求 · AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。 · 配置AC对无线用户使用EAP-PEAP方式进行802.1X用户身份认证。 · AC的存储路径下准备好CA证书、本地证书。 2. 组网图 图1-14 AC作为RADIUS服务器进行本地802.1X认证(EAP-PEAP加密)典型配置组网图 3. 配置步骤 说明 · 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。 · 完成客户端802.1X的配置,安装证书。 (1) 配置802.1X认证方式及Radius方案 # 配置802.1X认证方式为EAP。 <AC> system-view [AC] dot1x authentication-method eap # 配置RADIUS方案,名称为freeradius,主认证服务器的IP地址为10.18.1.1,端口号为1812,认证密钥为明文12345678,用户名格式为without-domain。以设备作为RADIUS服务器时不支持计费。 [AC] radius scheme freeradius [AC-radius-freeradius] primary authentication 10.18.1.1 1812 [AC-radius-freeradius] key authentication simple 12345678 [AC-radius-freeradius] user-name-format without-domain [AC-radius-freeradius] quit (2) 配置ISP域的AAA方法 # 配置名称为freeradius的ISP域,并将认证和授权的方式配置为使用RADIUS方案freeradius。 [AC] domain freeradius [AC-isp-freeradius] authentication lan-access radius-scheme freeradius [AC-isp-freeradius] authorization lan-access radius-scheme freeradius [AC-isp-freeradius] accounting lan-access none [AC-isp-freeradius] quit (3) 配置无线服务模板 # 配置无线服务模板名称为wlas_freeradius_peap,用户认证方式为802.1X,ISP域为freeradius,SSID为wlas_freeradius_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。 [AC] wlan service-template wlas_freeradius_peap [AC-wlan-st-wlas_freeradius_peap] client-security authentication-mode dot1x [AC-wlan-st-wlas_freeradius_peap] dot1x domain freeradius [AC-wlan-st-wlas_freeradius_peap] ssid wlas_freeradius_peap [AC-wlan-st-wlas_freeradius_peap] akm mode dot1x [AC-wlan-st-wlas_freeradius_peap] cipher-suite ccmp [AC-wlan-st-wlas_freeradius_peap] security-ie rsn # 使能无线服务模板。 [AC-wlan-st-wlas_freeradius_peap] service-template enable [AC-wlan-st-wlas_freeradius_peap] quit (4) 配置手工AP,并将无线服务模板绑定到radio上 # 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号219801A28N819CE0002T。 [AC] wlan ap ap1 model WA6320 [AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T # 配置Radio 1信道为149,并使能射频。 [AC-wlan-ap-ap1] radio 1 [AC-wlan-ap-ap1-radio-1] channel 149 [AC-wlan-ap-ap1-radio-1] radio enable # 将无线服务模板wlas_freeradius_peap绑定到radio 1。 [AC-wlan-ap-ap1-radio-1] service-template wlas_freeradius_peap [AC-wlan-ap-ap1-radio-1] quit [AC-wlan-ap-ap1] quit (5) 配置本地RADIUS Server # 安装freeradius.bin文件。如果设备已经安装了freeradius.bin,则不需要再安装,可通过display install active命令查看。 <AC> install activate feature flash:/freeradius.bin Verifying the file flash:/freeradius.bin on the device...Done. Identifying the upgrade methods...Done. Upgrade summary according to following table: flash:/freeradius.bin Running Version New Version None Release 5433 Upgrade Way: Service Upgrade Upgrading software images to compatible versions. Continue? [Y/N]: y This operation might take several minutes, please wait....Done. <AC> install commit This operation will take several minutes, please wait......................Done. (6) 配置802.1X认证本地用户 # 配置802.1X认证本地用户,用户名为dot1x,密码为明文输入的123456。 [AC] local-user dot1x class network [AC-luser-network-dot1x] password simple 123456 # 配置802.1X认证本地用户的服务类型为lan-access。 [AC-luser-network-dot1x] service-type lan-access # 配置802.1X认证本地用户的用户角色为network-operator。 [AC-luser-network-dot1x] authorization-attribute user-role network-operator [AC-luser-network-dot1x] quit (7) 配置RADIUS服务器支持EAP认证,EAP认证方案视图下的配置,详细介绍请参见“用户接入与认证配置指导”中的“AAA” # 配置EAP认证方法为peap-mschapv。 [AC] eap-profile dot1x [AC-eap-profile-dot1x] method peap-mschapv2 # 配置EAP认证使用的CA证书。 [AC-eap-profile-dot1x] ca-file ca.pem # 配置EAP认证使用的本地证书。 [AC-eap-profile-dot1x] certificate-file server.pem # 配置EAP认证使用的本地证书的私钥。 [AC-eap-profile-dot1x] private-key-file server.pem # 配置本地证书的私钥密码。 [AC-eap-profile-dot1x] private-key-password simple whatever [AC-eap-profile-dot1x] quit # 指定设备作为RADIUS服务器应用的EAP认证方案。 [AC] radius-server eap-profile dot1x (8) 指定RADIUS客户端 # 配置RADIUS客户端(接入设备)的IP地址为10.18.1.1,共享密钥为明文12345678。 [AC] radius-server client ip 10.18.1.1 key simple 12345678 (9) 激活RADIUS服务配置(需要注意的是,当802.1X认证本地用户配置发生改变后,需要重新激活RADIUS服务配置) [AC] radius-server activate (10) 配置无线网卡 请参照“1.10.1 802.1X认证(EAP-PEAP加密)典型配置举例”进行无线网卡配置。

才俊刘马 发表时间:2022-11-26
粉丝:151人 关注:8人

系统升级包里的freeradius特性包是把交换生作为Radius服务器嘛?

是的

 安装此特性包后,FreeRadius Server的具体配置命令是什么?

参考:

1.20.6 设备作为RADIUS服务器对802.1X用户进行认证和授权配置


1. 组网需求

Switch B作为RADIUS服务器对通过Switch A接入的802.1X用户进行认证和授权。

·     在Switch A接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证;

·     Switch A与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权的端口号为1812,向RADIUS服务器发送的用户名不携带域名;

·     用户认证时使用的用户名为dot1x。

·     用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。

2. 组网图

图1-28 设备作为RADIUS服务器对802.1X用户进行认证和授权配置组网图

3. 配置步骤

(1)     配置NAS

a.     配置RADIUS方案

# 创建名称为rad的RADIUS方案并进入该方案视图。

<SwitchA> system-view

[SwitchA] radius scheme rad

# 配置主认证服务器IP地址为10.1.1.1,认证报文的共享密钥为明文expert。

[SwitchA-radius-rad] primary authentication 10.1.1.1 key simple expert

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[SwitchA-radius-rad] user-name-format without-domain

[SwitchA-radius-rad] quit

b.     配置ISP域

# 创建并进入名称为bbb的ISP域。

[SwitchA] domain bbb

# 为lan-access用户配置AAA认证方法为RADIUS认证/授权,且均使用RADIUS方案rad,并配置不计费。

[SwitchA-isp-bbb] authentication lan-access radius-scheme rad

[SwitchA-isp-bbb] authorization lan-access radius-scheme rad

[SwitchA-isp-bbb] accounting lan-access none

[SwitchA-isp-bbb] quit

c.     配置802.1X认证

# 开启端口GigabitEthernet1/0/1的802.1X认证。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] dot1x

# 指定端口上接入的802.1X用户使用认证域bbb。

[SwitchA-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

[SwitchA-GigabitEthernet1/0/1] quit

# 开启全局802.1X认证。

[SwitchA] dot1x

(2)     配置RADIUS服务器

# 创建网络接入本地用户dot1x。

<SwitchB> system-view

[SwitchB] local-user dot1x class network

# 配置用户密码为明文123456。

[SwitchB-luser-network-dot1x] password simple 123456

# 配置授权VLAN为VLAN 4。

[SwitchB-luser-network-dot1x] authorization-attribute vlan 4

[SwitchB-luser-network-dot1x] quit

# 配置RADIUS客户端的IP地址为10.1.1.2,共享密钥为明文expert。

[SwitchB] radius-server client ip 10.1.1.2 key simple expert

# 激活当前配置的RADIUS客户端和RADIUS用户。

[SwitchB] radius-server activate

4. 验证配置

说明

·     若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。

·     若使用iNode 802.1X客户端,则无需启用任何高级认证选项。

·     保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。

 

# 以上配置完成后,可以在Switch B上查看到所有处于激活状态的RADIUS客户端信息以及RADIUS用户信息。

[SwitchB] display radius-server active-client

Total 1 RADIUS clients.

Client IP: 10.1.1.2

[SwitchB] display radius-server active-user dot1x

Total 1 RADIUS users matched.

Username: dot1x

  Description: Not configured

  Authorization attributes:

    VLAN ID: 4

    ACL number: Not configured

  Validity period:

    Expiration time: Not configured

802.1X用户使用用户名dot1x和密码123456成功通过认证后,Switch B将向该用户所在端口授权下发VLAN 4。在Switch A上使用命令display dot1x connection可以查看到上线用户的连接情况。


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明