系统升级包里的freeradius特性包是把交换生作为Radius服务器嘛? 安装此特性包后,FreeRadius Server的具体配置命令是什么?
(0)
是的 什么型号交换机啊 铁子
(0)
https://www.h3c.com/cn/d_202201/1523368_30005_0.htm#
1.10.2 AC作为RADIUS服务器进行本地802.1X认证(EAP-PEAP加密)典型配置举例 1. 组网需求 · AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。 · 配置AC对无线用户使用EAP-PEAP方式进行802.1X用户身份认证。 · AC的存储路径下准备好CA证书、本地证书。 2. 组网图 图1-14 AC作为RADIUS服务器进行本地802.1X认证(EAP-PEAP加密)典型配置组网图 3. 配置步骤 说明 · 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。 · 完成客户端802.1X的配置,安装证书。 (1) 配置802.1X认证方式及Radius方案 # 配置802.1X认证方式为EAP。 <AC> system-view [AC] dot1x authentication-method eap # 配置RADIUS方案,名称为freeradius,主认证服务器的IP地址为10.18.1.1,端口号为1812,认证密钥为明文12345678,用户名格式为without-domain。以设备作为RADIUS服务器时不支持计费。 [AC] radius scheme freeradius [AC-radius-freeradius] primary authentication 10.18.1.1 1812 [AC-radius-freeradius] key authentication simple 12345678 [AC-radius-freeradius] user-name-format without-domain [AC-radius-freeradius] quit (2) 配置ISP域的AAA方法 # 配置名称为freeradius的ISP域,并将认证和授权的方式配置为使用RADIUS方案freeradius。 [AC] domain freeradius [AC-isp-freeradius] authentication lan-access radius-scheme freeradius [AC-isp-freeradius] authorization lan-access radius-scheme freeradius [AC-isp-freeradius] accounting lan-access none [AC-isp-freeradius] quit (3) 配置无线服务模板 # 配置无线服务模板名称为wlas_freeradius_peap,用户认证方式为802.1X,ISP域为freeradius,SSID为wlas_freeradius_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。 [AC] wlan service-template wlas_freeradius_peap [AC-wlan-st-wlas_freeradius_peap] client-security authentication-mode dot1x [AC-wlan-st-wlas_freeradius_peap] dot1x domain freeradius [AC-wlan-st-wlas_freeradius_peap] ssid wlas_freeradius_peap [AC-wlan-st-wlas_freeradius_peap] akm mode dot1x [AC-wlan-st-wlas_freeradius_peap] cipher-suite ccmp [AC-wlan-st-wlas_freeradius_peap] security-ie rsn # 使能无线服务模板。 [AC-wlan-st-wlas_freeradius_peap] service-template enable [AC-wlan-st-wlas_freeradius_peap] quit (4) 配置手工AP,并将无线服务模板绑定到radio上 # 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号219801A28N819CE0002T。 [AC] wlan ap ap1 model WA6320 [AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T # 配置Radio 1信道为149,并使能射频。 [AC-wlan-ap-ap1] radio 1 [AC-wlan-ap-ap1-radio-1] channel 149 [AC-wlan-ap-ap1-radio-1] radio enable # 将无线服务模板wlas_freeradius_peap绑定到radio 1。 [AC-wlan-ap-ap1-radio-1] service-template wlas_freeradius_peap [AC-wlan-ap-ap1-radio-1] quit [AC-wlan-ap-ap1] quit (5) 配置本地RADIUS Server # 安装freeradius.bin文件。如果设备已经安装了freeradius.bin,则不需要再安装,可通过display install active命令查看。 <AC> install activate feature flash:/freeradius.bin Verifying the file flash:/freeradius.bin on the device...Done. Identifying the upgrade methods...Done. Upgrade summary according to following table: flash:/freeradius.bin Running Version New Version None Release 5433 Upgrade Way: Service Upgrade Upgrading software images to compatible versions. Continue? [Y/N]: y This operation might take several minutes, please wait....Done. <AC> install commit This operation will take several minutes, please wait......................Done. (6) 配置802.1X认证本地用户 # 配置802.1X认证本地用户,用户名为dot1x,密码为明文输入的123456。 [AC] local-user dot1x class network [AC-luser-network-dot1x] password simple 123456 # 配置802.1X认证本地用户的服务类型为lan-access。 [AC-luser-network-dot1x] service-type lan-access # 配置802.1X认证本地用户的用户角色为network-operator。 [AC-luser-network-dot1x] authorization-attribute user-role network-operator [AC-luser-network-dot1x] quit (7) 配置RADIUS服务器支持EAP认证,EAP认证方案视图下的配置,详细介绍请参见“用户接入与认证配置指导”中的“AAA” # 配置EAP认证方法为peap-mschapv。 [AC] eap-profile dot1x [AC-eap-profile-dot1x] method peap-mschapv2 # 配置EAP认证使用的CA证书。 [AC-eap-profile-dot1x] ca-file ca.pem # 配置EAP认证使用的本地证书。 [AC-eap-profile-dot1x] certificate-file server.pem # 配置EAP认证使用的本地证书的私钥。 [AC-eap-profile-dot1x] private-key-file server.pem # 配置本地证书的私钥密码。 [AC-eap-profile-dot1x] private-key-password simple whatever [AC-eap-profile-dot1x] quit # 指定设备作为RADIUS服务器应用的EAP认证方案。 [AC] radius-server eap-profile dot1x (8) 指定RADIUS客户端 # 配置RADIUS客户端(接入设备)的IP地址为10.18.1.1,共享密钥为明文12345678。 [AC] radius-server client ip 10.18.1.1 key simple 12345678 (9) 激活RADIUS服务配置(需要注意的是,当802.1X认证本地用户配置发生改变后,需要重新激活RADIUS服务配置) [AC] radius-server activate (10) 配置无线网卡 请参照“1.10.1 802.1X认证(EAP-PEAP加密)典型配置举例”进行无线网卡配置。
系统升级包里的freeradius特性包是把交换生作为Radius服务器嘛?
安装此特性包后,FreeRadius Server的具体配置命令是什么?
参考:
1.20.6 设备作为RADIUS服务器对802.1X用户进行认证和授权配置
Switch B作为RADIUS服务器对通过Switch A接入的802.1X用户进行认证和授权。
· 在Switch A接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证;
· Switch A与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权的端口号为1812,向RADIUS服务器发送的用户名不携带域名;
· 用户认证时使用的用户名为dot1x。
· 用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。
图1-28 设备作为RADIUS服务器对802.1X用户进行认证和授权配置组网图
(1) 配置NAS
a. 配置RADIUS方案
# 创建名称为rad的RADIUS方案并进入该方案视图。
<SwitchA> system-view
[SwitchA] radius scheme rad
# 配置主认证服务器IP地址为10.1.1.1,认证报文的共享密钥为明文expert。
[SwitchA-radius-rad] primary authentication 10.1.1.1 key simple expert
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[SwitchA-radius-rad] user-name-format without-domain
[SwitchA-radius-rad] quit
b. 配置ISP域
# 创建并进入名称为bbb的ISP域。
[SwitchA] domain bbb
# 为lan-access用户配置AAA认证方法为RADIUS认证/授权,且均使用RADIUS方案rad,并配置不计费。
[SwitchA-isp-bbb] authentication lan-access radius-scheme rad
[SwitchA-isp-bbb] authorization lan-access radius-scheme rad
[SwitchA-isp-bbb] accounting lan-access none
[SwitchA-isp-bbb] quit
c. 配置802.1X认证
# 开启端口GigabitEthernet1/0/1的802.1X认证。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] dot1x
# 指定端口上接入的802.1X用户使用认证域bbb。
[SwitchA-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
[SwitchA-GigabitEthernet1/0/1] quit
# 开启全局802.1X认证。
[SwitchA] dot1x
(2) 配置RADIUS服务器
# 创建网络接入本地用户dot1x。
<SwitchB> system-view
[SwitchB] local-user dot1x class network
# 配置用户密码为明文123456。
[SwitchB-luser-network-dot1x] password simple 123456
# 配置授权VLAN为VLAN 4。
[SwitchB-luser-network-dot1x] authorization-attribute vlan 4
[SwitchB-luser-network-dot1x] quit
# 配置RADIUS客户端的IP地址为10.1.1.2,共享密钥为明文expert。
[SwitchB] radius-server client ip 10.1.1.2 key simple expert
# 激活当前配置的RADIUS客户端和RADIUS用户。
[SwitchB] radius-server activate
· 若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。
· 若使用iNode 802.1X客户端,则无需启用任何高级认证选项。
· 保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。
# 以上配置完成后,可以在Switch B上查看到所有处于激活状态的RADIUS客户端信息以及RADIUS用户信息。
[SwitchB] display radius-server active-client
Total 1 RADIUS clients.
Client IP: 10.1.1.2
[SwitchB] display radius-server active-user dot1x
Total 1 RADIUS users matched.
Username: dot1x
Description: Not configured
Authorization attributes:
VLAN ID: 4
ACL number: Not configured
Validity period:
Expiration time: Not configured
802.1X用户使用用户名dot1x和密码123456成功通过认证后,Switch B将向该用户所在端口授权下发VLAN 4。在Switch A上使用命令display dot1x connection可以查看到上线用户的连接情况。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
1.10.2 AC作为RADIUS服务器进行本地802.1X认证(EAP-PEAP加密)典型配置举例 1. 组网需求 · AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。 · 配置AC对无线用户使用EAP-PEAP方式进行802.1X用户身份认证。 · AC的存储路径下准备好CA证书、本地证书。 2. 组网图 图1-14 AC作为RADIUS服务器进行本地802.1X认证(EAP-PEAP加密)典型配置组网图 3. 配置步骤 说明 · 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。 · 完成客户端802.1X的配置,安装证书。 (1) 配置802.1X认证方式及Radius方案 # 配置802.1X认证方式为EAP。 <AC> system-view [AC] dot1x authentication-method eap # 配置RADIUS方案,名称为freeradius,主认证服务器的IP地址为10.18.1.1,端口号为1812,认证密钥为明文12345678,用户名格式为without-domain。以设备作为RADIUS服务器时不支持计费。 [AC] radius scheme freeradius [AC-radius-freeradius] primary authentication 10.18.1.1 1812 [AC-radius-freeradius] key authentication simple 12345678 [AC-radius-freeradius] user-name-format without-domain [AC-radius-freeradius] quit (2) 配置ISP域的AAA方法 # 配置名称为freeradius的ISP域,并将认证和授权的方式配置为使用RADIUS方案freeradius。 [AC] domain freeradius [AC-isp-freeradius] authentication lan-access radius-scheme freeradius [AC-isp-freeradius] authorization lan-access radius-scheme freeradius [AC-isp-freeradius] accounting lan-access none [AC-isp-freeradius] quit (3) 配置无线服务模板 # 配置无线服务模板名称为wlas_freeradius_peap,用户认证方式为802.1X,ISP域为freeradius,SSID为wlas_freeradius_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。 [AC] wlan service-template wlas_freeradius_peap [AC-wlan-st-wlas_freeradius_peap] client-security authentication-mode dot1x [AC-wlan-st-wlas_freeradius_peap] dot1x domain freeradius [AC-wlan-st-wlas_freeradius_peap] ssid wlas_freeradius_peap [AC-wlan-st-wlas_freeradius_peap] akm mode dot1x [AC-wlan-st-wlas_freeradius_peap] cipher-suite ccmp [AC-wlan-st-wlas_freeradius_peap] security-ie rsn # 使能无线服务模板。 [AC-wlan-st-wlas_freeradius_peap] service-template enable [AC-wlan-st-wlas_freeradius_peap] quit (4) 配置手工AP,并将无线服务模板绑定到radio上 # 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号219801A28N819CE0002T。 [AC] wlan ap ap1 model WA6320 [AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T # 配置Radio 1信道为149,并使能射频。 [AC-wlan-ap-ap1] radio 1 [AC-wlan-ap-ap1-radio-1] channel 149 [AC-wlan-ap-ap1-radio-1] radio enable # 将无线服务模板wlas_freeradius_peap绑定到radio 1。 [AC-wlan-ap-ap1-radio-1] service-template wlas_freeradius_peap [AC-wlan-ap-ap1-radio-1] quit [AC-wlan-ap-ap1] quit (5) 配置本地RADIUS Server # 安装freeradius.bin文件。如果设备已经安装了freeradius.bin,则不需要再安装,可通过display install active命令查看。 <AC> install activate feature flash:/freeradius.bin Verifying the file flash:/freeradius.bin on the device...Done. Identifying the upgrade methods...Done. Upgrade summary according to following table: flash:/freeradius.bin Running Version New Version None Release 5433 Upgrade Way: Service Upgrade Upgrading software images to compatible versions. Continue? [Y/N]: y This operation might take several minutes, please wait....Done. <AC> install commit This operation will take several minutes, please wait......................Done. (6) 配置802.1X认证本地用户 # 配置802.1X认证本地用户,用户名为dot1x,密码为明文输入的123456。 [AC] local-user dot1x class network [AC-luser-network-dot1x] password simple 123456 # 配置802.1X认证本地用户的服务类型为lan-access。 [AC-luser-network-dot1x] service-type lan-access # 配置802.1X认证本地用户的用户角色为network-operator。 [AC-luser-network-dot1x] authorization-attribute user-role network-operator [AC-luser-network-dot1x] quit (7) 配置RADIUS服务器支持EAP认证,EAP认证方案视图下的配置,详细介绍请参见“用户接入与认证配置指导”中的“AAA” # 配置EAP认证方法为peap-mschapv。 [AC] eap-profile dot1x [AC-eap-profile-dot1x] method peap-mschapv2 # 配置EAP认证使用的CA证书。 [AC-eap-profile-dot1x] ca-file ca.pem # 配置EAP认证使用的本地证书。 [AC-eap-profile-dot1x] certificate-file server.pem # 配置EAP认证使用的本地证书的私钥。 [AC-eap-profile-dot1x] private-key-file server.pem # 配置本地证书的私钥密码。 [AC-eap-profile-dot1x] private-key-password simple whatever [AC-eap-profile-dot1x] quit # 指定设备作为RADIUS服务器应用的EAP认证方案。 [AC] radius-server eap-profile dot1x (8) 指定RADIUS客户端 # 配置RADIUS客户端(接入设备)的IP地址为10.18.1.1,共享密钥为明文12345678。 [AC] radius-server client ip 10.18.1.1 key simple 12345678 (9) 激活RADIUS服务配置(需要注意的是,当802.1X认证本地用户配置发生改变后,需要重新激活RADIUS服务配置) [AC] radius-server activate (10) 配置无线网卡 请参照“1.10.1 802.1X认证(EAP-PEAP加密)典型配置举例”进行无线网卡配置。