• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5500V3可以做802.1x的本地认证吗

2024-07-05提问
  • 0关注
  • 0收藏,432浏览
粉丝:0人 关注:0人

问题描述:

S5500V3的802.1x做radius服务器认证貌似有问题,请问可以用本地认证替代吗

3 个回答
粉丝:160人 关注:1人

可以的,但是要建很多本地账号,而且每台交换机都要建,会很麻烦



========

1.12  802.1X典型配置举例

1. 组网需求

l              要求在Switch A端口GigabitEthernet1/0/1上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制。

l              所有接入用户都属于一个缺省的域:***.***,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线。

l              由两台RADIUS服务器组成的服务器组通过Switch B与Switch A相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。

l              设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。

l              设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。

l              设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。

l              本地802.1X接入用户的用户名为localuser,密码为localpass,使用明文输入;闲置切断功能处于打开状态,正常连接时用户空闲时间超过20分钟,则切断其连接。

2. 组网图

图1-9 802.1X认证典型组网图

 

3. 配置步骤

l          下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“AAA配置”。此外,802.1X客户端和RADIUS服务器上的配置略。

l          进行下面的配置之前,需要确保Host、Switch A和RADIUS服务器之间路由可达。

 

# 配置接口的IP地址(略)。

# 添加本地接入用户,启动闲置切断功能并设置相关参数。

<SwitchA> system-view

[SwitchA] local-user localuser

[SwitchA-luser-localuser] service-type lan-access

[SwitchA-luser-localuser] password simple localpass

[SwitchA-luser-localuser] authorization-attribute idle-cut 20

[SwitchA-luser-localuser] quit

# 创建RADIUS方案radius1并进入其视图。

[SwitchA] radius scheme radius1

# 设置主认证/计费RADIUS服务器的IP地址。

[SwitchA-radius-radius1] primary authentication 10.1.1.1

[SwitchA-radius-radius1] primary accounting 10.1.1.1

# 设置备份认证/计费RADIUS服务器的IP地址。

[SwitchA-radius-radius1] secondary authentication 10.1.1.2

[SwitchA-radius-radius1] secondary accounting 10.1.1.2

# 设置系统与认证RADIUS服务器交互报文时的共享密钥。

[SwitchA-radius-radius1] key authentication name

# 设置系统与计费RADIUS服务器交互报文时的共享密钥。

[SwitchA-radius-radius1] key accounting money

# 设置系统向RADIUS服务器重发报文的时间间隔与次数。

[SwitchA-radius-radius1] timer response-timeout 5

[SwitchA-radius-radius1] retry 5

设置系统向RADIUS服务器发送实时计费报文的时间间隔。

[SwitchA-radius-radius1] timer realtime-accounting 15

# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

[SwitchA-radius-radius1] user-name-format without-domain

[SwitchA-radius-radius1] quit

# 创建域***.***并进入其视图。

[SwitchA] domain ***.***

# 指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。

[SwitchA-isp-***.***] authentication default radius-scheme radius1 local

[SwitchA-isp-***.***] authorization default radius-scheme radius1 local

[SwitchA-isp-***.***] accounting default radius-scheme radius1 local

# 设置该域最多可容纳30个用户。

[SwitchA-isp-***.***] access-limit enable 30

# 启动闲置切断功能并设置相关参数。

[SwitchA-isp-***.***] idle-cut enable 20

[SwitchA-isp-***.***] quit

# 配置域***.***为缺省用户域。

[SwitchA] domain default enable ***.***

# 开启全局802.1X特性。

[SwitchA] dot1x

# 开启指定端口GigabitEthernet1/0/1的802.1X特性。

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] dot1x

[SwitchA-GigabitEthernet1/0/1] quit

# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。

[SwitchA] dot1x port-method macbased interface gigabitethernet 1/0/1

使用命令display dot1x interface gigabitethernet 1/0/1可以查看802.1X的配置情况。当802.1X用户使用username@***.***形式的用户名成功通过RADIUS认证上线后,可使用命令display connetion查看到上线用户的连接情况。若RADIUS认证失败,则进行本地认证。

补充了

叫我靓仔 发表时间:2024-07-05 更多>>

这个没关系的,只有一台交换机,请问有案例可以参考吗,官网上好像只有AC的本地认证

zhiliao_5f3qi8 发表时间:2024-07-05

补充了

叫我靓仔 发表时间:2024-07-05
粉丝:13人 关注:8人

您好,请知:

S5500V3可以做802.1x的本地认证

以下是配置案例,请参考:

配置需求或说明

1.1  适用产品系列

本案例适用于S7000/S7500E/10500系列交换机,V5V7交换机具体分类及型号可以参考“1.1 Comware V5V7平台交换机分类说明”。

1.2  配置需求及实现的效果

电脑通过交换机的G1/0/2口连入网络,设备对该端口接入的用户进行802.1X本地认证以控制其访问Internet

组网图

配置步骤

配置步骤

3.1  交换机VLAN及虚接口基本配置

#交换机缺省二层口属于vlan1,给vlan1配置ip地址为192.168.1.1

<H3C>system-view   //进入系统视图

[H3C]interface Vlan-interface 1   //进入vlan1接口

[H3C-Vlan-interface1] ip address 192.168.1.1 255.255.255.0   //配置IP地址为192.168.1.1,掩码为255.255.255.0

[H3C-Vlan-interface1]quit   //退出当前视图

3.2  配置认证域(缺省不配置为system域)

#创建名为localISP域,本地认证,不授权不计费。

[H3C]domain local   //创建名为localISP

[H3C-isp-local] authentication lan-access local   //dot1x用户配置本地认证方法

[H3C-isp-local] authorization lan-access none   //配置AAA授权方法为不授权

[H3C-isp-local] accounting lan-access none   //配置AAA授权方法为不计费

[H3C-isp-local]quit   //退出当前视图

3.3  配置802.1X认证

#全局开启802.1X认证

[H3C]dot1x   //全局开启802.1X认证

 802.1X is already enabled globally.

#G1/0/2接口下开启802.1X认证

[H3C] interface GigabitEthernet1/0/2   //进入G1/0/2接口

[H3C-GigabitEthernet1/0/2]dot1x   //接口下开启802.1x功能

#配置G1/0/2接口的强制认证ISP域为“local”。(此处不配置为默认system域)

[H3C-GigabitEthernet1/0/2]dot1x mandatory-domain local   //配置G1/0/2接口的强制认证ISP域为“local

3.4  配置本地账户和密码

#创建本地用户ceshi,密码为111,服务类型为lan-access

[H3C]local-user ceshi class network   //创建dot1x的本地用户,用户名为“ceshi”

[H3C-luser-network-ceshi]password simple 111   //密码为111

[H3C-luser-network-ceshi]service-type lan-access   //服务器类型为lan-access

[H3C-luser-network-ceshi]quit   //退出当前视图

[H3C-luser-network-ceshi]save for   //保存配置

3.5  配置客户端

#在客户端电脑上配置有线网卡的IPV4地址192.168.1.10/24,网关为192.168.1.1,安全INODE客户端软件,定制802.1X连接,输入用户名和密码是ceshi/111


3.6  实验结果验证

将装有INODE客户端软件的电脑接入交换机的G1/0/2,选择802.1X连接,输入正确的用户名和密码后点击连接,如下图802.1X认证通过


此时未进行802.1X认证的电脑在通过802.1x认证后可以ping通自己的网关。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明