登录EIA系统,在【资源管理】-【设备管理】添加迈普交换机,配置匹配的SNMP参数用于设备纳管;进入【认证管理】-【认证策略】,分别创建802.1X认证策略(选择EAP-MD5/PEAP协议)和MAC地址认证策略,绑定对应用户组并配置授权VLAN、ACL等权限;开启RADIUS服务,设置共享密钥、认证端口1812、计费端口1813,确保与交换机参数一致。
第二段:迈普交换机802.1X认证配置
全局开启802.1X:dot1x enable;进入目标接入接口(如GigabitEthernet0/0/1),执行dot1x enable开启接口认证;配置RADIUS方案:radius scheme EIA,primary authentication X.X.X.X(EIA服务器地址),key authentication simple 共享密钥,accounting optional;关联默认域:domain default enable EIA;接口设置认证模式:dot1x authentication-mode auto。
第三段:迈普交换机MAC地址认证配置
全局开启MAC认证:mac-authen enable;进入目标接口(如GigabitEthernet0/0/2),执行mac-authen enable;关联RADIUS方案:mac-authen radius-scheme EIA;配置MAC地址格式(适配EIA规则):mac-authen format fixed lower-case none;可选配置静默时间:mac-authen quiet-period 60,避免频繁认证失败。
第四段:验证与故障排查
EIA侧查看【认证日志】确认用户认证状态;交换机侧执行display dot1x session查看802.1X会话,display mac-authen session查看MAC认证会话;若认证失败,先检查RADIUS共享密钥、设备网络连通性,再用debug dot1x或debug mac-authen抓包分析协议交互,所有配置变更前需备份交换机配置。
EIA 侧核心配置
添加接入设备:在 EIA 的〖资源管理〗→〖设备管理〗中添加迈普交换机,配置匹配的 SNMP 参数,用于设备管理。
配置 RADIUS 服务:为交换机创建 RADIUS 服务,设置共享密钥、认证端口(默认 UDP 1812)和计费端口(默认 UDP 1813),确保与交换机配置保持一致。
创建认证策略:在〖认证管理〗→〖认证策略〗中,分别创建 802.1X 认证策略和 MAC 地址认证策略,并配置授权 VLAN 和 ACL 等权限。
迈普交换机侧核心配置 (CLI)
1. 全局与接口级基础配置
这是全局启用相关认证协议,并为需要认证的接口绑定认证方法的步骤。
dot1x enable
!
# (新增) 全局开启MAC地址认证功能
mac-authen enable
!
# 进入特定接口视图,例如GigabitEthernet0/0/1
interface GigabitEthernet0/0/1
# (新增) 在接口下开启802.1X认证
dot1x enable
# (新增) 在接口下开启MAC地址认证
mac-authen enable
!
2. 特定认证方式的补充配置
除了开启功能,还需要根据认证方式,进行一些更精准的配置。示例如下:
802.1X认证补充配置
# (新增) 设置端口的802.1X接入控制模式为自动识别 dot1x authentication-mode auto !interface GigabitEthernet0/0/1MAC地址认证补充配置
# (新增) 指定MAC地址认证使用的RADIUS方案interface GigabitEthernet0/0/1
mac-authen radius-scheme EIA
!
# (新增) 设置全局的MAC地址认证格式为小写、不带分隔符
mac-authen format fixed lower-case none
# (可选) 设置MAC地址认证失败后的静默时间为60秒
mac-authen quiet-period 60
3. RADIUS方案配置
这是关键的一步,用于创建并配置 RADIUS 服务器方案,并指定 EIA 的位置和密钥。
radius scheme EIA
# (新增) 设置RADIUS认证服务器,将 [EIA_SERVER_IP] 替换为实际IP,将 [SHARED_KEY] 替换为EIA侧的共享密钥
primary authentication [EIA_SERVER_IP] key authentication simple [SHARED_KEY]
# (新增) 设置RADIUS计费服务器(可选,但推荐用于审计)
primary accounting [EIA_SERVER_IP] key accounting simple [SHARED_KEY]
# (新增) 指定发送给RADIUS服务器的用户名不携带域名后缀
user-name-format without-domain
# (新增) 配置设备发送RADIUS报文的源IP地址,确保服务器能收到并回复
nas-ip [DEVICE_SOURCE_IP]
!
# (新增) 进入全局认证、授权、计费配置视图
aaa
# (新增) 创建名为EIA的认证域并进入视图
domain EIA
# (新增) 配置802.1X用户的认证、授权、计费都使用RADIUS方案EIA
authentication lan-access radius-scheme EIA
authorization lan-access radius-scheme EIA
accounting lan-access radius-scheme EIA
# (可选) 将EIA设置为默认认证域,使得所有用户都按此域进行认证
domain default enable EIA
!
配置完成后,建议进行验证,确保认证功能正常。
EIA 侧验证:登录 EIA 管理界面,在〖认证日志〗中查看用户的认证成功或失败记录。
交换机侧验证:
查看 802.1X 会话:
display dot1x session查看 MAC 认证会话:
display mac-authen session
如果认证失败,可以按以下顺序排查:
检查连通性和密钥:确保交换机与 EIA 服务器之间网络通畅。在交换机上尝试 ping EIA 服务器 IP,并 telnet 其 RADIUS 端口(如 1812),检查共享密钥是否一致。此外,还需确认全局 802.1X 和 MAC 认证功能已开启。
检查 MAC 地址格式:确认交换机上配置的 MAC 地址格式与 EIA 服务器侧期望的一致。
检查端口状态:确认需要认证的交换机端口已正确开启相应的认证功能。
检查用户和策略:确保 EIA 侧已创建了正确的接入策略和用户账户。
动态抓包分析:如果上述检查无误,可以在交换机上开启 debug 功能(如
debug dot1x或debug mac-authen),抓取认证过程中的协议报文,进行更深入的分析。
暂无评论
一、组网与版本
EIA:iMC EIA 7.3(E0630/E7401)
迈普:MyPower S4320/S5320(MP2800/MP2900 类似)
认证:端口同时开启 802.1X(iNode)+ MAC 地址认证(无感知)
协议:RADIUS(标准)+ EAP relay,EIA 做 RADIUS 服务器
plaintext
终端 → 迈普交换机(802.1X+MAC)→ EIA(认证/授权/计费)
二、EIA 侧配置(关键)
1. 增加接入设备(迈普)
路径:自动化 → 网络准入 → 准入管理 → 接入设备 → 增加
设备类型:选 H3C(迈普兼容标准 RADIUS,选 H3C 模板即可)
IP:迈普管理 IP(如 10.1.1.2)
共享密钥:MyRadius123(与迈普一致)
认证端口:1812,计费端口:1813
2. 配置认证策略
新建服务:允许 VLAN、ACL、带宽等
新建用户:
802.1X 用户:账号 / 密码(iNode 登录)
MAC 用户:用户名 = 密码 = MAC 地址(无分隔符,小写),如 001122334455
认证方式:EAP-MD5/CHAP(迈普支持)
3. 开启 MAC 无感知(可选)
路径:EIA → 准入 → 无感知认证 → 开启
首次 802.1X 认证成功后,自动绑定 MAC 与账号,下次直接 MAC 认证
三、迈普交换机配置(完整)
1. 全局基础配置
bash
运行
# 管理 IP
vlan 10
ip address 10.1.1.2 255.255.255.0
# 全局 AAA
aaa new-model
aaa authentication login default local none
aaa authentication connection default radius none
# RADIUS 指向 EIA
radius-server host 10.1.1.10 auth-port 1812 acct-port 1813
radius-server key MyRadius123
radius-server retransmit 1
radius-server timeout 2
radius-server dead-time 5
# 全局 802.1X
dot1x enable
dot1x eap-relay enable
dot1x client-probe enable
dot1x timeout re-authperiod 43200
# 全局 MAC 认证
mac-authentication enable
mac-authentication user-name-format mac-address without-hyphen lowercase
# 认证域(绑定 RADIUS)
domain eia
authentication lan-access radius
authorization lan-access radius
accounting lan-access radius
quit
2. 接入端口配置(同时 802.1X+MAC)
bash
运行
interface gigabitEthernet 0/1
port link-type trunk
port trunk allow-pass vlan 20
# 802.1X
dot1x
dot1x port-method macbased
dot1x mandatory-domain eia
# MAC 认证
mac-authentication
mac-authentication domain eia
# 混合认证(先 MAC,失败再 802.1X)
dot1x mab
quit
dot1x mab:MAC 旁路,终端无 802.1X 客户端时自动触发 MAC 认证
四、认证流程
终端接入:
有 iNode:发 EAP → 迈普 → EIA 认证 → 成功放行
无 iNode(打印机 / 摄像头):触发 MAC 认证 → EIA 校验 MAC → 成功放行
无感知:首次 802.1X 成功后,EIA 绑定 MAC,下次直接 MAC 认证
五、常见问题与排查
认证超时:
检查迈普与 EIA 连通性(ping)
核对 共享密钥、端口、IP
迈普:debug radius;EIA:查看认证日志
MAC 认证失败:
EIA 用户名 / 密码必须是 无分隔符小写 MAC(如 001122334455)
迈普:mac-authentication user-name-format 配置正确
802.1X 无响应:
迈普全局 / 端口 dot1x enable
EIA 开启 EAP-MD5
六、配置模板(直接复制)
迈普
bash
运行
vlan 10
ip address 10.1.1.2 255.255.255.0
aaa new-model
radius-server host 10.1.1.10 auth-port 1812 acct-port 1813
radius-server key MyRadius123
dot1x enable
dot1x eap-relay enable
mac-authentication enable
mac-authentication user-name-format mac-address without-hyphen lowercase
domain eia
authentication lan-access radius
authorization lan-access radius
accounting lan-access radius
quit
interface gigabitEthernet 0/1
port link-type trunk
port trunk allow-pass vlan 20
dot1x
dot1x port-method macbased
dot1x mandatory-domain eia
mac-authentication
mac-authentication domain eia
dot1x mab
quit
EIA 关键参数
设备 IP:10.1.1.2
密钥:MyRadius123
认证端口:1812
MAC 格式:无分隔符小写
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论