组网及说明
本案例适用于S7000/S7500E/10500系列交换机,V5、V7交换机具体分类及型号可以参考“1.1 Comware V5、V7平台交换机分类说明”。
电脑通过交换机的G1/0/2口连入网络,设备对该端口接入的用户进行802.1X本地认证以控制其访问Internet。
配置步骤
3.1 交换机VLAN及虚接口基本配置
#交换机缺省二层口属于vlan1,给vlan1配置ip地址为192.168.1.1。
<H3C>system-view //进入系统视图
[H3C]interface Vlan-interface 1 //进入vlan1接口
[H3C-Vlan-interface1] ip address 192.168.1.1 255.255.255.0 //配置IP地址为192.168.1.1,掩码为255.255.255.0
[H3C-Vlan-interface1]quit //退出当前视图
3.2 配置认证域(缺省不配置为system域)
#创建名为local的ISP域,本地认证,不授权不计费。
[H3C]domain local //创建名为local的ISP域
[H3C-isp-local] authentication lan-access local //为dot1x用户配置本地认证方法
[H3C-isp-local] authorization lan-access none //配置AAA授权方法为不授权
[H3C-isp-local] accounting lan-access none //配置AAA授权方法为不计费
[H3C-isp-local]quit //退出当前视图
3.3 配置802.1X认证
#全局开启802.1X认证
[H3C]dot1x //全局开启802.1X认证
802.1X is already enabled globally.
#G1/0/2接口下开启802.1X认证
[H3C] interface GigabitEthernet1/0/2 //进入G1/0/2接口
[H3C-GigabitEthernet1/0/2]dot1x //接口下开启802.1x功能
#配置G1/0/2接口的强制认证ISP域为“local”。(此处不配置为默认system域)
[H3C-GigabitEthernet1/0/2]dot1x mandatory-domain local //配置G1/0/2接口的强制认证ISP域为“local”
#创建本地用户ceshi,密码为111,服务类型为lan-access。
[H3C]local-user ceshi class network //创建dot1x的本地用户,用户名为“ceshi”
[H3C-luser-network-ceshi]password simple 111 //密码为111
[H3C-luser-network-ceshi]service-type lan-access //服务器类型为lan-access
[H3C-luser-network-ceshi]quit //退出当前视图
[H3C-luser-network-ceshi]save for //保存配置
#在客户端电脑上配置有线网卡的IPV4地址192.168.1.10/24,网关为192.168.1.1,安全INODE客户端软件,定制802.1X连接,输入用户名和密码是ceshi/111
将装有INODE客户端软件的电脑接入交换机的G1/0/2,选择802.1X连接,输入正确的用户名和密码后点击连接,如下图802.1X认证通过
此时未进行802.1X认证的电脑在通过802.1x认证后可以ping通自己的网关。
