2022年2022年华为交换机的dotx认证 .pdf
-
资源ID:27212864
资源大小:551.88KB
全文页数:8页
- 资源格式: PDF
下载积分:4.3金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
|
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
2022年2022年华为交换机的dotx认证 .pdf
华为交换机 802.1X 配置1 功能需求及组网说明配置环境参数 1. 交换机 vlan10 包含端口E0/1-E0/10 接口地址 10.10.1.1/24 2. 交换机 vlan20 包含端口E0/11-E0/20 接口地址 10.10.2.1/24 3. 交换机 vlan100 包含端口 G1/1 接口地址 192.168.0.1/24 4. RADIUS server 地址为 19 配置 环境参数1.交换机 vlan10 包含端口 E0/1-E0/10 接口地址 10.10.1.1/24 2.交换机 vlan20 包含端口 E0/11-E0/20 接口地址 10.10.2.1/24 3.交换机 vlan100 包含端口 G1/1 接口地址 192.168.0.1/24 4.RADIUS server 地址为 192.168.0.100/24 5.本例中交换机为三层交换机组网需求1.PC1和 PC2能够通过交换机本地 认证上网2.PC1和 PC2能够通过 RADIUS 认证上网2数据配置步骤802.1X 本地认证流程名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 8 页 - - - - - - - - - 用户输入用户名和密码,报文送达交换机端口, 此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证, 如果没有带域名就送到缺省域中进行认证,如果存在相应的用户名和密码, 就返回认证成功消息, 此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息,端口仍然为非授权状态。【SwitchA 相关配置】1.创建(进入) vlan10 SwitchAvlan 10 2.将 E0/1-E0/10 加入到 vlan10 SwitchA-vlan10port Ethernet 0/1 to Ethernet 0/10 3.创建(进入) vlan10 的虚接口SwitchAinterface Vlan-interface 10 4.给 vlan10 的虚接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.255.0 5.创建(进入) vlan20 SwitchA-vlan10vlan 20 6.将 E0/11-E0/20 加入到 vlan20 SwitchA-vlan20port Ethernet 0/11 to Ethernet 0/20 7.创建(进入) vlan20 虚接口SwitchAinterface Vlan-interface 20 8.给 vlan20 虚接口配置 IP 地址SwitchA-Vlan-interface20ip address 10.10.2.1 255.255.255.0 9.创建(进入) vlan100 SwitchAvlan 100 10.将 G1/1 加入到 vlan100 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 8 页 - - - - - - - - - SwitchA-vlan100port GigabitEthernet 1/1 11.创建进入 vlan100 虚接口SwitchAinterface Vlan-interface 100 12.给 vlan100 虚接口配置 IP 地址SwitchA-Vlan-interface100ip address 192.168.0.1 255.255.255.0 【802.1X 本地认证缺省域相关配置】1.在系统视图下开启802.1X 功能,默认为基于MAC 的认证方式SwitchAdot1x 2.在 E0/1-E0/10 端口上开启 802.1X 功能,如果 dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X SwitchAdot1x interface eth 0/1 to eth 0/10 3.这里采用缺省域 system,并且缺省域引用缺省radius 方案system。SwitchAlocal-user test 4.设置该用户密码(明文)SwitchA-user-testpassword simple test 5.设置该用户接入类型为802.1X SwitchA-user-testservice-type lan-access 6.激活该用户SwitchA-user-teststate active 【802.1X 本地认证自建域相关配置】1.在系统视图下开启802.1X 功能,默认为基于MAC 的认证方式SwitchAdot1x 2.在 E0/1-E0/10 端口上开启 802.1X 功能,如果 dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 8 页 - - - - - - - - - SwitchAdot1x interface eth 0/1 to eth 0/10 3.设置认证方式为 radius SwitchAradius scheme radius1 4.设置主认证服务器为本地,端口号1645 SwitchA-radius-radius1primary authentication 127.0.0.1 1645 5.设置主计费服务器为本地,端口号1646 SwitchA-radius-radius1primary accounting 127.0.0.1 1646 6.这里本地用户认证采用自建域huawei SwitchAdomain Huawei 7.在域中引用认证方案radius1 SwitchA-isp-huaweiradius-scheme radius1 8.设置本地用户名 testhuawei SwitchAlocal-user testhuawei 9.设置用户密码(明文)SwitchA-user-testhuaweipassword simple test 10.设置用户接入类型为802.1X SwitchA-user-testhuaweiservice-type lan-access 11.激活该用户SwitchA-user-testhuaweistate active 802.1X RADIUS认证流程用户输入用户名和密码, 报文送达交换机端口, 此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果该域配置了radius 认证方式,那么交换机就把该报文转为 radius报文送给相应的认证和计费服务器,认证和计费服务器如果存在相应的用户名和密码, 就返回认证成功消息给交换机, 此时端口对此用户变为授权名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 8 页 - - - - - - - - - 状态,如果用户名不存在或者密码错误等,就返回认证不成功消息给交换机,端口仍然为非授权状态。【802.1X RADIUS认证相关配置】1.在系统视图下开启802.1X 功能,默认为基于MAC 的方式SwitchAdot1x 2.在 E0/1-E0/10 端口上开启 802.1X 功能,如果 dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X SwitchAdot1x interface eth 0/1 to eth 0/10 3.设置认证方式为 radius ,radius 认证不成功取本地认证SwitchAradius scheme radius1 4.设置主认证服务器SwitchA-radius-radius1primary authentication 192.168.0.100 5.设置主计费服务器SwitchA-radius-radius1primary accounting 192.168.0.100 6.设置交换机与认证服务器的密钥,二者应保持一致SwitchA-radius-radius1key authentication test 7.设置交换机与计费服务器的密钥,二者应保持一致SwitchA-radius-radius1key accounting test 8.交换机送给 radius 的报文不带域名SwitchA-radius-radius1user-name-format without-domain 9.这里用户认证采用自建域huawei SwitchAdomain Huawei 10.在域中引用认证方案radius1 SwitchA-isp-huaweiradius-scheme radius1 【802.1X 代理检测相关配置】名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 8 页 - - - - - - - - - 检测到用户使用代理强制用户下线SwitchAdot1x supp-proxy-check logoff 在指定的端口上检测到用户使用代理强制用户下线SwitchAdot1x supp-proxy-check logoff inter eth 0/1 to eth 0/10 检测到用户使用代理交换机输出trap 信息SwitchAdot1x supp-proxy-check trap 上述几个配置不要求全配,可以选择任意一个或者组合使用【二层交换机作isolate-user-vlan radius 认证】由于交换机送往radius 的报文要进行源地址替换,报文源地址被替换成相应的网关或者管理地址,本地认证不存在此问题如果是三层交换机为例,配置了各个vlan 的相应接口地址,由于交换机送往 radius的报文要进行源地址替换,报文源地址被替换成相应的网关地址如果是二层交换机作isolate-user-vlan,那么要求isolate-user-vlan上配置 IP 地址,而且保证此地址能够与radius 服务器互通如果是二层交换机开启802.1X,上行口作 vlan 透传,远端接radius 服务器,要求二层交换机配置管理IP 地址,保证此地址能够与 radius服务器互通【补充说明】一般情况下接入端用户名需要加上域,本例客户端认证的时候输入用户名时就需要加上域名;可以在系统视图下通过命令domain default enable domain-name 来指定缺省的域名,这样如果用户进行认证的时候没有输入域名,则采用缺省指定域名来进行认证和计费;新的版本也将支持多种认证方式(PAP 、CHAP 、EAP-MAD5),请在系统视图下通过命令dot1x authentication-method xxx来配置(如果命令行没有这条命令,这说明当前版本不支持多种认证方式,只支持缺省的CHAP 认证方式。)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 8 页 - - - - - - - - - 3测试验证1.本地认证缺省域用户上线, 需要输入用户名 test ,密码 test 2.采用自建域的用户上线,需要输入用户名testhuawei ,密码 test3.如果用户为固定分配IP 地址,那么属性里不要选择“在连接后自动刷新IP 地址”名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 8 页 - - - - - - - - - 4.用户认证通过以后,能够与相应的网关或者radius 服务器正常通信名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 8 页 - - - - - - - - -
