2022年2022年华为交换机的dotx认证 .pdf

《2022年2022年华为交换机的dotx认证 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年华为交换机的dotx认证 .pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为交换机 802.1X 配置1 功能需求及组网说明配置环境参数 1. 交换机 vlan10 包含端口E0/1-E0/10 接口地址 10.10.1.1/24 2. 交换机 vlan20 包含端口E0/11-E0/20 接口地址 10.10.2.1/24 3. 交换机 vlan100 包含端口 G1/1 接口地址 192.168.0.1/24 4. RADIUS server 地址为 19 配置 环境参数1.交换机 vlan10 包含端口 E0/1-E0/10 接口地址 10.10.1.1/24 2.交换机 vlan20 包含端口 E0/11-E0/20 接口地址 10.10.2.1/24 3

2、.交换机 vlan100 包含端口 G1/1 接口地址 192.168.0.1/24 4.RADIUS server 地址为 192.168.0.100/24 5.本例中交换机为三层交换机组网需求1.PC1和 PC2能够通过交换机本地 认证上网2.PC1和 PC2能够通过 RADIUS 认证上网2数据配置步骤802.1X 本地认证流程名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 8 页 - - - - - - - - - 用户输入用户名和密码，报文送达交换机端口， 此时

3、交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证， 如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码， 就返回认证成功消息， 此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。【SwitchA 相关配置】1.创建（进入） vlan10 SwitchAvlan 10 2.将 E0/1-E0/10 加入到 vlan10 SwitchA-vlan10port Ethernet 0/1 to Ethernet 0/10 3.创建（进入） vlan10 的虚接口Swit

4、chAinterface Vlan-interface 10 4.给 vlan10 的虚接口配置 IP 地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.255.0 5.创建（进入） vlan20 SwitchA-vlan10vlan 20 6.将 E0/11-E0/20 加入到 vlan20 SwitchA-vlan20port Ethernet 0/11 to Ethernet 0/20 7.创建（进入） vlan20 虚接口SwitchAinterface Vlan-interface 20 8.给 vlan20 虚接口配置 I

5、P 地址SwitchA-Vlan-interface20ip address 10.10.2.1 255.255.255.0 9.创建（进入） vlan100 SwitchAvlan 100 10.将 G1/1 加入到 vlan100 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 8 页 - - - - - - - - - SwitchA-vlan100port GigabitEthernet 1/1 11.创建进入 vlan100 虚接口SwitchAinterfac

6、e Vlan-interface 100 12.给 vlan100 虚接口配置 IP 地址SwitchA-Vlan-interface100ip address 192.168.0.1 255.255.255.0 【802.1X 本地认证缺省域相关配置】1.在系统视图下开启802.1X 功能，默认为基于MAC 的认证方式SwitchAdot1x 2.在 E0/1-E0/10 端口上开启 802.1X 功能，如果 dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X SwitchAdot1x interface eth 0/1 to eth 0/10 3.这里采用

7、缺省域 system，并且缺省域引用缺省radius 方案system。SwitchAlocal-user test 4.设置该用户密码（明文）SwitchA-user-testpassword simple test 5.设置该用户接入类型为802.1X SwitchA-user-testservice-type lan-access 6.激活该用户SwitchA-user-teststate active 【802.1X 本地认证自建域相关配置】1.在系统视图下开启802.1X 功能，默认为基于MAC 的认证方式SwitchAdot1x 2.在 E0/1-E0/10 端口上开启 802.1

8、X 功能，如果 dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 8 页 - - - - - - - - - SwitchAdot1x interface eth 0/1 to eth 0/10 3.设置认证方式为 radius SwitchAradius scheme radius1 4.设置主认证服务器为本地，端口号1645 SwitchA-radius-radius1primary

9、authentication 127.0.0.1 1645 5.设置主计费服务器为本地，端口号1646 SwitchA-radius-radius1primary accounting 127.0.0.1 1646 6.这里本地用户认证采用自建域huawei SwitchAdomain Huawei 7.在域中引用认证方案radius1 SwitchA-isp-huaweiradius-scheme radius1 8.设置本地用户名 testhuawei SwitchAlocal-user testhuawei 9.设置用户密码（明文）SwitchA-user-testhuaweipassw

10、ord simple test 10.设置用户接入类型为802.1X SwitchA-user-testhuaweiservice-type lan-access 11.激活该用户SwitchA-user-testhuaweistate active 802.1X RADIUS认证流程用户输入用户名和密码， 报文送达交换机端口， 此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果该域配置了radius 认证方式，那么交换机就把该报文转为 radius报文送给相应的认证和计费服务器，认证和计费服务器如果存在相应的用户名和密码

11、， 就返回认证成功消息给交换机， 此时端口对此用户变为授权名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 8 页 - - - - - - - - - 状态，如果用户名不存在或者密码错误等，就返回认证不成功消息给交换机，端口仍然为非授权状态。【802.1X RADIUS认证相关配置】1.在系统视图下开启802.1X 功能，默认为基于MAC 的方式SwitchAdot1x 2.在 E0/1-E0/10 端口上开启 802.1X 功能，如果 dot1x interface后面不

12、加具体的端口，就是指所有的端口都开启802.1X SwitchAdot1x interface eth 0/1 to eth 0/10 3.设置认证方式为 radius ，radius 认证不成功取本地认证SwitchAradius scheme radius1 4.设置主认证服务器SwitchA-radius-radius1primary authentication 192.168.0.100 5.设置主计费服务器SwitchA-radius-radius1primary accounting 192.168.0.100 6.设置交换机与认证服务器的密钥，二者应保持一致SwitchA-ra

13、dius-radius1key authentication test 7.设置交换机与计费服务器的密钥，二者应保持一致SwitchA-radius-radius1key accounting test 8.交换机送给 radius 的报文不带域名SwitchA-radius-radius1user-name-format without-domain 9.这里用户认证采用自建域huawei SwitchAdomain Huawei 10.在域中引用认证方案radius1 SwitchA-isp-huaweiradius-scheme radius1 【802.1X 代理检测相关配置】名师资料

14、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 8 页 - - - - - - - - - 检测到用户使用代理强制用户下线SwitchAdot1x supp-proxy-check logoff 在指定的端口上检测到用户使用代理强制用户下线SwitchAdot1x supp-proxy-check logoff inter eth 0/1 to eth 0/10 检测到用户使用代理交换机输出trap 信息SwitchAdot1x supp-proxy-check trap 上述几

15、个配置不要求全配，可以选择任意一个或者组合使用【二层交换机作isolate-user-vlan radius 认证】由于交换机送往radius 的报文要进行源地址替换，报文源地址被替换成相应的网关或者管理地址，本地认证不存在此问题如果是三层交换机为例，配置了各个vlan 的相应接口地址，由于交换机送往 radius的报文要进行源地址替换，报文源地址被替换成相应的网关地址如果是二层交换机作isolate-user-vlan，那么要求isolate-user-vlan上配置 IP 地址，而且保证此地址能够与radius 服务器互通如果是二层交换机开启802.1X，上行口作 vlan 透传，远端接r

16、adius 服务器，要求二层交换机配置管理IP 地址，保证此地址能够与 radius服务器互通【补充说明】一般情况下接入端用户名需要加上域，本例客户端认证的时候输入用户名时就需要加上域名；可以在系统视图下通过命令domain default enable domain-name 来指定缺省的域名，这样如果用户进行认证的时候没有输入域名，则采用缺省指定域名来进行认证和计费；新的版本也将支持多种认证方式（PAP 、CHAP 、EAP-MAD5），请在系统视图下通过命令dot1x authentication-method xxx来配置（如果命令行没有这条命令，这说明当前版本不支持多种认证方式，只支

17、持缺省的CHAP 认证方式。）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 8 页 - - - - - - - - - 3测试验证1.本地认证缺省域用户上线， 需要输入用户名 test ，密码 test 2.采用自建域的用户上线，需要输入用户名testhuawei ，密码 test3.如果用户为固定分配IP 地址，那么属性里不要选择“在连接后自动刷新IP 地址”名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 8 页 - - - - - - - - - 4.用户认证通过以后，能够与相应的网关或者radius 服务器正常通信名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 8 页 - - - - - - - - -