2022年2022年华三交换机.认证例子 .pdf

《2022年2022年华三交换机.认证例子 .pdf》由会员分享，可在线阅读，更多相关《2022年2022年华三交换机.认证例子 .pdf（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、S7500系列交换机 802.1x 认证功能的典型配置一、组网需求：1、要求在各端口上对用户接入进行认证，以控制其访问Internet ；接入控制模式要求是基于 MAC 地址的接入控制。2、所有接入用户都属于一个缺省的域： ，该域最多可容纳30 个用户；认证时，采用先 RADIUS 再 LOCAL 的方式；计费时，如果RADIUS 计费失败则切断用户连接使其下线； 接入时在用户名后不添加域名， 正常连接时如果用户有超过 20 分钟流量持续小于2000Bytes 的情况则切断其连接。3、系统与认证 RADIUS 服务器交互报文时的加密密码为“cams”系统在向RADIUS 服务器发送报文后5 秒

2、种内如果没有得到响应就向其重新发送报文，重复发送报文的次数总共为5 次， 设置系统每 15 分钟就向 RADIUS 服务器发送一次实时计费报文，指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。4、本地 802.1x 接入用户的用户名为h3cuser ，密码为 localpass ，使用明文输入，闲置切断功能处于打开状态。二、组网图：图 1. 组网图1)PC 属于 VLAN1 ，IP 地址为 10.10.1.10/24 ；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第

3、1 页，共 3 页 - - - - - - - - - 2)两台 RADIUS 服务器组成的服务器组与交换机相连，其IP 地址分别为 10.11.1.1 和 10.11.1.2 ，前者作为主认证 /备份计费服务器， 后者作为备份认证 /主计费服务器。三、配置步骤：1) 开启全局 802.1x 特性。 system-view System View: return to User View with Ctrl+Z. H3C dot1x 2) 开启指定端口 Ethernet 1/0/1 的 802.1x 特性。H3C dot1x interface Ethernet 1/0/1 3) 设置接入控制

4、方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于 MAC 地址的）。H3C dot1x port-method macbased interface Ethernet 1/0/1 4) 创建 RADIUS 方案 radius1 并进入其视图。H3C radius scheme radius1 5) 设置主认证 /计费 RADIUS 服务器的 IP 地址。H3C-radius-radius1 primary authentication 10.11.1.1 H3C-radius-radius1 primary accounting 10.11.1.2 6) 设置备份认证 /计费 R

5、ADIUS 服务器的 IP 地址。H3C-radius-radius1 secondary authentication 10.11.1.2 H3C-radius-radius1 secondary accounting 10.11.1.1 7) 设置系统与认证 RADIUS 服务器交互报文时的加密密码。H3C -radius-radius1 key authentication cams 8) 设置系统与计费 RADIUS 服务器交互报文时的加密密码。H3C-radius-radius1 key accounting cams 9) 设置系统向 RADIUS 服务器重发报文的时间间隔与次数。

6、H3C-radius-radius1 timer 5 H3C-radius-radius1 retry 5 10) 设置系统向 RADIUS 服务器发送实时计费报文的时间间隔。H3C-radius-radius1 timer realtime-accounting 15 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 3 页 - - - - - - - - - 11) 指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。H3C-radius-radius1 u

7、ser-cams-format without-domain H3C-radius-radius1 quit 12) 创建域 并进入其视图。H3C domain 13) 指定 radius1 为该域用户的 RADIUS 方案，若 RADIUS 服务器无效，则使用本地认证方案。H3C-isp- scheme radius-scheme radius1 local 14) 设置该域最多可容纳30 个用户。H3C-isp- access-limit enable 30 15) 启动闲置切断功能并设置相关参数。H3C-isp- idle-cut enable 20 2000 H3C-isp- quit

8、 16) 配置域 为缺省用户域。H3C domain default enable 17) 添加本地接入用户。H3C local-user h3cuser H3C-luser-h3cuser service-type lan-access H3C-luser-h3cuser password simple localpass 四、配置关键点 ：1、 要保证在交换机上设置的认证和计费端口号和RADIUS 服务器一致；2、要保证在交换机上设置的认证和计费加密密码与RADIUS 服务器一致；3、要是 RADIUS 服务器非直连，那么要保证RADIUS 服务器与交换机是路由可达的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 3 页 - - - - - - - - -