sysSystem View: returnto User View with Ctrl+Z.
//配置ISP域
[H3C]domain test //设置域名为test
[H3C-isp-test]authenticationlan-access local //指定802.1x用户采用本地认证
[H3C-isp-test]authorizationlan-access local //指定802.1x用户采用本地授权
[H3C]domain defaultenable test //指定域test为缺省的ISP域。
[H3C]local-user abc //创建本地用户,用户名为abc
New local useradded.
[H3C-luser-abc]passwordsimple 123456 //本地用户密码为123456
[H3C-luser-abc]service-typelan-access //用户用于本地接入
[H3C-luser-abc]quit
[H3C-Ethernet1/0/1]dot1x
802.1x is enabled on port Ethernet1/0/1.
[H3C-Ethernet1/0/1]quit
//配置接口基于MAC地址的接入控制方式
[H3C]dot1xport-method macbased interface e1/0/1
[H3C]dot1x
802.1x is enabled globally.
[H3C]
注意客户端采用inode智能客户端,由于本地认证不能对客户端上传的版本号进行识别,请不要勾选“上传客户端版本号”选项。
上面的配置对在win7的系统上用自带的客户端输入用户名和密码没有办法通过验证,应该是具体设置有区别,暂时还没有亲自测试实验!
802.1X用户认证典型配置举例(Radius服务器为H3C交换机)
1、组网需求:
• 用户通过其与Switch相连的端口接入网络。
• 用户采用iNode 客户端进行802.1X认证。
• 认证/授权服务器均采用我司设备做为RADIUS服务器(例如H3C S5500-HI系列交换机)。
通过配置802.1X认证功能实现:
• 对接入设备的安全认证,以控制其访问Internet。
• 用户与Switch相连的端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
2、802.1X接入认证组网示意图
3、配置思路
为实现接入用户的单独认证,需配置802.1X用户的接入控制方式为基于MAC地址的接入控制方式。
4、配置注意事项
• 在标准的RADIUS协议中,RADIUS服务器的认证端口为UDP端口1812,我司设备作为RADIUS服务器时认证端口为UDP端口15。因此,本举例中需要在SwitchA上配置RADIUS方案时,需要指定认证服务器的认证端口号为15。
• 使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。
• 只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
5、配置步骤
1. SwitchA上的配置
(1) 配置各接口的IP地址(略)
(2) 配置RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[SwitchA] radiusscheme radius1
New Radius scheme
# 配置主认证/计费RADIUS服务器的IP地址。
[SwitchA-radius-radius1]primary authentication 10.1.1.1 15 keyabc
# 配置发送给RADIUS服务器的用户名不携带域名。
[SwitchA-radius-radius1]user-name-format without-domain
# 配置发送RADIUS报文的源接口IP。
[SwitchA-radius-radius1]nas-ip 10.1.1.2
[SwitchA-radius-radius1]quit
(3) 配置ISP域
# 创建域test并进入其视图。
[SwitchA] domaintest
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权方法。
[SwitchA-isp-test]authentication lan-access radius-scheme radius1
[SwitchA-isp-test]authorization lan-access radius-scheme radius1
# 指定域test为缺省的ISP域。如果用户在登录时没有提供ISP域名,系统将把它归于该缺省的ISP
域。
[SwitchA] domaindefault enable test
(4) 配置802.1X
# 开启指定端口GigabitEthernet1/0/1的802.1X特性。
[SwitchA] interfacegigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1]dot1x
802.1x is enabled onport GigabitEthernet1/0/1.
[SwitchA-GigabitEthernet1/0/1]quit
# 配置基于MAC地址的接入控制方式(该配置可选,因为端口的接入控制在缺省情况下就是基于
MAC地址的)。
[SwitchA] dot1xport-method macbased interface gigabitethernet 1/0/1
# 开启全局802.1X特性。
[SwitchA] dot1x
802.1x is enabledglobally.
2. RADIUS server(SWB)上的配置
# 创建名称为“guest”的RADIUS用户,并进入该用户视图。
system-view[Sysname]radius-server user guest
# 指定用户“guest”的密码为明文123456。
[Sysname-rdsuser-guest]password simple 123456
[Sysname-rdsuser-guest]quit
# 配置RADIUS客户端IP为10.1.1.2,共享密钥为明文abc。
[Sysname]radius-server client-ip 10.1.1.2 keysimple abc
3. 接入用户上的配置
接入用户需要安装H3C 公司iNode 客户端,然后进行如下操作:
(1) 启动客户端
iNode 客户端使用时,需要注意的是:用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进行扩展,在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。如果不选此项,则采用标准的EAP报文进行身份认证。
如果配置的认证方式为RADIUS认证失败转本地认证,由于本地认证不能对客户端上传的版本号进行识别,请不要勾选“上传客户端版本号”选项。
