802.1x协议
足球队队名
【SwitchA相关配置】
1. 创建(进入)vlan10
[SwitchA]vlan 10
2. 将E0/1-E0/10加入到vlan10
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
3. 创建(进入)vlan10的虚接口
[SwitchA]interface Vlan-interface 10
书香手抄报4. 给vlan10的虚接口配置IP地址
[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0
5. 创建(进入)vlan20
[SwitchA-vlan10]vlan 20
6. 将E0/11-E0/20加入到vlan20
[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20
7. 创建(进入)vlan20虚接口
[SwitchA]interface Vlan-interface 20
8. 给vlan20虚接口配置IP地址
[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0
9. 创建(进入)vlan100
[SwitchA]vlan 100
10. 将G1/1加入到vlan100
[SwitchA-vlan100]port GigabitEthernet 1/1
11. 创建进入vlan100虚接口
[SwitchA]interface Vlan-interface 100
12. 给vlan100虚接口配置IP地址
[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0
【802.1X本地认证缺省域相关配置】
1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式
[SwitchA]dot1x
2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3. 这里采用缺省域system,并且缺省域引用缺省radius方案system。
[SwitchA]local-ur test
4. 设置该用户密码(明文)
[SwitchA-ur-test]password simple test
5. 设置该用户接入类型为802.1X
[SwitchA-ur-test]rvice-type lan-access
6. 激活该用户
[SwitchA-ur-test]state active
【802.1X本地认证自建域相关配置】
1. 在系统视图下开启802.1X功能,默认为基于MAC的认证方式
[SwitchA]dot1x
2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3. 设置认证方式为radius
[SwitchA]radius scheme radius1
4. 设置主认证服务器为本地,端口号1645
[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645
5. 设置主计费服务器为本地,端口号1646
[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646
6. 这里本地用户认证采用自建域huawei
[SwitchA]domain Huaweispyware
7. 在域中引用认证方案radius1
[SwitchA-isp-huawei]radius-scheme radius1
8. 设置本地用户名test@huawei
[SwitchA]local-ur test@huawei李氏名人
9. 设置用户密码(明文)
[SwitchA-ur-test@huawei]password simple test
10. 设置用户接入类型为802.1X
[SwitchA-ur-test@huawei]rvice-type lan-access
11. 激活该用户
[SwitchA-ur-test@huawei]state active
『802.1X RADIUS认证流程』
初中历史思维导图
用户输入用户名和密码,报文送达交换机端口,此时交换机相应端口对于此用户来说是非授权状态,报文打上相应端口的PVID,然后根据用户名所带域名送到相应域中进行认证,如果该域配置了radius认证方式,那么交换机就把该报文转为radius报文送给相应的认证和计费服务器,认证和计费服务器如果存在相应的用户名和密码,就返回认证成功消息给交换机,此时端口对此用户变为授权状态,如果用户名不存在或者密码错误等,就返回认证不成功消息给交换机,端口仍然为非授权状态。
【802.1X RADIUS认证相关配置】
1. 在系统视图下开启802.1X功能,默认为基于MAC的方式
[SwitchA]dot1x
2. 在E0/1-E0/10端口上开启802.1X功能,如果dot1x interface后面不加具体的端口,就是指所有的端口都开启802.1X
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3. 设置认证方式为radius,radius认证不成功取本地认证
[SwitchA]radius scheme radius1
奋斗不息4. 设置主认证服务器
[SwitchA-radius-radius1]primary authentication 192.168.0.100
5. 设置主计费服务器
[SwitchA-radius-radius1]primary accounting 192.168.0.100
6. 设置交换机与认证服务器的密钥,二者应保持一致
[SwitchA-radius-radius1]key authentication test
7. 设置交换机与计费服务器的密钥,二者应保持一致
[SwitchA-radius-radius1]key accounting test
8. 交换机送给radius的报文不带域名
[SwitchA-radius-radius1]ur-name-format without-domain
9. 这里用户认证采用自建域huawei
[SwitchA]domain Huawei
10. 在域中引用认证方案radius1
[SwitchA-isp-huawei]radius-scheme radius1
【802.1X 代理检测相关配置】
l 检测到用户使用代理强制用户下线
[SwitchA]dot1x supp-proxy-check logoff
l 在指定的端口上检测到用户使用代理强制用户下线
[SwitchA]dot1x supp-proxy-check logoff inter eth 0/1 to eth 0/10
l 检测到用户使用代理交换机输出trap信息
[SwitchA]dot1x supp-proxy-check trap
上述几个配置不要求全配,可以选择任意一个或者组合使用
【二层交换机作isolate-ur-vlan radius认证】
l 由于交换机送往radius的报文要进行源地址替换,报文源地址被替换成相应的网关或者管理地址,本地认证不存在此问题
l 如果是三层交换机为例,配置了各个vlan的相应接口地址,由于交换机送往radius的报文要进行源地址替换,报文源地址被替换成相应的网关地址
l 如果是二层交换机作isolate-ur-vlan,那么要求isolate-ur-vlan上配置IP地址,而且保证此地址能够与radius服务器互通
什么是间接引语
l 如果是二层交换机开启802.1X,上行口作vlan透传,远端接radius服务器,要求二层交换机配置管理IP地址,保证此地址能够与radius服务器互通
【补充说明】
l 一般情况下接入端用户名需要加上域,本例客户端认证的时候输入用户名时就需要加上域名;残垣的拼音
l 可以在系统视图下通过命令domain default enable domain-name 来指定缺省的域名,这样如果用户进行认证的时候没有输入域名,则采用缺省指定域名来进行认证和计费;
l 新的版本也将支持多种认证方式(PAP、CHAP、EAP-MAD5),请在系统视图下通过命令dot1x authentication-method xxx来配置(如果命令行没有这条命令,这说明当前版本不支持多种认证方式,只支持缺省的CHAP认证方式。)
3 测试验证
