802.1x(802.1x是什么意思)

更新时间:2023-03-01 13:34:34 阅读: 评论:0

一 组网需求:

1.在交换机上启动802.1x认证,对PC1、PC2进行本地认证上网;

2.远程RADIUS服务器开启802.1x认证,对PC1、PC2认证上网。

二 组网图:

1.进行本地认证

2.服务器认证

三 配置步骤:

1) 作本地认证时交换机相关配置

1.创建(进入)VLAN10

[H3C]vlan 10

2.将E1/0/1加入到VLAN10

[H3C-vlan10]port Ethernet 1/0/1

3.创建(进入)VLAN20

[H3C]vlan 20

4.将E1/0/2加入到VLAN20

[H3C-vlan20]port Ethernet 1/0/2

5.分别开启E1/0/1、E1/0/2的802.1X认证

[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/2

6.全局使能802.1X认证功能(缺省情况下,802.1X功能处于关闭状态)

[H3C]dot1x

7.添加本地802.1X用户,用户名为“dot1x”,密码为明文格式的“huawei”

[H3C]local-ur dot1x

[H3C-lur-dot1x]rvice-type lan-access

[H3C-lur-dot1x]password simple huawei

8.补充说明

端口开启dot1x认证后可以采用基于端口(portbad)或基于MAC地址(macbad)两种接入控制方式,缺省是接入控制方式为macbad。两种方法的区别是:当采用macbad方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;而采用portbad方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。

例如,修改端口E1/0/1的接入控制方式为portbad方式:

[SwitchA]dot1x port-method portbad interface Ethernet 1/0/1

或者:

[SwitchA]interface Ethernet 1/0/1

[SwitchA-Ethernet1/0/1]dot1x port-method portbad

2 ) 作RADIUS远程服务器认证时交换机相关配置

1.创建(进入)VLAN10

[SwitchA]vlan 10

2.将E1/0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 1/0/1

3.创建(进入)VLAN20

[SwitchA]vlan 20

4.将E1/0/2加入到VLAN20

[SwitchA-vlan20]port Ethernet 1/0/2

5.创建(进入)VLAN100

[SwitchA]vlan 100

6.将G1/0/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/0/1

7.创建(进入)VLAN接口100,并配置IP地址

[SwitchA]interface Vlan-interface 100

[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0

8.创建一个名为“cams”的RADIUS方案,并进入其视图

[SwitchA]radius scheme cams

9.配置方案“cams”的主认证、计费服务器地址和端口号

[SwitchA-radius-cams]primary authentication 100.1.1.1 1812

[SwitchA-radius-cams]primary accounting 100.1.1.1 1813

10.配置交换机与RADIUS服务器交互报文时的密码

[SwitchA-radius-cams]key authentication cams

[SwitchA-radius-cams]key accounting cams

11.配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器

[SwitchA-radius-cams]ur-name-format without-domain

12.创建用户域“huawei”,并进入其视图

[SwitchA]domain huawei

13.指定“cams”为该用户域的RADIUS方案

[SwitchA-isp-huawei]radius-scheme cams

14.指定交换机缺省的用户域为“huawei”

[SwitchA]domain default enable huawei

15.分别开启E1/0/1、E1/0/2的802.1X认证

[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/2

16.全局使能dot1x认证功能(缺省情况下,dot1x功能处于关闭状态)

[SwitchA]dot1x

17.补充说明

如果RADIUS服务器不是与SwitchA直连,那么需要在SwitchA上增加路由的配置,来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

四 配置关键点:

1.用户在通过认证之前,PC1所连接的物理端口E1/0/1只有认证端口是打开的,而数据端口是关闭状态,因此,当PC1通过dot1x认证之前,只有认证报文通过端口E1/0/1进行转发,而PC1无法上网;当PC1通过dot1x认证之后,端口E1/0/1的数据端口打开,PC1可以正常上网;

本文发布于:2023-02-28 20:00:00,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/zhishi/a/167764887476270.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

本文word下载地址:802.1x(802.1x是什么意思).doc

本文 PDF 下载地址:802.1x(802.1x是什么意思).pdf

标签:
相关文章
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
Copyright ©2019-2022 Comsenz Inc.Powered by © 实用文体写作网旗下知识大全大全栏目是一个全百科类宝库! 优秀范文|法律文书|专利查询|