一 組網需求:
1.在交換機上啟動802.1x認證,對PC1�����、PC2進行本地認證上網�����;
2.遠程RADIUS服務器開啟802.1x認證��,對PC1、PC2認證上網����。
二 組網圖:
1.進行本地認證
2.服務器認證
三 配置步驟:
1) 作本地認證時交換機相關配置
1.創建(進入)VLAN10
[H3C]vlan 10
2.將E1/0/1加入到VLAN10
[H3C-vlan10]port Ethernet 1/0/1
3.創建(進入)VLAN20
[H3C]vlan 20
4.將E1/0/2加入到VLAN20
[H3C-vlan20]port Ethernet 1/0/2
5.分別開啟E1/0/1���、E1/0/2的802.1X認證
[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/2
6.全局使能802.1X認證功能(缺省情況下�,802.1X功能處于關閉狀態)
[H3C]dot1x
7.添加本地802.1X用戶���,用戶名為“dot1x”,密碼為明文格式的“huawei”
[H3C]local-ur dot1x
[H3C-lur-dot1x]rvice-type lan-access
[H3C-lur-dot1x]password simple huawei
8.補充說明
端口開啟dot1x認證后可以采用基于端口(portbad)或基于MAC地址(macbad)兩種接入控制方式��,缺省是接入控制方式為macbad�。兩種方法的區別是:當采用macbad方式時,該端口下的所有接入用戶均需要單獨認證���,當某個用戶下線時,也只有該用戶無法使用網絡��;而采用portbad方式時���,只要該端口下的第一個用戶認證成功后����,其他接入用戶無須認證就可使用網絡資源�,但是當第一個用戶下線后,其他用戶也會被拒絕使用網絡��。
例如����,修改端口E1/0/1的接入控制方式為portbad方式:
[SwitchA]dot1x port-method portbad interface Ethernet 1/0/1
或者:
[SwitchA]interface Ethernet 1/0/1
[SwitchA-Ethernet1/0/1]dot1x port-method portbad
2 ) 作RADIUS遠程服務器認證時交換機相關配置
1.創建(進入)VLAN10
[SwitchA]vlan 10
2.將E1/0/1加入到VLAN10
[SwitchA-vlan10]port Ethernet 1/0/1
3.創建(進入)VLAN20
[SwitchA]vlan 20
4.將E1/0/2加入到VLAN20
[SwitchA-vlan20]port Ethernet 1/0/2
5.創建(進入)VLAN100
[SwitchA]vlan 100
6.將G1/0/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/0/1
7.創建(進入)VLAN接口100,并配置IP地址
[SwitchA]interface Vlan-interface 100
[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0
8.創建一個名為“cams”的RADIUS方案����,并進入其視圖
[SwitchA]radius scheme cams
9.配置方案“cams”的主認證�、計費服務器地址和端口號
[SwitchA-radius-cams]primary authentication 100.1.1.1 1812
[SwitchA-radius-cams]primary accounting 100.1.1.1 1813
10.配置交換機與RADIUS服務器交互報文時的密碼
[SwitchA-radius-cams]key authentication cams
[SwitchA-radius-cams]key accounting cams
11.配置交換機將用戶名中的用戶域名去除掉后送給RADIUS服務器
[SwitchA-radius-cams]ur-name-format without-domain
12.創建用戶域“huawei”�,并進入其視圖
[SwitchA]domain huawei
13.指定“cams”為該用戶域的RADIUS方案
[SwitchA-isp-huawei]radius-scheme cams
14.指定交換機缺省的用戶域為“huawei”
[SwitchA]domain default enable huawei
15.分別開啟E1/0/1、E1/0/2的802.1X認證
[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/2
16.全局使能dot1x認證功能(缺省情況下,dot1x功能處于關閉狀態)
[SwitchA]dot1x
17.補充說明
如果RADIUS服務器不是與SwitchA直連���,那么需要在SwitchA上增加路由的配置,來確保SwitchA與RADIUS服務器之間的認證報文通訊正常。
四 配置關鍵點:
1.用戶在通過認證之前��,PC1所連接的物理端口E1/0/1只有認證端口是打開的�����,而數據端口是關閉狀態���,因此�����,當PC1通過dot1x認證之前,只有認證報文通過端口E1/0/1進行轉發���,而PC1無法上網����;當PC1通過dot1x認證之后,端口E1/0/1的數據端口打開,PC1可以正常上網����;
