- 1Eureka 服务注册与消费(超详细)_eureka 收费吗
- 2基于springboot实现的新生宿舍管理系统_springboot学生管理系统
- 3最全面的外包公司的解释_联众科技是外包吗知乎
- 4Perl 入门学习_perl入门学习
- 5AIGC全面介绍 超级详细_aigc介绍
- 6ChatTTS 升级版:支持音色抽卡、长音频生成和分角色朗读_chattts 音色
- 7python-KNN分类(1):调用KNeighborsClassifier()实现_knn分类调用
- 8使用Python爬取小红书笔记与评论(仅供参考与学习上交流)_python爬取小红书关键词所有笔记评论
- 9Tomcat URL重定向漏洞修复
- 10终于有人把云计算、大数据和 AI 讲明白了【深度好文】_ai替代云计算(2)_al能不能代替云计算
H3C 华为 思科 802.1x配置_802.1x的mac-base和port base如何配置
赞
踩
H3C配置案例+联软
#设置全局默认使用哪个域做认证,端口下也可以配置,非必须配置项目,详见端口配置部分
domain default enable leagsoft
#设置802.1X为EAP中继,以及NAS认证重试次数
dot1x timer tx-period 10
dot1x retry 3
dot1x authentication-method eap
#全局启用基于MAC地址的认证,与之相对应的是port级别的认证,默认是这个,也可以在端口下配置,详见端口配置部分;指定MAC认证的默认认证域,端口下也可以配置,非必须配置项目
mac-authentication
mac-authentication domain leagsoft
#提前创建802.1X服务器调用
acl number 3002
rule 5 permit ip destination 10.1.1.1 0
rule 10 permit ip destination 10.1.1.2 0
rule 30 permit udp destination-port eq dns
rule 35 permit udp source-port eq bootpc destination-port eq bootps
rule 100 deny ip
#创建RADIUS方案radius1并进入其视图。
[Device] radius scheme leagsoft
# 配置主认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] primary authentication 10.1.1.1
[Device-radius-radius1] primary accounting 10.1.1.1
# 配置备份认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] secondary authentication 10.1.1.2
[Device-radius-radius1] secondary accounting 10.1.1.2
# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥,如果只是认证而不用审计,则只需要第一行命令
[Device-radius-radius1] key authentication simple name
[Device-radius-radius1] key accounting simple money
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
#进入这个认证域进行配置,调用上面配置的认证方式,备用认证方式这里选择本地
domain leagsoft
authentication lan-access radius-scheme leagsoft local
authorization lan-access radius-scheme leagsoft local
access-limit disable
state active
idle-cut disable
self-service-url disable
#端口也需要配置,这个端口连接AP,开启端口Ten-GigabitEthernet1/0/1的802.1X,同时使用基于MAC的认证,而不是Port这是默认的,也不需要配置
interface Ethernet1/0/1
description "Connect to [H3C AP1]"
port link-type trunk
port trunk permit vlan all
poe enable
dot1x
mac-authentication
# 普通接客户端的配置
[Device] interface ten-gigabitethernet 1/0/1
[Device-Ten-GigabitEthernet1/0/1] dot1x
# 配置端口的802.1X接入控制方式为MAC-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Device-Ten-GigabitEthernet1/0/1] dot1x port-method macbased
# 指定端口上接入的802.1X用户使用强制认证域leagsoft 这个配置可以全局配置也可以在接口配置,接口的优先级更高
[Device-Ten-GigabitEthernet1/0/1] dot1x mandatory-domain leagsoft
[Device-Ten-GigabitEthernet1/0/1] quit
# 开启全局802.1X。
[Device] dot1x
验证配置
使用命令display dot1x interface可以查看端口Ten-GigabitEthernet1/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。
--------------------------------------------------------------------------
华为配置案例
认证点在接入层 https://support.huawei.com/enterprise/zh/doc/EDOC1100277051/eeb67ba7
认证点在汇聚层 https://support.huawei.com/enterprise/zh/doc/EDOC1100277051/f7ad4ae6
有意思的是H3C 直接可以透传802.1X 组播报文,而华为需要特殊配置。
--------------------------------------------------------------------------
思科配置
!创建认证模板名称cty,认证模式为不认证,调用到console口(线下保护)
aaa new-model
aaa authentication login cty none
line con 0
login authentication cty
!配置SW1,802.1x认证关联radius服务器,网络授权关联radius服务器,审计关联radius服务器
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
!配置radius服务器地址,共享密钥,服务端口
radius server ac
address ipv4 192.168.234.101 auth-port 1812 acct-port 1813
key Admin@123.
!vsa(厂商特殊属性),radius服务器下发厂商特殊属性,不开启的话只会下发标准属性(radius服务器下发的授权结果,用户可能无法识别)
radius-server vsa send authentication
radius-server vsa send accounting
!
interface gi 0/1
switchport mode access
spannning-tree portfast edge
dot1x pae authenticator
!接口下配置自动认证,当接口状态变化的时候(down-up),自动重新认证
authentication port-control auto
!认证3次失败后,使用另一种认证方式(如mab认证失败后,进行802.1x认证)
authentication event fail retry 3 action next-method
!配置aaa认证服务器,如果失败,执行vlan10的授权动作,就是失败了分配vlan10网段IP地址
authentication event server dead action authorize vlan 10
!如果服务器存活 重新开始认证
authentication event server alive action reinitialize
!认证失败 开始下一个认证
authentication event fail action next-method
!配置在当前接口下主机认证模式为多认证(允许当前接口下存在多个终端,只要通过认证,就都能接入网络)
authentication host-mode multi-auth
!ACL结合authentication open使用,认证前允许ACL内的流量通过(如果没有配置autnentication open,则ACL无意义)
ip access-group acl-user in
!配置认证前端口的行为,允许所有流量通过(但要结合ACL使用,认证通过之前只允许ACL里面规定的流量通过,)
authentication open
!配置认证违规的动作为丢包
authentication violation restrict
!测试
test aaa group radius user1 Admin@123. new-code
!SW1全局开启802.1x功能
dot1x system-auth-control
!认证前允许放通的流量包括DHCP DNS PING TFTP EDR
ip access-list extended acl-user
remark dhcp
permit udp any eq bootpc any eq bootps
remark dns
permit udp any any eq domain
remark ping
permit icmp any any
remark tftp
permit udp any any eq tftp
remark edr
permit any host 192.168.1.250
deny ip any any log
wr
--------------------------------------------------------------------------
