热门标签
热门文章
- 1Sharding-JDBC之ComplexKeysShardingAlgorithm(复合分片算法)
- 2详细比较MLOps和LLMOps_mlops llmops
- 3《统计自然语言处理》第一章知识点整理_自然语言处理也称为自然语言理解,从人工智能研究一开始它就作为这一学科的重要研
- 4ArcGIS学习14:基于OD方法的网络节点关系分析_od分析
- 5NLP系列 9. Attention机制_nlp attention机制
- 6从零开始学Java——基础篇_0变成java
- 7【数据分析岗】8家知名企业秋招(含实习)面试题汇总_数据分析师面试题
- 8Python操作PDF的全面指南_pypdf库使用
- 9有没有自动打码的软件
- 10一个通过照片识别地理位置的应用_geospy官网
当前位置: article > 正文
H3C接入层交换机和AC配置802.1x_交换机配置802.1x
作者:小惠珠哦 | 2024-06-19 19:54:26
赞
踩
交换机配置802.1x
[交换机]
配置Radius方案
radius scheme aaa //设置Radius名称aaa,并进入Radius配置
primary authentication 192.168.48.11 //设置主要身份验证Radius服务器
primary accounting 192.168.48.11 //设置主要计费Radius服务器
secondary authentication 192.168.48.12 //设置备份身份验证服务器
secondary accounting 192.168.48.12 //设置备份计费Radius服务器
key authentication simple ****** //访问身份验证Radius服务器的共享密钥
key accounting simple ****** //访问计费Radius服务器共享密钥
user-name-format without-domain //设置验证账号时,账号格式不带域名(默认带域名,可能无法验证)
quit
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
配置ISP域
domain XXX.com //创建域为XXX,并进入域配置
authentication lan-access radius-scheme aaa //配置认证Radius,Radius名称为aaa
authorization lan-access radius-scheme aaa //配置授权Radius,Radius名称为aaa
accounting lan-access radius-scheme aaa //配置计费Radius,Radius名称aaa
state active //启用此域
quit
- 1
- 2
- 3
- 4
- 5
- 6
全局配置802.1x
domain default enable XXX //开启默认ISP域为XXX
dot1x //开启全局802.1X
dot1x authentication-method eap //802.1x验证方式为eap
- 1
- 2
- 3
- 4
- 5
端口802.1x配置
方案一
int g1/0/1 //进入g1/0/1接口
port link-type hybrid //端口类型设置为hybrid
undo port hybrid vlan 1 //关闭VLAN 1
port hybrid vlan 100 200 untagged //允许VLAN通过,并删除VLAN标签,VLAN ID根据实际情况修改
stp edged-port //配置端口为接入端口
dot1x //开启802.1x验证
undo dot1x handshake //关闭802.1x在线握手
dot1x mandatory-domain XXX //指定此端口强制验证域为XXX
dot1x port-method portbased //配置802.1X接入方式为端口模式
dot1x guest-vlan 10 //设置访客VLAN,用户未验证的情况下,连接此VLAN。
dot1x auth-fail vlan 11 //用户验证失败的情况下,连接此VLAN。端口模式下,服务器未下发VLAN时 ,端口加入auth-fail vlan。
dot1x critical vlan 10 //(可选功能)逃生VLAN,用户认证时,所有认证服务器网络不可达的情况下访问此VLAN。逃生VLAN是Radius服务器故障,无法验证时的紧急VLAN。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
方案二
int g1/0/1
port access vlan 11
stp edged-port
dot1x #开启端口dot1x
dot1x port-method macbased #指定接入控制方式(默认采用MAC地址)
dot1x mandatory-domain XXX #指定认证域
但由于采用windows自带的802.1x认证,无法回应H3C的心跳报文,故要将心跳握手、组播告警关闭,如果采用H3C自带iNode客户端,可以忽略
undo dot1x handshake
undo dot1x multicast-trigger
dot1x unicast-trigger
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
[AC]
配置Radius方案
radius scheme aaa //设置Radius名称aaa,并进入Radius配置
primary authentication 192.168.48.11 //设置主要身份验证Radius服务器
primary accounting 192.168.48.11 //设置主要计费Radius服务器
secondary authentication 192.168.48.12 //设置备份身份验证服务器
secondary accounting 192.168.48.12 //设置备份计费Radius服务器
key authentication simple ****** //设置访问身份验证服务器共享密钥
key accounting simple ****** //访问计费Radius服务器共享密钥
user-name-format without-domain //设置账号格式不带域名(默认带域名,可能无法验证)
quit
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
配置ISP域
domain XXX.com //创建域并进入视图
authentication lan-access radius-scheme aaa //配置接入设备的认证Radius,Radius名称aaa
authorization lan-access radius-scheme aaa //配置接入设备的授权Radius,Radius名称aaa
quit //退出ISP域配置
- 1
- 2
- 3
- 4
dot1x //开启全局802.1X
dot1x authentication-method eap //802.1x验证方式为eap
- 1
- 2
启用Radius会话控制
radius session-control enable
- 1
创建无线模板
wlan service-template ceshi //创建无线模板
ssid ceshi //无线SSID为ceshi
akm mode dot1x //管理模式为802.1x模式
client-security authentication-mode dot1x //客户端认证模式为802.1x
dot1x domain XXX.com //802.1x域名为XXX.com
cipher-suite ccmp //加密套件CCMP
security-ie rsn //安全信息元素为RSN
client-security authentication fail-vlan 10 //用户验证失败的情况下,连接此VLAN。
client-security authentication critical-vlan 11 //逃生VLAN,用户认证时,所有认证服务器网络不可达的情况下访问此VLAN。
service-template enable //启用无线服务模板
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小惠珠哦/article/detail/737495
推荐阅读
相关标签
