赞
踩
radius scheme aaa //设置Radius名称aaa,并进入Radius配置
primary authentication 192.168.48.11 //设置主要身份验证Radius服务器
primary accounting 192.168.48.11 //设置主要计费Radius服务器
secondary authentication 192.168.48.12 //设置备份身份验证服务器
secondary accounting 192.168.48.12 //设置备份计费Radius服务器
key authentication simple ****** //访问身份验证Radius服务器的共享密钥
key accounting simple ****** //访问计费Radius服务器共享密钥
user-name-format without-domain //设置验证账号时,账号格式不带域名(默认带域名,可能无法验证)
quit
domain XXX.com //创建域为XXX,并进入域配置
authentication lan-access radius-scheme aaa //配置认证Radius,Radius名称为aaa
authorization lan-access radius-scheme aaa //配置授权Radius,Radius名称为aaa
accounting lan-access radius-scheme aaa //配置计费Radius,Radius名称aaa
state active //启用此域
quit
domain default enable XXX //开启默认ISP域为XXX
dot1x //开启全局802.1X
dot1x authentication-method eap //802.1x验证方式为eap
int g1/0/1 //进入g1/0/1接口
port link-type hybrid //端口类型设置为hybrid
undo port hybrid vlan 1 //关闭VLAN 1
port hybrid vlan 100 200 untagged //允许VLAN通过,并删除VLAN标签,VLAN ID根据实际情况修改
stp edged-port //配置端口为接入端口
dot1x //开启802.1x验证
undo dot1x handshake //关闭802.1x在线握手
dot1x mandatory-domain XXX //指定此端口强制验证域为XXX
dot1x port-method portbased //配置802.1X接入方式为端口模式
dot1x guest-vlan 10 //设置访客VLAN,用户未验证的情况下,连接此VLAN。
dot1x auth-fail vlan 11 //用户验证失败的情况下,连接此VLAN。端口模式下,服务器未下发VLAN时 ,端口加入auth-fail vlan。
dot1x critical vlan 10 //(可选功能)逃生VLAN,用户认证时,所有认证服务器网络不可达的情况下访问此VLAN。逃生VLAN是Radius服务器故障,无法验证时的紧急VLAN。
int g1/0/1
port access vlan 11
stp edged-port
dot1x #开启端口dot1x
dot1x port-method macbased #指定接入控制方式(默认采用MAC地址)
dot1x mandatory-domain XXX #指定认证域
但由于采用windows自带的802.1x认证,无法回应H3C的心跳报文,故要将心跳握手、组播告警关闭,如果采用H3C自带iNode客户端,可以忽略
undo dot1x handshake
undo dot1x multicast-trigger
dot1x unicast-trigger
radius scheme aaa //设置Radius名称aaa,并进入Radius配置
primary authentication 192.168.48.11 //设置主要身份验证Radius服务器
primary accounting 192.168.48.11 //设置主要计费Radius服务器
secondary authentication 192.168.48.12 //设置备份身份验证服务器
secondary accounting 192.168.48.12 //设置备份计费Radius服务器
key authentication simple ****** //设置访问身份验证服务器共享密钥
key accounting simple ****** //访问计费Radius服务器共享密钥
user-name-format without-domain //设置账号格式不带域名(默认带域名,可能无法验证)
quit
domain XXX.com //创建域并进入视图
authentication lan-access radius-scheme aaa //配置接入设备的认证Radius,Radius名称aaa
authorization lan-access radius-scheme aaa //配置接入设备的授权Radius,Radius名称aaa
quit //退出ISP域配置
dot1x //开启全局802.1X
dot1x authentication-method eap //802.1x验证方式为eap
radius session-control enable
wlan service-template ceshi //创建无线模板
ssid ceshi //无线SSID为ceshi
akm mode dot1x //管理模式为802.1x模式
client-security authentication-mode dot1x //客户端认证模式为802.1x
dot1x domain XXX.com //802.1x域名为XXX.com
cipher-suite ccmp //加密套件CCMP
security-ie rsn //安全信息元素为RSN
client-security authentication fail-vlan 10 //用户验证失败的情况下,连接此VLAN。
client-security authentication critical-vlan 11 //逃生VLAN,用户认证时,所有认证服务器网络不可达的情况下访问此VLAN。
service-template enable //启用无线服务模板
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。