当前位置:   article > 正文

H3C接入层交换机和AC配置802.1x_交换机配置802.1x

交换机配置802.1x

[交换机]

配置Radius方案

radius scheme aaa  //设置Radius名称aaa,并进入Radius配置
primary authentication 192.168.48.11 //设置主要身份验证Radius服务器
primary accounting 192.168.48.11 //设置主要计费Radius服务器
secondary authentication 192.168.48.12 //设置备份身份验证服务器
secondary accounting 192.168.48.12 //设置备份计费Radius服务器
key authentication simple ****** //访问身份验证Radius服务器的共享密钥
key accounting simple ****** //访问计费Radius服务器共享密钥
user-name-format without-domain //设置验证账号时,账号格式不带域名(默认带域名,可能无法验证)
quit 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

配置ISP域

domain XXX.com //创建域为XXX,并进入域配置
authentication lan-access radius-scheme aaa //配置认证Radius,Radius名称为aaa
authorization lan-access radius-scheme aaa //配置授权Radius,Radius名称为aaa
accounting lan-access radius-scheme aaa //配置计费Radius,Radius名称aaa
state active //启用此域
quit 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

全局配置802.1x

domain default enable XXX //开启默认ISP域为XXX

dot1x //开启全局802.1X

dot1x authentication-method eap //802.1x验证方式为eap
  • 1
  • 2
  • 3
  • 4
  • 5

端口802.1x配置

方案一

int g1/0/1  //进入g1/0/1接口
port link-type hybrid //端口类型设置为hybrid
undo port hybrid vlan 1 //关闭VLAN 1
port hybrid vlan 100 200 untagged //允许VLAN通过,并删除VLAN标签,VLAN ID根据实际情况修改
stp edged-port //配置端口为接入端口

dot1x //开启802.1x验证
undo dot1x handshake //关闭802.1x在线握手
dot1x mandatory-domain XXX //指定此端口强制验证域为XXX
dot1x port-method portbased //配置802.1X接入方式为端口模式
dot1x guest-vlan 10 //设置访客VLAN,用户未验证的情况下,连接此VLAN。
dot1x auth-fail vlan 11 //用户验证失败的情况下,连接此VLAN。端口模式下,服务器未下发VLAN时 ,端口加入auth-fail vlan。
dot1x critical vlan 10  //(可选功能)逃生VLAN,用户认证时,所有认证服务器网络不可达的情况下访问此VLAN。逃生VLAN是Radius服务器故障,无法验证时的紧急VLAN。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

方案二

int g1/0/1
port access vlan 11
stp edged-port 

dot1x #开启端口dot1x
dot1x port-method macbased #指定接入控制方式(默认采用MAC地址)
dot1x mandatory-domain XXX #指定认证域
但由于采用windows自带的802.1x认证,无法回应H3C的心跳报文,故要将心跳握手、组播告警关闭,如果采用H3C自带iNode客户端,可以忽略
undo dot1x handshake
undo dot1x multicast-trigger
dot1x unicast-trigger
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

[AC]

配置Radius方案

radius scheme aaa //设置Radius名称aaa,并进入Radius配置
primary authentication 192.168.48.11 //设置主要身份验证Radius服务器
primary accounting 192.168.48.11 //设置主要计费Radius服务器
secondary authentication 192.168.48.12 //设置备份身份验证服务器
secondary accounting 192.168.48.12 //设置备份计费Radius服务器
key authentication simple ****** //设置访问身份验证服务器共享密钥
key accounting simple ****** //访问计费Radius服务器共享密钥
user-name-format without-domain //设置账号格式不带域名(默认带域名,可能无法验证)
quit 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

配置ISP域

domain XXX.com //创建域并进入视图
authentication lan-access radius-scheme aaa //配置接入设备的认证Radius,Radius名称aaa
authorization lan-access radius-scheme aaa //配置接入设备的授权Radius,Radius名称aaa
quit //退出ISP域配置
  • 1
  • 2
  • 3
  • 4
dot1x //开启全局802.1X
dot1x authentication-method eap  //802.1x验证方式为eap
  • 1
  • 2

启用Radius会话控制

radius session-control enable
  • 1

创建无线模板

wlan service-template ceshi //创建无线模板
ssid ceshi //无线SSID为ceshi
akm mode dot1x //管理模式为802.1x模式
client-security authentication-mode dot1x //客户端认证模式为802.1x
dot1x domain XXX.com //802.1x域名为XXX.com
cipher-suite ccmp //加密套件CCMP
security-ie rsn //安全信息元素为RSN
client-security authentication fail-vlan 10 //用户验证失败的情况下,连接此VLAN。
client-security authentication critical-vlan 11 //逃生VLAN,用户认证时,所有认证服务器网络不可达的情况下访问此VLAN。
service-template enable //启用无线服务模板
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小惠珠哦/article/detail/737495
推荐阅读
相关标签
  

闽ICP备14008679号