3com交換機(jī)802.1X配置 1 功能需求及組網(wǎng)說明 802.1X 配置 配置環(huán)境 .

1、3com交換機(jī)802.1X配置1         功能需求及組網(wǎng)說明802.1X配置 配置環(huán)境參數(shù)1.      交換機(jī)vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.      交換機(jī)vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.      交換機(jī)vlan100包含端口G1/1接口地址192.168.0.1

2、/244.      RADIUS server地址為192.168.0.100/245.      本例中交換機(jī)為三層交換機(jī)組網(wǎng)需求1.      PC1和PC2能夠通過交換機(jī)本地認(rèn)證上網(wǎng)2.      PC1和PC2能夠通過RADIUS認(rèn)證上網(wǎng)2         數(shù)據(jù)配置步驟802.1X本地認(rèn)證流程用戶輸入用戶名和

3、密碼，報(bào)文送達(dá)交換機(jī)端口，此時(shí)交換機(jī)相應(yīng)端口對(duì)于此用戶來說是非授權(quán)狀態(tài)，報(bào)文打上相應(yīng)端口的PVID，然后根據(jù)用戶名所帶域名送到相應(yīng)域中進(jìn)行認(rèn)證，如果沒有帶域名就送到缺省域中進(jìn)行認(rèn)證，如果存在相應(yīng)的用戶名和密碼，就返回認(rèn)證成功消息，此時(shí)端口對(duì)此用戶變?yōu)槭跈?quán)狀態(tài)，如果用戶名不存在或者密碼錯(cuò)誤等，就返回認(rèn)證不成功消息，端口仍然為非授權(quán)狀態(tài)。【SwitchA相關(guān)配置】1.      創(chuàng)建（進(jìn)入）vlan10SwitchAvlan 102.      將E0/1-E0/10加入到vlan10SwitchA

4、-vlan10port Ethernet 0/1 to Ethernet 0/103.      創(chuàng)建（進(jìn)入）vlan10的虛接口SwitchAinterface Vlan-interface 104.      給vlan10的虛接口配置IP地址SwitchA-Vlan-interface10ip address 10.10.1.1 255.255.255.05.      創(chuàng)建（進(jìn)入）vlan20SwitchA-vlan10vlan 206.

5、      將E0/11-E0/20加入到vlan20SwitchA-vlan20port Ethernet 0/11 to Ethernet 0/207.      創(chuàng)建（進(jìn)入）vlan20虛接口SwitchAinterface Vlan-interface 208.      給vlan20虛接口配置IP地址SwitchA-Vlan-interface20ip address 10.10.2.1 255.255.255.09. &#

6、160;    創(chuàng)建（進(jìn)入）vlan100SwitchAvlan 10010.  將G1/1加入到vlan100SwitchA-vlan100port GigabitEthernet 1/111.  創(chuàng)建進(jìn)入vlan100虛接口SwitchAinterface Vlan-interface  10012.  給vlan100虛接口配置IP地址SwitchA-Vlan-interface100ip address 192.168.0.1 255.255.255.0【802.1X本地認(rèn)證缺省域相關(guān)配置】1.  

7、;    在系統(tǒng)視圖下開啟802.1X功能，默認(rèn)為基于MAC的認(rèn)證方式SwitchAdot1x2.      在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1XSwitchAdot1x interface eth 0/1 to eth 0/103.      這里采用缺省域system，并且缺省域引用缺省radius方案system。SwitchAlocal-user test4

8、.      設(shè)置該用戶密碼（明文）SwitchA-user-testpassword simple test5.      設(shè)置該用戶接入類型為802.1XSwitchA-user-testservice-type lan-access6.      激活該用戶SwitchA-user-teststate active【802.1X本地認(rèn)證自建域相關(guān)配置】1.      在系統(tǒng)視圖下開啟802.

9、1X功能，默認(rèn)為基于MAC的認(rèn)證方式SwitchAdot1x2.      在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1XSwitchAdot1x interface eth 0/1 to eth 0/103.      設(shè)置認(rèn)證方式為radiusSwitchAradius scheme radius14.      設(shè)置主認(rèn)證服務(wù)器為本地，端口號(hào)1645

10、SwitchA-radius-radius1primary  authentication 127.0.0.1 16455.      設(shè)置主計(jì)費(fèi)服務(wù)器為本地，端口號(hào)1646SwitchA-radius-radius1primary accounting 127.0.0.1 16466.      這里本地用戶認(rèn)證采用自建域huaweiSwitchAdomain Huawei7.      在域中引用認(rèn)證方案radius1SwitchA

11、-isp-huaweiradius-scheme radius18.      設(shè)置本地用戶名testhuaweiSwitchAlocal-user testhuawei9.      設(shè)置用戶密碼（明文）SwitchA-user-testhuaweipassword simple test10.  設(shè)置用戶接入類型為802.1XSwitchA-user-testhuaweiservice-type lan-access11.  激活該用戶SwitchA-user-testh

12、uaweistate active802.1X RADIUS認(rèn)證流程用戶輸入用戶名和密碼，報(bào)文送達(dá)交換機(jī)端口，此時(shí)交換機(jī)相應(yīng)端口對(duì)于此用戶來說是非授權(quán)狀態(tài)，報(bào)文打上相應(yīng)端口的PVID，然后根據(jù)用戶名所帶域名送到相應(yīng)域中進(jìn)行認(rèn)證，如果該域配置了radius認(rèn)證方式，那么交換機(jī)就把該報(bào)文轉(zhuǎn)為radius報(bào)文送給相應(yīng)的認(rèn)證和計(jì)費(fèi)服務(wù)器，認(rèn)證和計(jì)費(fèi)服務(wù)器如果存在相應(yīng)的用戶名和密碼，就返回認(rèn)證成功消息給交換機(jī)，此時(shí)端口對(duì)此用戶變?yōu)槭跈?quán)狀態(tài)，如果用戶名不存在或者密碼錯(cuò)誤等，就返回認(rèn)證不成功消息給交換機(jī)，端口仍然為非授權(quán)狀態(tài)。【802.1X RADIUS認(rèn)證相關(guān)配置】1.   

13、   在系統(tǒng)視圖下開啟802.1X功能，默認(rèn)為基于MAC的方式SwitchAdot1x2.      在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1XSwitchAdot1x interface eth 0/1 to eth 0/103.      設(shè)置認(rèn)證方式為radius，radius認(rèn)證不成功取本地認(rèn)證SwitchAradius scheme radius14. 

14、0;    設(shè)置主認(rèn)證服務(wù)器SwitchA-radius-radius1primary  authentication 192.168.0.1005.      設(shè)置主計(jì)費(fèi)服務(wù)器SwitchA-radius-radius1primary accounting 192.168.0.1006.      設(shè)置交換機(jī)與認(rèn)證服務(wù)器的密鑰，二者應(yīng)保持一致SwitchA-radius-radius1key authentication test7. 

15、0;    設(shè)置交換機(jī)與計(jì)費(fèi)服務(wù)器的密鑰，二者應(yīng)保持一致SwitchA-radius-radius1key accounting test8.      交換機(jī)送給radius的報(bào)文不帶域名SwitchA-radius-radius1user-name-format without-domain9.      這里用戶認(rèn)證采用自建域huaweiSwitchAdomain Huawei10.  在域中引用認(rèn)證方案radius1SwitchA-isp-huaw

16、eiradius-scheme radius1【802.1X 代理檢測相關(guān)配置】l         檢測到用戶使用代理強(qiáng)制用戶下線SwitchAdot1x supp-proxy-check logoffl         在指定的端口上檢測到用戶使用代理強(qiáng)制用戶下線SwitchAdot1x supp-proxy-check logoff inter eth 0/1 to eth 0/10l    

17、     檢測到用戶使用代理交換機(jī)輸出trap信息SwitchAdot1x supp-proxy-check trap上述幾個(gè)配置不要求全配，可以選擇任意一個(gè)或者組合使用【二層交換機(jī)作isolate-user-vlan radius認(rèn)證】l         由于交換機(jī)送往radius的報(bào)文要進(jìn)行源地址替換，報(bào)文源地址被替換成相應(yīng)的網(wǎng)關(guān)或者管理地址，本地認(rèn)證不存在此問題l         如果是三層

18、交換機(jī)為例，配置了各個(gè)vlan的相應(yīng)接口地址，由于交換機(jī)送往radius的報(bào)文要進(jìn)行源地址替換，報(bào)文源地址被替換成相應(yīng)的網(wǎng)關(guān)地址l         如果是二層交換機(jī)作isolate-user-vlan，那么要求isolate-user-vlan上配置IP地址，而且保證此地址能夠與radius服務(wù)器互通l         如果是二層交換機(jī)開啟802.1X，上行口作vlan透傳，遠(yuǎn)端接radius服務(wù)器，要求二層交換機(jī)配置管理IP地址，保證此地址能夠與radius服務(wù)器互通【補(bǔ)充說明】l         一般情況下接入端用戶名需要加上域，本例客戶端認(rèn)證的時(shí)候輸入用戶名時(shí)就需要加上域名；l