华为交换机举例:配置802.1X认证(AAA采用RADIUS方式)(认证点部署在汇聚交换机)

华为交换机举例:配置802.1X认证(AAA采用RADIUS方式)(认证点部署在汇聚交换机)

组网需求

如图3-50所示,某公司办公区内终端通过DeviceB接入公司内部网络。DeviceB作为接入交换机通过接口10GE1/0/1与汇聚交换机DeviceA上的接口10GE1/0/2相连。

为了满足企业的高安全性需求,使用802.1X认证并通过RADIUS服务器对办公区内终端进行认证,并且为便于维护、减少认证点数量,将认证点部署在汇聚交换机DeviceA的接口10GE1/0/2上。

图3-50 配置802.1X认证组网图

本例中Interface1、Interface2分别代表10GE1/0/110GE1/0/2


配置注意事项

802.1X认证场景中,如果使能802.1X认证的设备和用户之间存在二层交换机,则需要在二层交换机上配置802.1X认证报文二层透明传输功能,否则用户无法认证成功。802.1X认证报文经过的所有接口都需要配置该功能。

操作步骤

配置注意事项

802.1X认证场景中,如果使能802.1X认证的设备和用户之间存在二层交换机,则需要在二层交换机上配置802.1X认证报文二层透明传输功能,否则用户无法认证成功。802.1X认证报文经过的所有接口都需要配置该功能。


操作步骤

在配置DeviceB上,配置802.1X报文透传功能。下行接口以10GE1/0/2为例,其他下行接口配置与其类似。

<HUAWEI> system-view

[HUAWEI] sysname DeviceB

[DeviceB] l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002

[DeviceB] interface 10ge 1/0/1

[DeviceB-10GE1/0/1] l2protocol-tunnel user-defined-protocol 802.1X enable

[DeviceB-10GE1/0/1] port link-type trunk

[DeviceB-10GE1/0/1] port trunk allow-pass vlan 20

[DeviceB-10GE1/0/1] quit

[DeviceB] interface 10ge 1/0/2

[DeviceB-10GE1/0/2] l2protocol-tunnel user-defined-protocol 802.1X enable

[DeviceB-10GE1/0/2] port link-type access

[DeviceB-10GE1/0/2] port default vlan 20

[DeviceB-10GE1/0/2] quit


配置DeviceA。

# 配置DeviceA VLAN。

<HUAWEI> system-view

[HUAWEI] sysname DeviceA

[DeviceA] vlan batch 10 20

[DeviceA] interface 10ge 1/0/1

[DeviceA-10GE1/0/1] port link-type trunk

[DeviceA-10GE1/0/1] port trunk allow-pass vlan 10

[DeviceA-10GE1/0/1] quit

[DeviceA] interface 10ge 1/0/2

[DeviceA-10GE1/0/2] port link-type trunk

[DeviceA-10GE1/0/2] port trunk allow-pass vlan 20

[DeviceA-10GE1/0/2] quit

[DeviceA] interface vlanif 10

[DeviceA-Vlanif10] ip address 192.168.1.10 24

[DeviceA-Vlanif10] quit

[DeviceA] interface vlanif 20  

[DeviceA-Vlanif20] ip address 192.168.2.10 24

[DeviceA-Vlanif20] quit


# 配置AAA。

创建并配置RADIUS服务器模板“rd1”。

[DeviceA] radius-server template rd1

[DeviceA-radius-rd1] radius-server authentication 192.168.1.30 1812

[DeviceA-radius-rd1] radius-server accounting 192.168.1.30 1813

[DeviceA-radius-rd1] radius-server shared-key cipher YsHsjx_202206mc@1

[DeviceA-radius-rd1] quit

创建AAA认证方案“abc”并配置认证方式为RADIUS。

[DeviceA] aaa

[DeviceA-aaa] authentication-scheme abc

[DeviceA-aaa-authen-abc] authentication-mode radius

[DeviceA-aaa-authen-abc] quit

创建AAA计费方案“scheme2”并配置计费方式为RADIUS。

[DeviceA-aaa] accounting-scheme scheme2

[DeviceA-aaa-accounting-scheme2] accounting-mode radius

[DeviceA-aaa-accounting-scheme2] accounting realtime 15

[DeviceA-aaa-accounting-scheme2] quit

创建认证域“example.com”,并在其上绑定AAA认证方案“abc”、计费方案“scheme2”与RADIUS服务器模板“rd1”。

[DeviceA-aaa] domain example.com

[DeviceA-aaa-domain-example.com] authentication-scheme abc

[DeviceA-aaa-domain-example.com] accounting-scheme scheme2

[DeviceA-aaa-domain-example.com] radius-server rd1

[DeviceA-aaa-domain-example.com] quit

[DeviceA-aaa] quit

测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test,用户密码YsHsjx_2022061)

[DeviceA] test-aaa test YsHsjx_2022061 radius-template rd1

Info: Account test succeeded.


# 配置802.1X认证。

配置802.1X接入模板“d1”。

802.1X接入模板默认采用EAP认证方式。请确保RADIUS服务器支持EAP协议,否则无法处理802.1X认证请求。

[DeviceA] dot1x-access-profile name d1

[DeviceA-dot1x-access-profile-d1] dot1x authentication-method eap

[DeviceA-dot1x-access-profile-d1] dot1x timer client-timeout 30

[DeviceA-dot1x-access-profile-d1] quit

配置认证模板“p1”,并在其上绑定802.1X接入模板“d1”、指定认证模板下用户的强制认证域为“example.com”、指定用户接入模式为多用户单独认证接入模式、最大接入用户数为100。

[DeviceA] authentication-profile name p1

[DeviceA-authen-profile-p1] dot1x-access-profile d1

[DeviceA-authen-profile-p1] access-domain example.com force

[DeviceA-authen-profile-p1] authentication mode multi-authen max-user 100

[DeviceA-authen-profile-p1] quit

# 在接口10GE1/0/2上绑定认证模板“p1”,使能802.1X认证。

[DeviceA] interface 10ge 1/0/2

[DeviceA-10GE1/0/2] authentication-profile p1

[DeviceA-10GE1/0/2] quit


验证配置结果。

用户在终端上启动802.1X客户端,输入用户名和密码,开始认证。

如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。

用户上线后,管理员可在设备上执行命令display access-user access-type dot1x查看在线802.1X用户信息。

配置文件

  • DeviceB的配置文件
    #
    sysname DeviceB
    #
    vlan batch 20 
    #
    l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
    #
    interface 10GE 1/0/1
     l2protocol-tunnel user-defined-protocol 802.1X enable
     port link-type trunk
     port trunk allow-pass vlan 20
    #
    interface 10GE 1/0/2
     l2protocol-tunnel user-defined-protocol 802.1X enable
     port link-type access
     port default vlan 20
    #
    return
  • DeviceA的配置文件
    #
    sysname DeviceA
    #
    vlan batch 10 20 
    #
    authentication-profile name p1
     dot1x-access-profile d1
     access-domain example.com force
     authentication mode multi-authen max-user 100
    #
    radius-server template rd1
     radius-server shared-key cipher %+%##!!!!!!!!!"!!!!"!!!!*!!!!Cd/`W03KjAwAqn64E<\TxGC_SOri<2BP\A+!!!!!2jp5!!!!!!B!!!!Oe2HMc->XMa#TLDZUaJBFJtm#XVj*E:S*|(N7`J1B:3QY!!!!!!!!!!!!!!!%+%# 
     radius-server authentication 192.168.1.30 1812 weight 80
     radius-server accounting 192.168.1.30 1813 weight 80
    #
    interface 10GE1/0/1
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    interface 10GE1/0/2
     port link-type trunk
     port trunk allow-pass vlan 20
     authentication-profile p1
    #
    interface vlanif 10
     ip address 192.168.1.10 255.255.255.0
    #
    interface vlanif 20
     ip address 192.168.2.10 255.255.255.0
    #
    aaa
     authentication-scheme abc
      authentication-mode radius
     accounting-scheme scheme2
      accounting-mode radius
      accounting realtime 15
     domain example.com
      authentication-scheme abc
      accounting-scheme scheme2
      radius-server rd1
    #
    dot1x-access-profile name d1
     dot1x timer client-timeout 30
    #
    return


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为交换机举例:配置802.1X认证(AAA采用RADIUS方式)(认证点部署在汇聚交换机)

作者: 小编


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!