H3CE126A802.1x认证简单配置 1.按照交换机配置IP地址 2.在SW1所有连接PC的接口上配置开启802.1X验证,使接入的终端需要进行身份验证 3.创建一个用户身份验证的用户。用户名,密码。 4. pc上ping网关ip地址,,或在交换机上ping每台pc的ip地址看是否通。 查看system域 查看system域 5.创建一个端口隔离组,实现三台PC无法互相访问 在SW1上开启802.1X身份验证 创建一个用户身份验证的用户 创建一个端口隔离组,实现三台PC无法互相访问 验证 dot1x authentication-method eap /默认是chap认证,当时在客户的环境中使用的是默认的chap认证,但是802.1x不通过,改成eap认证就好了/ 没有RADIUS服务器 怎么配置H3c交换机802.1x用户认证 IEEE 802.1X标准定义了基于客户端和服务器的访问控制和身份验证协议 dot1x authentication-method eap /*默认是chap认证,当时在客户的环境中使用的是默认的chap认证,但是802.1x不通过,改成eap认证就好了*/ interface GigabitEthernet1/0/1 port access vlan 196 dot1x dot1x mandatory-domain aaa radius scheme bj_radius primary authentication 12.2.0.5 primary accounting 12.2.0.5 secondary authentication 12.2.0.6 secondary authentication 12.2.0.1 secondary accounting 12.2.0.6 secondary accounting 12.2.0.1 key authentication simple bjfh10.2.0.0 key accounting simple bjfh10.2.0.0 user-name-format without-domain nas-ip 12.2.8.20 quit domain aaa authentication lan-access radius-scheme bj_radius none authorization lan-access radius-scheme bj_radius none accounting lan-access radius-scheme bj_radius none quit domain default enable aaa Radius服务器的设置请参考文档
一、组网拓扑二、组网需求Client(192.168.10.100)通过 SW1的端口GE1/0/1 接入网络,SW1对该端口接入的用户Client(192.168.10.100)进行 802.1X认证以控制其访问 Internet,具体要求如下: 1、RADIUS 服务器旁路部署,其 IP 地址为 172.16.1.100 作为认证/计费服务器。 2、 端口GE1/0/1 下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。 3、 认证时,首先进行 RADIUS 认证,如果 RADIUS 服务器没有响应则进行本地认证。 4、所有接入用户都属于同一个 ISP 域gzga。 5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。 三、配置实现1、核心交换机SW1配置 (1)接口IP地址配置 interface Vlan-interface10 ip address 192.168.10.1 255.255.255.0 # interface Vlan-interface20 ip address 172.16.1.1 255.255.255.0 # interface Vlan-interface1000 ip address 10.1.1.2 255.255.255.252 (2)配置本地用户 # 添加网络接入类本地用户,用户名为admin,密码为明文输入的 admin123。(此处添加的本地 用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的 admin 仅为示例, 请根据实际情况配置) # local-user admin class network password cipher admin123 service-type lan-access # 配置本地用户的服务类型为 lan-access # (3)配置 RADIUS 方案 # radius scheme radius1 # 创建 RADIUS 方案 radius1 primary authentication 172.16.1.100 #配置主认证radius服务器 primary accounting 172.16.1.100 #配置主计费radius服务器 key authentication cipher h3c@123 #配置SW1与认证radius服务器交互报文共享秘钥 key accounting cipher h3c@123 #配置SW1与计费radius服务器交互报文共享秘钥 user-name-format without-domain #发送给radius服务器的用户名不带域名 nas-ip 172.16.1.1 # (4) 配置 ISP 域 #创建域 gzga并进入其视图 domain name gzga # 配置 802.1X 用户使用 RADIUS 方案 radius1 进行认证、授权、计费,并采用 local 作为备选方法 authentication lan-access radius-scheme radius1 local authorization lan-access radius-scheme radius1 local accounting lan-access radius-scheme radius1 local (5) 配置 802.1X interface GigabitEthernet1/0/1 port link-mode bridge port access vlan 10 combo enable fiber dot1x # 开启端口 的802.1X dot1x port-method macbased #配置端口的 802.1X 接入控制方式为 mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于 MAC 地址的) dot1x mandatory-domain gzga # 指定端口上接入的 802.1X 用户使用强制认证域 gzga (6)全局开启802.1X dot1x (7)配置默认路由 ip route-static 0.0.0.0 0 10.1.1.1 2、出口路由配置R1配置 # interface GigabitEthernet0/0 port link-mode route combo enable copper ip address 10.1.1.1 255.255.255.252 # interface GigabitEthernet0/1 port link-mode route combo enable copper ip address 200.1.1.2 255.255.255.0 nat outbound 3000 # acl number 3000 name NAT_ACL description NAT_ACL rule 0 permit ip source 192.168.10.0 0.0.0.255 # ip route-static 0.0.0.0 0 200.1.1.1 ip route-static 192.168.10.0 24 10.1.1.2 # 3、Internet路由器R2配置 # interface LoopBack0 ip address 100.1.1.1 255.255.255.255 # interface GigabitEthernet0/0 port link-mode route combo enable copper ip address 200.1.1.1 255.255.255.0 四、工具软件准备及网卡桥接1、工具软件 (1)802.1x客户端:iNode智能客户端; (2)RADIUS 认证服务器:WinRadius。 2、网卡桥接 (1)SW1的GE1/0/1桥接到虚拟机网卡“本地连接3”,模拟Client(192.168.10.100); (2)SW1的GE1/0/4桥接到虚拟机网卡“本地连接4”,模拟Radius Server(172.16.1.100); 五、配置Radius Server1、打开WinRadius软件,点击"设置">"系统"配置NAS秘钥:h3c@123,认证端口1812,计费端口1813; 2、点击"操作">"添加账号"创建账号:admin,密码:admin123,并填写其他用户信息(可选); 六、模拟802.1X认证登录1、打开iNode智能客户端,输入用户名:admin,密码:admin123,点击"连接",连接成功则表示认证通过,如下图所示; 2、登录WinRadius软件,查看用户认证数据,看是否认证成功; 3、采用ping测试模拟PC上互联网,以192.168.10.100作为源地址,常ping互联网上的100.1.1.1,如下图所示; 4、交换机SW1上的用户802.1X认证日志; 5、使用命令 display dot1x interface 可以查看端口GE1/0/1 上的 802.1X 的配置情况。当 802.1X 用户输入正确的用户名和密码成功上线后,可使用命令 display dot1x connection查看到上线用户的连接情况。 <SW1>display dot1x interface GigabitEthernet 1/0/1 Global 802.1X parameters: 802.1X authentication : Enabled CHAP authentication : Enabled Max-tx period : 30 s Handshake period : 15 s Quiet timer : Disabled Quiet period : 60 s Supp timeout : 30 s Server timeout : 100 s Reauth period : 3600 s Max auth requests : 2 SmartOn supp timeout : 30 s SmartOn retry counts : 3 EAD assistant function : Disabled EAD timeout : 30 min Domain delimiter : @ Online 802.1X wired users : 1 GigabitEthernet1/0/1 is link-up 802.1X authentication : Enabled Handshake : Enabled Handshake reply : Disabled Handshake security : Disabled Unicast trigger : Disabled Periodic reauth : Disabled Port role : Authenticator Authorization mode : Auto Port access control : MAC-based Multicast trigger : Enabled Mandatory auth domain : gzga Guest VLAN : Not configured Auth-Fail VLAN : Not configured Critical VLAN : Not configured Critical voice VLAN : Disabled Re-auth server-unreachable : Logoff Max online users : 4294967295 SmartOn : Disabled Max Attempts Fail Number : 0 Send Packets Without Tag : Disabled EAPOL packets: Tx 1078, Rx 1057 Sent EAP Request/Identity packets : 716 EAP Request/Challenge packets: 121 EAP Success packets: 121 EAP Failure packets: 120 Received EAPOL Start packets : 121 EAPOL LogOff packets: 121 EAP Response/Identity packets : 694 EAP Response/Challenge packets: 121 Error packets: 0 Online 802.1X users: 1 MAC address Auth state 0200-4c4f-4f50 Authenticated #认证MAC地址及认证状态 <SW1> <SW1>dis dot1x connection Slot ID: 1 User MAC address: 0200-4c4f-4f50 #认证MAC Access interface: GigabitEthernet1/0/1 #接入接口 Username: admin #用户名 Authentication domain: gzga #认证所属域 Authentication method: CHAP #认证方法 Initial VLAN: 10 Authorization untagged VLAN: N/A Authorization tagged VLAN list: N/A Authorization ACL ID: N/A Authorization user profile: N/A Termination action: N/A Session timeout period: 9999999 s Online from: 2022/01/07 17:29:38 Online duration: 0h 0m 18s Total connections: 1 <SW1> ~~~~~~~~ H3C交换机结合深信服AC做802.1x认证这里介绍H3C接入交换机结合深信服的AC设备做802.1x认证,深信服设备做认证服务器,H3C交换机做NAS客户端。深信服的AC做准入的认证方式只能支持eap协议。 深信服认证采用本地账号1、配置深信服AC的802.1x认证: 2、创建本地账号: 3、配置交换机的dot1x认证:
4、下载深信服准入客户端并开启dot1x认证,安装测试:
深信服认证采用AD域账号1、修改认证方式为AD域控,并加入域"mynet.top":
3、认证成功如下:
|
|