1.11 802.1X 典型配置举例1.11.1 802.1X 认证配置举例1. 组网需求用户通过Device的端口 GigabitEthernet2/0/l接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Int erne t,具体要求如下:• 由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者 作为主认证/计费服务器,使用后者作为备份认证/计费服务器• 端口 GigabitEthernet2/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络• 认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证• 所有接入用户都属于同一个ISP域bbb• Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为 money2. 组网图图 1-12 802.1X 认证组网图Suppli^flnlAuthcnticaiorIO.I.I.IU'24—152.160.1.11/24D由5已目Heal19C.16B.1.泅RADIUS nervier cluate-rd^zc-ZEiry: 1C 1.'王 1:、1ntgrneiJI. -3. 配置步骤(1) 配置各接口的 IP 地址(略)(2) 配置本地用户 #添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass°(此处添加的本地用户的用户名和 密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置) system-view [Device] local-user localuser class network[Device-luser-network-localuser] password simple localpass# 配置本地用户的服务类型为 lan-access。
[Device-luser-network-localuser] service-type lan-access[Device-luser-network-localuser] quit(3) 配置 RADIUS 方案# 创建 RADIUS 方案 radius1 并进入其视图[Device] radius scheme radius1# 配置主认证/ 计费 RADIUS 服务器的 IP 地址[Device-radius-radius1] primary authentication 10.1.1.1[Device-radius-radius1] primary accounting 10.1.1.1# 配置备份认证/ 计费 RADIUS 服务器的 IP 地址[Device-radius-radius1] secondary authentication 10.1.1.2[Device-radius-radius1] secondary accounting 10.1.1.2# 配置 Device 与认证/ 计费 RADIUS 服务器交互报文时的共享密钥[Device-radius-radius1] key authentication simple name[Device-radius-radius1] key accounting simple money# 配置发送给 RADIUS 服务器的用户名不携带域名。
[Device-radius-radius1] user-name-format without-domain[Device-radius-radius1] quit(4) 配置 ISP 域# 创建域 bbb 并进入其视图[Device] domain bbb# 配置 802.1X 用户使用 RADIUS 方案 radius1 进行认证、授权、计费,并采用 local 作为备选方法[Device-isp-bbb] authentication lan-access radius-scheme radius1 local[Device-isp-bbb] authorization lan-access radius-scheme radius1 local[Device-isp-bbb] accounting lan-access radius-scheme radius1 local[Device-isp-bbb] quit(5) 配置 802.1X# 开启端口 GigabitEthernet2/0/1 的 802.1X [Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] dot1x#配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Device-GigabitEthernet2/0/1] dot1x port-method macbased# 指定端口上接入的 802.1X 用户使用强制认证域 bbb [Device-GigabitEthernet2/0/1] dot1x mandatory-domain bbb[Device-GigabitEthernet2/0/1] quit# 开启全局 802.1X [Device] dot1x4. 验证配置使用命令 display dot1x interface 可以查看端口 GigabitEthernet2/0/1 上的 802.1X 的配置情况当 802.1X 用户输入正确的用户名和密码成功上线后,可使用命令display dot 1x connection查看到上线用户的连接情况1.11.2 802.1X支持Guest VLAN、授权VLAN下发配置举例1. 组网需求如图1-13所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器Host接入Device的端口GigabitEthernet2/0/2在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器, 在VLAN 10内;Device连接Internet网络的端口 GigabitEthernet2/0/3在VLAN 5内。
现有如下组网需求:• 在接口上配置完Guest VLAN,则立即将该端口 GigabitEthernet2/0/2加入Guest VLAN(VLAN 10)中,此时 Host 和 Update Server 都在 VLAN 10 内,Host 可以访问 Update Server 并下载 802.1X 客户端• 用户认证成功上线后,认证服务器下发VLAN 5,此时Host和连接Internet网络的端口 GigabitEthernet2/0/3 都在VLAN 5内,Host可以访问Internet2. 组网图图1-13 Guest VLAN及VLAN下发组网图DaviesHostVLAKI2GE2/10MVLAN 10 ^GE2W1FLAN 它GE2.'0i'4VL/kN 10^GE2.'0i 1InternetInberneiIntarrct&E3 vl^ N 5 Device亠VLAN 5GE210/2N VLAN 5Device 一Update serverAuthentication s&rverVLAhl 1 GEZ/O.?用户止釀Update serverAuthentiCciliDr serverUpdate wrvstAuthsntkatiori savvsrVLAN 10 .GE2dlVLAM2GE2;Q'4VL^N 10GE2T\'2VLANSGE2m3. 配置步骤• 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全 命令参考”中的“ AAA”。
• 保证接入端口加入 Guest VLAN 或授权 VLAN 之后, 802.1X 客户端能够及时更新 IP 地址,以实现 与相应网络资源的互通• 完成RADIUS服务器的配置,添加用户帐户,指定要授权下发的VLAN (本例中为VLAN 5),并 保证用户的认证/授权/计费功能正常运行⑴ 创建VLAN并将端口加入对应VLAN system-view[Device] vlan 1[Device-vlan1] port gigabitethernet 2/0/2[Device-vlan1] quit[Device] vlan 10[Device-vlan10] quit[Device] vlan 2 [Device-vlan2] port gigabitethernet 2/0/4[Device-vlan2] quit[Device] vlan 5[Device-vlan5] port gigabitethernet 2/0/3[Device-vlan5] quit(2) 配置 RADIUS 方案# 创建 RADIUS 方案 2000 并进入其视图[Device] radius scheme 2000# 配置主认证/ 计费 RADIUS 服务器及其共享密钥。
[Device-radius-2000] primary authentication 10.11.1.1 1812[Device-radius-2000] primary accounting 10.11.1.1 1813[Device-radius-2000] key authentication simple abc[Device-radius-2000] key accounting simple abc# 配置发送给 RADIUS 服务器的用户名不携带域名[Device-radius-2000] user-name-format without-domain[Device-radius-2000] quit(3) 配置 ISP 域# 创建域 bbb 并进入其视图[Device] domain bbb# 配置 802.1X 用户使用 RADIUS 方案 2000 进行认证、授权、计费 [Device-isp-bbb] authentication lan-access radius-scheme 2000 [Device-isp-bbb] authorization lan-access radius-scheme 2000 [Device-isp-bbb] accounting lan-access radius-scheme 2000 [Device-isp-bbb] quit(4) 配置 802.1X# 开启端口 GigabitEthernet2/0/2 的 802.1X 。
[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] dot1x# 配置端口的 802.1X 接入控制的方式为 portbased。