首页更多范文其他范文

802.1X典型配置举例_05irf典型配置举例

2020-02-28 其他范文 下载本文

802.1X典型配置举例由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“05irf典型配置举例”。

1.11 802.1X典型配置举例

1.11.1 802.1X认证配置举例

1.组网需求

用户通过Device的端口GigabitEthernet2/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:

 由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。

 端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。 认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。 所有接入用户都属于同一个ISP域bbb。

 Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2.组网图

图1-12 802.1X认证组网图

3.配置步骤

(1)配置各接口的IP地址(略)(2)配置本地用户

# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpa。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)system-view

[Device] local-user localuser cla network [Device-luser-network-localuser] paword simple localpa # 配置本地用户的服务类型为lan-acce。

[Device-luser-network-localuser] service-type lan-acce [Device-luser-network-localuser] quit(3)配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。[Device] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] primary authentication 10.1.1.1 [Device-radius-radius1] primary accounting 10.1.1.1 # 配置备份认证/计费RADIUS服务器的IP地址。

[Device-radius-radius1] secondary authentication 10.1.1.2 [Device-radius-radius1] secondary accounting 10.1.1.2 # 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。[Device-radius-radius1] key authentication simple name [Device-radius-radius1] key accounting simple money # 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-radius1] user-name-format without-domain [Device-radius-radius1] quit(4)配置ISP域

# 创建域bbb并进入其视图。[Device] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。[Device-isp-bbb] authentication lan-acce radius-scheme radius1 local [Device-isp-bbb] authorization lan-acce radius-scheme radius1 local [Device-isp-bbb] accounting lan-acce radius-scheme radius1 local [Device-isp-bbb] quit(5)配置802.1X # 开启端口GigabitEthernet2/0/1的802.1X。[Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] dot1x # 配置端口的802.1X接入控制方式为mac-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。[Device-GigabitEthernet2/0/1] dot1x port-method macbased # 指定端口上接入的802.1X用户使用强制认证域bbb。

[Device-GigabitEthernet2/0/1] dot1x mandatory-domain bbb [Device-GigabitEthernet2/0/1] quit # 开启全局802.1X。[Device] dot1x

4.验证配置

使用命令display dot1x interface可以查看端口GigabitEthernet2/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。

1.11.2 802.1X支持Guest VLAN、授权VLAN下发配置举例

1.组网需求

如图1-13所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器。Host接入Device的端口GigabitEthernet2/0/2在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN 10内;Device连接Internet网络的端口GigabitEthernet2/0/3在VLAN 5内。现有如下组网需求:

 在接口上配置完Guest VLAN,则立即将该端口GigabitEthernet2/0/2加入Guest VLAN(VLAN 10)中,此时Host和Update Server都在VLAN 10内,Host可以访问Update Server并下载802.1X客户端。

 用户认证成功上线后,认证服务器下发VLAN 5,此时Host和连接Internet网络的端口GigabitEthernet2/0/3都在VLAN 5内,Host可以访问Internet。

2.组网图

图1-13 Guest VLAN及VLAN下发组网图

3.配置步骤

 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

 保证接入端口加入Guest VLAN或授权VLAN之后,802.1X客户端能够及时更新IP地址,以实现与相应网络资源的互通。

 完成RADIUS服务器的配置,添加用户帐户,指定要授权下发的VLAN(本例中为VLAN 5),并保证用户的认证/授权/计费功能正常运行。

(1)创建VLAN并将端口加入对应VLAN system-view [Device] vlan 1 [Device-vlan1] port gigabitethernet 2/0/2 [Device-vlan1] quit [Device] vlan 10 [Device-vlan10] port gigabitethernet 2/0/1 [Device-vlan10] quit [Device] vlan 2 [Device-vlan2] port gigabitethernet 2/0/4 [Device-vlan2] quit [Device] vlan 5 [Device-vlan5] port gigabitethernet 2/0/3 [Device-vlan5] quit(2)配置RADIUS方案

# 创建RADIUS方案2000并进入其视图。[Device] radius scheme 2000

# 配置主认证/计费RADIUS服务器及其共享密钥。

[Device-radius-2000] primary authentication 10.11.1.1 1812 [Device-radius-2000] primary accounting 10.11.1.1 1813 [Device-radius-2000] key authentication simple abc [Device-radius-2000] key accounting simple abc # 配置发送给RADIUS服务器的用户名不携带域名。

[Device-radius-2000] user-name-format without-domain [Device-radius-2000] quit(3)配置ISP域

# 创建域bbb并进入其视图。[Device] domain bbb

# 配置802.1X用户使用RADIUS方案2000进行认证、授权、计费。[Device-isp-bbb] authentication lan-acce radius-scheme 2000 [Device-isp-bbb] authorization lan-acce radius-scheme 2000 [Device-isp-bbb] accounting lan-acce radius-scheme 2000 [Device-isp-bbb] quit(4)配置802.1X

# 开启端口GigabitEthernet2/0/2的802.1X。[Device] interface gigabitethernet 2/0/2 [Device-GigabitEthernet2/0/2] dot1x # 配置端口的802.1X接入控制的方式为portbased。

[Device-GigabitEthernet2/0/2] dot1x port-method portbased

# 配置端口的802.1X授权状态为auto。(此配置可选,端口的授权状态缺省为auto)[Device-GigabitEthernet2/0/2] dot1x port-control auto # 配置端口的 802.1X Guest VLAN为VLAN10。[Device-GigabitEthernet2/0/2] dot1x guest-vlan 10 [Device-GigabitEthernet2/0/2] quit # 开启全局802.1X。[Device] dot1x

4.验证配置结果

可以通过命令display dot1x interface查看端口GigabitEthernet2/0/2上Guest VLAN的配置情况。

在接口上配置完Guest VLAN,则该端口会被立即加入其所属的Guest VLAN,通过命令display vlan 10可以查看到端口GigabitEthernet1/0/2加入了配置的Guest VLAN(VLAN 10)。

在用户认证成功之后,通过命令display interface可以看到用户接入的端口GigabitEthernet2/0/2加入了认证服务器下发的VLAN 5中。

1.11.4 802.1X支持EAD快速部署典型配置举例(DHCP中继组网)

1.组网需求

某公司用户主机通过Device接入Internet,并通过DHCP服务器动态获取IP地址。目前,公司部署EAD解决方案,要求所有用户主机通过802.1X认证上网,因此需要所有主机上安装配套的802.1X客户端。由于网络中的用户主机数量较大,为减轻网络管理员安装以及升级802.1X客户端的工作量,在192.168.2.0/24网段部署一台Web服务器专门提供客户端软件下载。具体要求如下:

 未进行802.1X认证或者802.1X认证失败的用户,只能访问192.168.2.0/24网段,并可通过该网段内的DHCP服务器动态获取192.168.1.0/24网段的IP地址。

 未进行802.1X认证或者802.1X认证失败的用户通过浏览器访问非192.168.2.0/24网段的外部网络时,用户访问的页面均会被Device重定向至管理员预设的Web服务器页面,该Web服务器页面将提示用户进行802.1X客户端的下载。

 用户成功通过802.1X认证之后,可正常访问网络。

2.组网图

图1-15 802.1X支持EAD快速部署典型配置组网图

3.配置步骤

 完成DHCP服务器的配置,保证用户可成功获取192.168.1.0/24网段的IP地址。

 完成Web服务器的配置,保证用户可成功登录预置的Web页面进行802.1X客户端的下载。 完成认证服务器的配置,保证用户的认证/授权/计费功能正常运行。

(1)配置各接口的IP地址(略)(2)配置DHCP中继 # 使能DHCP服务。system-view [Device] dhcp enable # 配置接口Vlan-interface2工作在DHCP中继模式。[Device] interface vlan-interface 2 [Device-Vlan-interface2] dhcp select relay # 配置接口Vlan-interface2对应DHCP服务器组1。

[Device-Vlan-interface2] dhcp relay server-addre 192.168.2.2 [Device-Vlan-interface2] quit(3)配置RADIUS方案和ISP域 # 配置RADIUS方案。[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812 [Device-radius-2000] primary accounting 10.1.1.2 1813 [Device-radius-2000] key authentication simple abc [Device-radius-2000] key accounting simple abc [Device-radius-2000] user-name-format without-domain [Device-radius-2000] quit # 配置ISP域的AAA方法。[Device] domain bbb

[Device-isp-bbb] authentication lan-acce radius-scheme 2000 [Device-isp-bbb] authorization lan-acce radius-scheme 2000 [Device-isp-bbb] accounting lan-acce radius-scheme 2000 [Device-isp-bbb] quit(4)配置802.1X # 配置Free IP。

[Device] dot1x ead-aistant free-ip 192.168.2.0 24 # 配置IE访问的重定向URL。

[Device] dot1x ead-aistant url http://192.168.2.3 # 全局使能EAD快速部署功能。[Device] dot1x ead-aistant enable # 开启全局802.1X。[Device] dot1x

# 开启端口GigabitEthernet2/0/1的802.1X。[Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] dot1x

《802.1X典型配置举例.docx》
将本文的Word文档下载,方便收藏和打印
推荐度:
802.1X典型配置举例
点击下载文档
相关专题 05irf典型配置举例 典型 05irf典型配置举例 典型
[其他范文]相关推荐
    [其他范文]热门文章
      下载全文
      刀豆文库手机版