H3C用户入网配置(radius、domain、802.1x)
文章目录
- 0 介绍
- 1. 创建radius方案
- 2. 创建ISP域
- 3. 配置全局802.1x认证和全局MAC认证
- 4. 配置端口802.1x认证和端口MAC认证
0 介绍
配置入网:客户通过用户名密码提交登录,接入交换机将用户名密码和mac地址提交给radius服务器通过AAA进行认证,向交换机返回确认信息,交换机向DHCP服务器申请ip地址,将该端口从vlan1添加到相应vlan中。
相关概念:
Radius 远程接入验证服务器,也就是认证用的
AAA 就是Radius服务器实现的功能:验证,计费和授权
AAA 就是验证,计费和授权功能 ,一般指向 Radius服务器,由Radius服务器实现,也就是说radius服务器通过AAA协议进行认证、计费授权。
802.1x最早期是用在无线网络的验证协议,现在好多校园网都使用这种验证方式,是AAA的一种技术,包含于AAA。802.1x不同于AAA,要么配置成不启用,要么配置成启用,设置后,可以根据终端(可安装管理客户端)的情况,动态将其所在的端口启用或禁用或分配到不同的vlan,是交换机与客户端之间的认证协议。而AAA是服务器端的应用的协议
dot1x是802.1x的缩写,没有区别。
端口有mac认证或者用户名密码的认证,一些哑终端(摄像头)需要MAC认证,此处试验端口同时配置了802.1x和mac认证。
**交换就版本:**H3C s5130 V7
[test]dis version
H3C Comware Software, Version 7.1.070, Release 6126P20
Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.
H3C S5130S-28P-EI uptime is 0 weeks, 2 days, 3 hours, 23 minutes
Last reboot reason : User rebootBoot image: flash:/s5130s_ei-cmw710-boot-r6126p20.bin
Boot image version: 7.1.070, Release 6126P20Compiled Apr 03 2018 11:00:00
System image: flash:/s5130s_ei-cmw710-system-r6126p20.bin
System image version: 7.1.070, Release 6126P20Compiled Apr 03 2018 11:00:00
1. 创建radius方案
创建radius方案
# 创建radius方案rd
[test]radius scheme rd
# 设置radius认证服务器地址(主)
# 设置radius审计服务器地址(主)
# 设置radius认证服务器地址(备)
# 设置radius审计服务器地址(备)
[test-radius-rd]primary authentication 10.14.71.28
[test-radius-rd]primary accounting 10.14.71.28
[test-radius-rd]secondary authentication 10.18.14.16
[test-radius-rd]secondary accounting 10.18.14.16
# 设置交换机与radius认证服务器的通信密码
# 设置交换机与radius审计服务器的通信密码
[test-radius-rd]key authentication simple 123456
[test-radius-rd]key accounting simple 123456
# 交换机发送给radius服务器的用户名验证不带ISP域
[test-radius-rd]user-name-format without-domain
# 实时计费的时间间隔
[test-radius-rd]timer realtime-accounting 30
2. 创建ISP域
# 创建test.com ISP域
# 缺省ISP域,所有登录时没有提供ISP域名的用户都属于这个域
[test]domain test.com
[test-isp-test.com]exit
[test]domain default enable test.com
# 进入test.com域
# 这个域中的所有lan-access用户通过radius方案sgcc进行认证
# 这个域中的所有lan-access用户通过radius方案sgcc进行审计
[test]domai test.com
[test-isp-test.com]authentication lan-access radius-scheme sgcc
[test-isp-test.com]authorization lan-access radius-scheme sgcc
一些默认配置,或者V3/V5中的配置
access-limit disable # 关闭允许介入设备的最大数
idle-cut disable # 关闭ISP域用户空闲产生的流量过小时会被强制下线
state active # 指定当前ISP域活动状态,缺省就是开启的
3. 配置全局802.1x认证和全局MAC认证
dot1x 全局配置,进入接口配置,如果没有全局配置,则接口配置不生效
全局开启802.1x认证
# 开启全局802.1x
# 设置认证方式为EAP
[test]dot1x
[test]dot1x authentication-method eap
# 以下是一些属性配置,可以查文档,大部分为一些时间设置
[test]dot1x timer quiet-period 10
[test]dot1x timer tx-period 60
[test]dot1x timer supp-timeout 120
[test]dot1x timer handshake-period 60
[test]dot1x timer reauth-period 7000
[test]dot1x retry 3
[test]dis dot1x
开启全局MAC认证
[test]mac-authentication # 开启全局mac地址认证
[test]mac-authentication domain test.com #ISP域用户也使用mac认证的方式
4. 配置端口802.1x认证和端口MAC认证
# 设置成access,缺省也是access,可以不打这个命令
[test-GigabitEthernet1/0/2]port link-type access
# 开启端口的dot1x
# 开启dot1x单播功能
# 开启端口802.1x重新认证,设备根据dot1x timeer reauth-period设定的时间对端口用户定期认证
# 关闭握手功能,防止设备定期检测端口用户状态,防止不适用就断网
# 关闭组播功能
[test-GigabitEthernet1/0/2]dot1x
[test-GigabitEthernet1/0/2]dot1x unicast-trigger
[test-GigabitEthernet1/0/2]dot1x re-authenticate
[test-GigabitEthernet1/0/2]undo dot1x handshake
[test-GigabitEthernet1/0/2]undo dot1x multicast-trigger
# 开启端口的mac认证方式
[test-GigabitEthernet1/0/2]mac-authentication
# 绑定ip与mac地址,mac地址只能用固定的ip,而且被绑定在该端口,后续网线不在该端口则无法分配ip地址,所以一般不会配置此命令
#[test-GigabitEthernet1/0/2]ip verify source ip-address mac-address
H3C用户入网配置(radius、domain、802.1x)相关推荐
- 【实验】配置802.1x远端认证
拓扑图 规格 适用于所有版本.所有形态的AR路由器. 组网需求 PC通过Router访问网络.为了保证网络的安全性,要求在用户接入网络时进行802.1x认证.认证服务器为两台Radius服务器,IP为 ...
- 华为交换机802.1X配置
1 功能需求及组网说明 『配置环境参数』 1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/24 2. 交换机vlan20包含端 ...
- Radius+无线控制器+深信服行为管理 部署无线802.1X认证
Windows Server - 建设篇 第三章 Radius+深信服行为管理+无线控制器 部署无线802.1X认证 Windows Server - 建设篇 系列文章回顾 下章内容 前言 实现原理 ...
- 802.1X基本配置
基本的802.1X部署工作包括以下4步: 1. 为Cisco Catalyst交换机配置802.1X认证方 2. 为交换机配置访客VLAN或者受限VLAN,并调整802.1X定时器(可 ...
- 华为无线WiFi配置802.1x认证
一.拓扑: 二.简介: 本篇主要介绍华为交换机设备配合Windows server 2019配置的802.1x+NPS协同做的有线网络认证(可跟做).现有的华为6605无线AC配置:认证模板.radi ...
- AAA、RADIUS、TACACS+、HWTACACS、802.1X
一.前言 在介绍AAA之前,先举一个生活的例子: 一天,某个人来到一个公司的门岗,他想进入这家公司,门岗在查验此人的身份之前,不允许他进入公司.门岗通过后台系统,查询此人的身份,有以下几种情况: 1. ...
- 802.1X技术介绍
802.1X IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议.后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内 ...
- 华为设备802.1X认证(认证点在汇聚层交换机)
1.配置网络互通 (1)配置终端IP地址 (2)创建WLAN并允许通过vlan,保证网络畅通 [LSW1]vlan batch 11 12 [LSW1-Vlanif11]ip add 10.1.11. ...
- 【网络安全】802.1X技术基础
1 前言 802.1X作为一种基于端口的用户访问控制安全机制,因其低成本.良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准以来便迅速受到了设备制造商 ...
- android 802.1x 认证,802.1X认证基础
802.1X认证基础 802.1X认证简介 定义 802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)."基 ...
最新文章
- Linux多线程的同步-----信号量和互斥锁
- STL——内存基本处理工具
- OSError:[Errno 13] Permission denied:'my_library' 问题解决方法
- abap中的弹出窗体函数
- jQuery中操作元素节点appendTo()与prependTo()的区别
- 登录网页后要弹出一个新标签_连永久链接都不会,还做什么新媒体?
- sqldeveloper的查看执行计划快捷键F10
- [剑指offer]面试题第[42]题[Leedcode][JAVA][第53题][最大子序和][动态规划][贪心][分治]
- (BFS)Knight Moves(hdu1372)
- MVC3 EntityFramework 插入Mysql数据库 乱码问题
- 计算机录像怎么操作,电脑屏幕录制怎么操作?
- 【SonicUI】 VS2008 SP1 编译错误处理。
- Excel怎么快速对比两个工作表的异同
- 编译安装Vue-devtools
- 提升睡眠质量的助眠好物,拥有这些,不再担忧睡眠质量
- 正则表达式语法及常用实例
- 服务器连接数据库mysql
- 探寻江南虞山之美 尽享与观致7的一场约会
- 暴力递归到动态规划 02 (绝顶聪明的人的纸牌游戏)
- 我的Android前生今世之缘-学习经验-安卓入门教程(六)