华为S3526E交换机802.1X认证配置.doc

1功能需求及组网说明配置环境参数1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUSserver地址为192.168.0.100/245.本例中交换机为三层交换机组网需求1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤802.1X本地认证流程用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。【S3526E相关配置】1.创建（进入）vlan10S3526Evlan102.将E0/1-E0/10加入到vlan10S3526E-vlan10portEthernet0/1toEthernet0/103.创建（进入）vlan10的虚接口S3526EinterfaceVlan-interface104.给vlan10的虚接口配置IP地址S3526E-Vlan-interface10ipaddress10.10.1.1255.255.255.05.创建（进入）vlan20S3526E-vlan10vlan206.将E0/11-E0/20加入到vlan20S3526E-vlan20portEthernet0/11toEthernet0/207.创建（进入）vlan20虚接口S3526EinterfaceVlan-interface208.给vlan20虚接口配置IP地址S3526E-Vlan-interface20ipaddress10.10.2.1255.255.255.09.创建（进入）vlan100S3526Evlan10010.将G1/1加入到vlan100S3526E-vlan100portGigabitEthernet1/111.创建进入vlan100虚接口S3526EinterfaceVlan-interface10012.给vlan100虚接口配置IP地址S3526E-Vlan-interface100ipaddress192.168.0.1255.255.255.0【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式S3526Edot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1xinterface后面不加具体的端口，就是指所有的端口都开启802.1XS3526Edot1xinterfaceeth0/1toeth0/103.这里采用缺省域system，并且缺省域引用缺省radius方案system。S3526Elocal-usertest4.设置该用户密码（明文）S3526E-user-testpasswordsimpletest5.设置该用户接入类型为802.1XS3526E-user-testservice-typelan-access6.激活该用户S3526E-user-teststateactive【802.1X本地认证自建域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式S3526Edot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1xinterface后面不加具体的端口，就是指所有的端口都开启802.1XS3526Edot1xinterfaceeth0/1toeth0/103.设置认证方式为radiusS3526Eradiusschemeradius14.设置主认证服务器为本地，端口号1645S3526E-radius-radius1primaryauthentication127.0.0.116455.设置主计费服务器为本地，端口号1646S3526E-radius-radius1primaryaccounting127.0.0.116466.这里本地用户认证采用自建域huaweiS3526EdomainHuawei7.在域中引用认证方案radius1S3526E-isp-huaweiradius-schemeradius18.设置本地用户名testhuaweiS3526Elocal-usertesthuawei9.设置用户密码（明文）S3526E-user-testhuaweipasswordsimpletest10.设置用户接入类型为802.1XS3526E-user-testhuaweiservice-typelan-access11.激活该用户S3526E-user-testhuaweistateactive802.1XRADIUS认证流程用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果该域配置了radius认证方式，那么交换机就把该报文转为radius报文送给相应的认证和计费服务器，认证和计费服务器如果存在相应的用户名和密码，就返回认证成功消息给交换机，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息给交换机，端口仍然为非授权状态。【802.1XRADIUS认证相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的方式S3526Edot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1xinterface后面不加具体的端口，就是指所有的端口都开启802.1XS3526Edot1xinterfaceeth0/1toeth0/103.设置认证方式为radius，radius认证不成功取本地认证S3526Eradiusschemeradius14.设置主认证服务器S3526E-radius-radius1primaryauthentication192.168.0.1005.设置主计费服务器S3526E-radius-radius1primaryaccounting192.168.0.1006.设置交换机与认证服务器的密钥，二者应保持一致S3526E-radius-radius1keyauthenticationtest7.设置交换机与计费服务器的密钥，二者应保持一致S3526E-radius-radius1keyaccountingtest8.交换机送给radius的报文不带域名S3526E-radius-radius1user-name-formatwithout-domain9.这里用户认证采用自建域huaweiS3526EdomainHuawei10.在域中引用认证方案radius1S3526E-isp-huaweiradius-schemeradius1【802.1X代理检测相关配置】l检测到用户使用代理强制用户下线S3526Edot1xsupp-proxy-checklogoffl在指定的端口上检测到用户使用代理强制用户下线S3526Edot1xsupp-proxy-checklogoffintereth0/1toeth0/10l检测到用户使用代理交换机输出trap信息S3526Edot1xsupp-proxy-checktrap上述几个配置不要求全配，可以选择任意一个或者组合使用【二层交换机作isolate-user-vlanradius认证】l由于交换机送往radius的报文要进行源地址替换，报文源地址被替换成相应的网关或者管理地址，本地认证不存在此问题l如果是三层交换机为例，配置了各个vlan的相应接口地址，由于交换机送往radius的报文要进行源地址替换，报文源地址被替换成相应的网关地址l如果是二层交换机作isolate-user-vlan，那么要求isolate-user-vlan上配置IP地址，而且保证此地址能够与radius服务器互通l如果是二层交换机开启802.1X，上行口作vlan透传，远端接radius服务器，要求二层交换机配置管理IP地址，保证此地址能够与radius服务器互通【补充说明】l一般情况下接入端用户名需要加上域，本例客户端认证的时候输入用户名时就需要加上域名；l可以在系统视图下通过命令domaindefaultenabledomain-name来指定缺省的域名，这样如果用户进行认证的时候没有输入域名，则采用缺省指定域名来进行认证和计费；l新的版本也将支持多种认证方式（PAP、CHAP、EAP-MAD5），请在系统视图下通过命令dot1xauthentication-methodxxx来配置（如果命令行没有这条命令，这说明当前版