802.1X典型配置举例

1、1.11  802.1X典型配置举例1.11.1  802.1X认证配置举例1. 组网需求用户通过Device的端口GigabitEthernet2/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：·     由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。·    

2、0;端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。·     认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。·     所有接入用户都属于同一个ISP域bbb。·     Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。2. 组网图图

3、1-12 802.1X认证组网图 3. 配置步骤(1)     配置各接口的IP地址（略）(2)     配置本地用户# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）<Device> system-viewDevice local-user localuser class networkDevice-

4、luser-network-localuser password simple localpass# 配置本地用户的服务类型为lan-access。Device-luser-network-localuser service-type lan-accessDevice-luser-network-localuser quit(3)     配置RADIUS方案# 创建RADIUS方案radius1并进入其视图。Device radius scheme radius1# 配置主认证/计费RADIUS服务器的IP地址。Device-radius-r

5、adius1 primary authentication 10.1.1.1Device-radius-radius1 primary accounting 10.1.1.1# 配置备份认证/计费RADIUS服务器的IP地址。Device-radius-radius1 secondary authentication 10.1.1.2Device-radius-radius1 secondary accounting 10.1.1.2# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。Device-radius-radius1 key authentication simp

6、le nameDevice-radius-radius1 key accounting simple money# 配置发送给RADIUS服务器的用户名不携带域名。Device-radius-radius1 user-name-format without-domainDevice-radius-radius1 quit(4)     配置ISP域# 创建域bbb并进入其视图。Device domain bbb# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费，并采用local作为备选方法。Device-isp-bb

7、b authentication lan-access radius-scheme radius1 localDevice-isp-bbb authorization lan-access radius-scheme radius1 localDevice-isp-bbb accounting lan-access radius-scheme radius1 localDevice-isp-bbb quit(5)     配置802.1X# 开启端口GigabitEthernet2/0/1的802.1X。Device interface gig

8、abitethernet 2/0/1Device-GigabitEthernet2/0/1 dot1x# 配置端口的802.1X接入控制方式为mac-based（该配置可选，因为端口的接入控制在缺省情况下就是基于MAC地址的）。Device-GigabitEthernet2/0/1 dot1x port-method macbased# 指定端口上接入的802.1X用户使用强制认证域bbb。Device-GigabitEthernet2/0/1 dot1x mandatory-domain bbbDevice-GigabitEthernet2/0/1 quit# 开启全局802.1X。Devi

9、ce dot1x4. 验证配置使用命令display dot1x interface可以查看端口GigabitEthernet2/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后，可使用命令display dot1x connection查看到上线用户的连接情况。1.11.2  802.1X支持Guest VLAN、授权VLAN下发配置举例1. 组网需求如图1-13所示，一台主机通过802.1X认证接入网络，认证服务器为RADIUS服务器。Host接入Device的端口GigabitEthernet2/0/2在VLAN 1内；认证服务器在VLAN

10、2内；Update Server是用于客户端软件下载和升级的服务器，在VLAN 10内；Device连接Internet网络的端口GigabitEthernet2/0/3在VLAN 5内。现有如下组网需求：·     在接口上配置完Guest VLAN，则立即将该端口GigabitEthernet2/0/2加入Guest VLAN（VLAN 10）中，此时Host和Update Server都在VLAN 10内，Host可以访问Update Server并下载802.1X客户端。·   

11、0; 用户认证成功上线后，认证服务器下发VLAN 5，此时Host和连接Internet网络的端口GigabitEthernet2/0/3都在VLAN 5内，Host可以访问Internet。2. 组网图图1-13 Guest VLAN及VLAN下发组网图 3. 配置步骤·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令，关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。·     保证接入端口加入Guest VLAN或授权V

12、LAN之后，802.1X客户端能够及时更新IP地址，以实现与相应网络资源的互通。·     完成RADIUS服务器的配置，添加用户帐户，指定要授权下发的VLAN（本例中为VLAN 5），并保证用户的认证/授权/计费功能正常运行。 (1)     创建VLAN并将端口加入对应VLAN<Device> system-viewDevice vlan 1Device-vlan1 port gigabitethernet 2/0/2Device-vlan1 quitDevi

13、ce vlan 10Device-vlan10 port gigabitethernet 2/0/1Device-vlan10 quitDevice vlan 2Device-vlan2 port gigabitethernet 2/0/4Device-vlan2 quitDevice vlan 5Device-vlan5 port gigabitethernet 2/0/3Device-vlan5 quit(2)     配置RADIUS方案# 创建RADIUS方案2000并进入其视图。Device radius scheme 2000# 配

14、置主认证/计费RADIUS服务器及其共享密钥。Device-radius-2000 primary authentication 10.11.1.1 1812Device-radius-2000 primary accounting 10.11.1.1 1813Device-radius-2000 key authentication simple abcDevice-radius-2000 key accounting simple abc# 配置发送给RADIUS服务器的用户名不携带域名。Device-radius-2000 user-name-format without-domainD

15、evice-radius-2000 quit(3)     配置ISP域# 创建域bbb并进入其视图。Device domain bbb# 配置802.1X用户使用RADIUS方案2000进行认证、授权、计费。Device-isp-bbb authentication lan-access radius-scheme 2000Device-isp-bbb authorization lan-access radius-scheme 2000Device-isp-bbb accounting lan-access radius-scheme 20

16、00Device-isp-bbb quit(4)     配置802.1X# 开启端口GigabitEthernet2/0/2的802.1X。Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 dot1x# 配置端口的802.1X接入控制的方式为portbased。Device-GigabitEthernet2/0/2 dot1x port-method portbased# 配置端口的802.1X授权状态为auto。（此配置可选，端口的授权状态缺省为auto）De

17、vice-GigabitEthernet2/0/2 dot1x port-control auto# 配置端口的 802.1X Guest VLAN为VLAN10。Device-GigabitEthernet2/0/2 dot1x guest-vlan 10Device-GigabitEthernet2/0/2 quit# 开启全局802.1X。Device dot1x4. 验证配置结果可以通过命令display dot1x interface查看端口GigabitEthernet2/0/2上Guest VLAN的配置情况。在接口上配置完Guest VLAN，则该端口会被立即加入其所属的Gue

18、st VLAN，通过命令display vlan 10可以查看到端口GigabitEthernet1/0/2加入了配置的Guest VLAN（VLAN 10）。在用户认证成功之后，通过命令display interface可以看到用户接入的端口GigabitEthernet2/0/2加入了认证服务器下发的VLAN 5中。1.11.4  802.1X支持EAD快速部署典型配置举例（DHCP中继组网）1. 组网需求某公司用户主机通过Device接入Internet，并通过DHCP服务器动态获取IP地址。目前，公司部署EAD解决方案，要求所有用户主机通过802.1X认证上网，因此需要所有主

19、机上安装配套的802.1X客户端。由于网络中的用户主机数量较大，为减轻网络管理员安装以及升级802.1X客户端的工作量，在192.168.2.0/24网段部署一台Web服务器专门提供客户端软件下载。具体要求如下：·     未进行802.1X认证或者802.1X认证失败的用户，只能访问192.168.2.0/24网段，并可通过该网段内的DHCP服务器动态获取192.168.1.0/24网段的IP地址。·     未进行802.1X认证或者802.1X认证失败的用户通过浏览器访

20、问非192.168.2.0/24网段的外部网络时，用户访问的页面均会被Device重定向至管理员预设的Web服务器页面，该Web服务器页面将提示用户进行802.1X客户端的下载。·     用户成功通过802.1X认证之后，可正常访问网络。2. 组网图图1-15 802.1X支持EAD快速部署典型配置组网图 3. 配置步骤·     完成DHCP服务器的配置，保证用户可成功获取192.168.1.0/24网段的IP地址。·   

21、;  完成Web服务器的配置，保证用户可成功登录预置的Web页面进行802.1X客户端的下载。·     完成认证服务器的配置，保证用户的认证/授权/计费功能正常运行。 (1)     配置各接口的IP地址（略）(2)     配置DHCP中继# 使能DHCP服务。<Device> system-viewDevice dhcp enable# 配置接口Vlan-interface2工作在DHCP

22、中继模式。Device interface vlan-interface 2Device-Vlan-interface2 dhcp select relay# 配置接口Vlan-interface2对应DHCP服务器组1。Device-Vlan-interface2 dhcp relay server-address 192.168.2.2Device-Vlan-interface2 quit(3)     配置RADIUS方案和ISP域# 配置RADIUS方案。Device radius scheme 2000Device-radius-2000 primary authentication 10.1.1.1 1812Device-radius-2000 primary accounting 10.1