• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

02-典型配置舉例

目錄

23-H3C MSR係列路由器 802.1X結合Radius服務器典型配置舉例

本章節下載 23-H3C MSR係列路由器 802.1X結合Radius服務器典型配置舉例  (370.77 KB)

23-H3C MSR係列路由器 802.1X結合Radius服務器典型配置舉例

H3C MSR係列路由器

802.1X結合RADIUS服務器配置舉例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 bobty下载软件 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。

除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。

本文檔中的信息可能變動,恕不另行通知。



1  簡介

本文檔介紹MSR係列路由器802.1X通過RADIUS服務器進行身份認證對用戶實施接入控製的典型配置舉例。

2  配置前提

本文檔適用於使用Comware V7軟件版本的MSR係列路由器,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解AAA和802.1X特性。

3  配置舉例

3.1  組網需求

圖1所示,用戶通過Router的端口GigabitEthernet1/0/1接入網絡,iMC作為RADIUS認證服務器,要求通過RADIUS服務器對該端口接入的用戶進行802.1X認證以控製其訪問Internet。具體要求如下:

·     Router向RADIUS服務器發送的用戶名不攜帶域名;

·     Host用戶認證使用的用戶名為localuser;

·     在Router上配置本地認證作為備份認證方式,當RADIUS服務器無響應時,采用本地認證;

·     配置基於端口的接入控製方式,並采用強製認證域bbb認證802.1X用戶。

圖1 通過RADIUS服務器對用戶進行802.1X認證配置組網圖

 

3.2  使用版本

本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。

3.3  配置注意事項

·     本例僅在安裝了二層交換卡和有固定二層接口的設備上才能實現。

·     Router和RADIUS服務器的參數(如共享密鑰、認證與計費端口號等)配置要一致。

3.4  配置步驟

3.4.1  配置RADIUS服務器

1. 增加接入設備。

登錄進入iMC管理平台,選擇“用戶”頁簽,單擊左側導航樹中的“接入策略管理 > 接入設備管理 > 接入設備配置”菜單項,進入“接入設備配置”頁麵;在該頁麵中單擊“增加”按鈕,進入“增加接入設備”頁麵。

(1)     設置認證端口和計費端口分別為“1812”和“1813”;

(2)     選擇接入設備類型為“H3C(General)”;

(3)     設置與Device交互報文時的共享密鑰為“name”,並確認該共享密鑰;

(4)     選擇或手工增加接入設備,添加IP地址為192.168.100.2的接入設備。

(5)     其它參數采用缺省值,單擊<確定>按鈕完成操作。

圖2 增加接入設備

 

2. 增加服務配置。

選擇“用戶”頁簽,單擊導航樹中的“接入策略管理 > 接入服務管理”菜單項,進入“接入服務管理”頁麵,在該頁麵中單擊“增加”按鈕,進入“增加接入服務”頁麵。

(1)     輸入服務名“dot1x auth”;

(2)     其它參數采用缺省值,並單擊<確定>按鈕完成操作。

圖3 增加服務配置

 

3. 增加接入用戶。

選擇“用戶”頁簽,單擊導航樹中的“接入用戶管理 > 接入用戶”菜單項,進入“接入用戶”列表頁麵,在該頁麵中單擊<增加>按鈕,進入“增加接入用戶”頁麵。

(1)     點擊<增加用戶>按鈕,把接入用戶關聯到平台用戶上。本例假設關聯到平台用戶test上;

(2)     輸入賬號名“localuser”和密碼“localpass”;

(3)     在接入服務處選擇“dot1x auth”;

(4)     單擊<確定>按鈕完成操作。

圖4 增加接入用戶

 

3.4.2  Router的配置

# 配置虛接口Vlan-interface1的IP地址。

[Router] interface vlan-interface 1

[Router-Vlan-interface1] ip address 192.168.200.1 255.255.255.0

[Router-Vlan-interface1] quit

# 配置接口GigabitEthernet1/0/2的IP地址。

[Router] interface gigabitethernet 1/0/2

[Router-GigabitEthernet1/0/2] ip address 192.168.100.2 255.255.255.0

[Router-GigabitEthernet1/0/2] quit

# 配置本地接入類用戶localuser和密碼。

[Router] local-user localuser class network

[Router-luser-network-localuser] password simple localpass

[Router-luser-network-localuser] service-type lan-access

[Router-luser-network-localuser] quit

# 創建RADIUS方案radius1。

[Router] radius scheme radius1

# 配置主認證RADIUS服務器的IP地址為192.168.100.250,端口號為1812,密碼為name。

[Router-radius-radius1] primary authentication 192.168.100.250 1812 key simple name

# 配置主計費RADIUS服務器的IP地址為192.168.100.250,端口號為1813,密碼為name。

[Router-radius-radius1] primary accounting 192.168.100.250 1813 key simple name

# 配置發送給RADIUS服務器的用戶名不攜帶域名。

[Router-radius-radius1] user-name-format without-domain

[Router-radius-radius1] quit

# 配置ISP域。

[Router] domain bbb

[Router-isp-bbb] authentication lan-access radius-scheme radius1 local

[Router-isp-bbb] authorization lan-access radius-scheme radius1 local

[Router-isp-bbb] accounting lan-access radius-scheme radius1 local

[Router-isp-bbb] quit

# 配置端口GigabitEthernet1/0/1的802.1X功能。

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] dot1x

# 配置基於端口的接入控製方式(默認為基於MAC地址),並采用強製認證域bbb認證802.1X用戶。

[Router-GigabitEthernet1/0/1] dot1x port-method portbased

[Router-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

[Router-GigabitEthernet1/0/1] quit

# 開啟全局802.1X。

<Router> system-view

[Router] dot1x

3.5  驗證配置

# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情況。

[Router] display dot1x interface gigabitethernet 1/0/1

Global 802.1X parameters:

   802.1X authentication      : Enabled

   CHAP authentication        : Enabled

   Max-tx period              : 30 s

   Handshake period           : 15 s

   Quiet timer                : Disabled

       Quiet period           : 60 s

   Supp timeout               : 30 s

   Server timeout             : 100 s

   Reauth period              : 3600 s

   Max auth requests          : 2

   SmartOn supp timeout       : 30 s

   SmartOn retry counts       : 3

   EAD assistant function     : Disabled

       EAD timeout            : 30 min

   Domain delimiter           : @

 Online 802.1X wired users    : 0

 Online 802.1X wireless users : 0

 

 GigabitEthernet1/0/1  is link-up

   802.1X authentication      : Enabled

   Handshake                  : Enabled

   Handshake reply            : Disabled

   Handshake security         : Disabled

   Unicast trigger            : Disabled

   Periodic reauth            : Disabled

   Port role                  : Authenticator

   Authorization mode         : Auto

   Port access control        : Port-based

   Multicast trigger          : Enabled

   Mandatory auth domain      : bbb

   Guest VLAN                 : Not configured

   Auth-Fail VLAN             : Not configured

   Critical VLAN              : Not configured

   Critical voice VLAN        : Disabled

   Re-auth server-unreachable : Logoff

   Max online users           : 4294967295

   SmartOn                    : Disabled

 

   EAPOL packets: Tx 39, Rx 2

   Sent EAP Request/Identity packets : 39

        EAP Request/Challenge packets: 0

        EAP Success packets: 0

        EAP Failure packets: 0

        EAP Notification packets: 0

   Received EAPOL Start packets : 1

            EAPOL LogOff packets: 1

            EAP Response/Identity packets : 0

            EAP Response/Challenge packets: 0

            Error packets: 0

   Online 802.1X users: 0

# 當802.1X用戶輸入正確的用戶名和密碼成功上線後,可使用命令display dot1x sessions查看到上線用戶的連接情況。

# 斷開與RADIUS服務器的連接後,用戶重新輸入用戶名和密碼進行802.1X認證可以成功上線。

3.6  配置文件

#

 dot1x

#

interface Vlan-interface1

 ip address 192.168.200.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 dot1x mandatory-domain bbb

 dot1x port-method portbased

dot1x

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 192.168.100.2 255.255.255.0

#

radius scheme radius1

 primary authentication 192.168.100.250 key cipher $c$3$Ua8m/JVT48sS4hXncslGCkRa

VEbAbk

primary accounting 192.168.100.250 key cipher $c$3$x0HaZfI2XD6iXBE5E/zTEgEopD8C

eyI=

 user-name-format without-domain

#

domain bbb

 authentication lan-access radius-scheme radius1 local

 authorization lan-access radius-scheme radius1 local

accounting lan-access radius-scheme radius1 local

#

local-user localuser class network

 password cipher $c$3$TFxtbGxKPAxP3LUXfHeUuky7uuaBi9jAmoCnWA==

 service-type lan-access

 authorization-attribute user-role network-operator

#

4  相關資料

·     《H3C MSR 係列路由器 配置指導(V7)》中的“安全配置指導”

·     《H3C MSR 係列路由器 命令參考(V7)》中的“安全命令參考”

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們