23-H3C MSR係列路由器 802.1X結合Radius服務器典型配置舉例
本章節下載: 23-H3C MSR係列路由器 802.1X結合Radius服務器典型配置舉例 (370.77 KB)
H3C MSR係列路由器
802.1X結合RADIUS服務器配置舉例
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本文檔介紹MSR係列路由器802.1X通過RADIUS服務器進行身份認證對用戶實施接入控製的典型配置舉例。
本文檔適用於使用Comware V7軟件版本的MSR係列路由器,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解AAA和802.1X特性。
如圖1所示,用戶通過Router的端口GigabitEthernet1/0/1接入網絡,iMC作為RADIUS認證服務器,要求通過RADIUS服務器對該端口接入的用戶進行802.1X認證以控製其訪問Internet。具體要求如下:
· Router向RADIUS服務器發送的用戶名不攜帶域名;
· Host用戶認證使用的用戶名為localuser;
· 在Router上配置本地認證作為備份認證方式,當RADIUS服務器無響應時,采用本地認證;
· 配置基於端口的接入控製方式,並采用強製認證域bbb認證802.1X用戶。
圖1 通過RADIUS服務器對用戶進行802.1X認證配置組網圖
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
· 本例僅在安裝了二層交換卡和有固定二層接口的設備上才能實現。
· Router和RADIUS服務器的參數(如共享密鑰、認證與計費端口號等)配置要一致。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊左側導航樹中的“接入策略管理 > 接入設備管理 > 接入設備配置”菜單項,進入“接入設備配置”頁麵;在該頁麵中單擊“增加”按鈕,進入“增加接入設備”頁麵。
(1) 設置認證端口和計費端口分別為“1812”和“1813”;
(2) 選擇接入設備類型為“H3C(General)”;
(3) 設置與Device交互報文時的共享密鑰為“name”,並確認該共享密鑰;
(4) 選擇或手工增加接入設備,添加IP地址為192.168.100.2的接入設備。
(5) 其它參數采用缺省值,單擊<確定>按鈕完成操作。
圖2 增加接入設備
選擇“用戶”頁簽,單擊導航樹中的“接入策略管理 > 接入服務管理”菜單項,進入“接入服務管理”頁麵,在該頁麵中單擊“增加”按鈕,進入“增加接入服務”頁麵。
(1) 輸入服務名“dot1x auth”;
(2) 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖3 增加服務配置
選擇“用戶”頁簽,單擊導航樹中的“接入用戶管理 > 接入用戶”菜單項,進入“接入用戶”列表頁麵,在該頁麵中單擊<增加>按鈕,進入“增加接入用戶”頁麵。
(1) 點擊<增加用戶>按鈕,把接入用戶關聯到平台用戶上。本例假設關聯到平台用戶test上;
(2) 輸入賬號名“localuser”和密碼“localpass”;
(4) 單擊<確定>按鈕完成操作。
圖4 增加接入用戶
# 配置虛接口Vlan-interface1的IP地址。
[Router] interface vlan-interface 1
[Router-Vlan-interface1] ip address 192.168.200.1 255.255.255.0
[Router-Vlan-interface1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 192.168.100.2 255.255.255.0
[Router-GigabitEthernet1/0/2] quit
# 配置本地接入類用戶localuser和密碼。
[Router] local-user localuser class network
[Router-luser-network-localuser] password simple localpass
[Router-luser-network-localuser] service-type lan-access
[Router-luser-network-localuser] quit
# 創建RADIUS方案radius1。
[Router] radius scheme radius1
# 配置主認證RADIUS服務器的IP地址為192.168.100.250,端口號為1812,密碼為name。
[Router-radius-radius1] primary authentication 192.168.100.250 1812 key simple name
# 配置主計費RADIUS服務器的IP地址為192.168.100.250,端口號為1813,密碼為name。
[Router-radius-radius1] primary accounting 192.168.100.250 1813 key simple name
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[Router-radius-radius1] user-name-format without-domain
[Router-radius-radius1] quit
# 配置ISP域。
[Router-isp-bbb] authentication lan-access radius-scheme radius1 local
[Router-isp-bbb] authorization lan-access radius-scheme radius1 local
[Router-isp-bbb] accounting lan-access radius-scheme radius1 local
[Router-isp-bbb] quit
# 配置端口GigabitEthernet1/0/1的802.1X功能。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] dot1x
# 配置基於端口的接入控製方式(默認為基於MAC地址),並采用強製認證域bbb認證802.1X用戶。
[Router-GigabitEthernet1/0/1] dot1x port-method portbased
[Router-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
[Router-GigabitEthernet1/0/1] quit
# 開啟全局802.1X。
<Router> system-view
[Router] dot1x
# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情況。
[Router] display dot1x interface gigabitethernet 1/0/1
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 0
Online 802.1X wireless users : 0
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : Port-based
Multicast trigger : Enabled
Mandatory auth domain : bbb
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
SmartOn : Disabled
EAPOL packets: Tx 39, Rx 2
Sent EAP Request/Identity packets : 39
EAP Request/Challenge packets: 0
EAP Success packets: 0
EAP Failure packets: 0
EAP Notification packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 0
EAP Response/Challenge packets: 0
Error packets: 0
Online 802.1X users: 0
# 當802.1X用戶輸入正確的用戶名和密碼成功上線後,可使用命令display dot1x sessions查看到上線用戶的連接情況。
# 斷開與RADIUS服務器的連接後,用戶重新輸入用戶名和密碼進行802.1X認證可以成功上線。
#
dot1x
#
interface Vlan-interface1
ip address 192.168.200.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
dot1x mandatory-domain bbb
dot1x port-method portbased
dot1x
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 192.168.100.2 255.255.255.0
#
radius scheme radius1
primary authentication 192.168.100.250 key cipher $c$3$Ua8m/JVT48sS4hXncslGCkRa
VEbAbk
primary accounting 192.168.100.250 key cipher $c$3$x0HaZfI2XD6iXBE5E/zTEgEopD8C
eyI=
user-name-format without-domain
#
domain bbb
authentication lan-access radius-scheme radius1 local
authorization lan-access radius-scheme radius1 local
accounting lan-access radius-scheme radius1 local
#
local-user localuser class network
password cipher $c$3$TFxtbGxKPAxP3LUXfHeUuky7uuaBi9jAmoCnWA==
service-type lan-access
authorization-attribute user-role network-operator
#
· 《H3C MSR 係列路由器 配置指導(V7)》中的“安全配置指導”
· 《H3C MSR 係列路由器 命令參考(V7)》中的“安全命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!