35-802.1X快速配置指南
本章節下載 (361.87 KB)
802.1X快速配置指南
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本案例介紹802.1X用戶本地認證的配置方法。
如圖1-1所示,用戶通過Device的端口GigabitEthernet1/0/1接入網絡。要求:Device對從該端口接入的用戶采用基於端口的接入控製方式進行802.1X本地認證以控製其訪問Internet。
圖1-1 802.1X本地認證配置組網圖
使能全局的802.1X認證功能一般放在最後,因為當相關參數未配置完成時,會造成合法用戶無法訪問網絡。
隻有同時開啟全局和端口的802.1X特性後,802.1X的配置才能在端口上生效。
(1) 配置本地用戶
# 添加網絡接入類本地用戶,用戶名為“dot1x”,並進入該用戶視圖。
<Device> system-view
[Device] local-user dot1x class network
New local user added.
# 配置用戶“dot1x”的密碼為明文123456TESTplat&!。
[Device-luser-network-dot1x] password simple 123456TESTplat&!
# 配置本地用戶的服務類型為lan-access。
[Device-luser-network-dot1x] service-type lan-access
[Device-luser-network-dot1x] quit
(2) 配置虛接口地址,作為Host的網關
[Device] interface vlan-interface 1
[Device-Vlan-interface1] ip address 192.168.56.101 255.255.255.0
[Device-Vlan-interface1] quit
(3) 配置802.1X認證
# 開啟端口GigabitEthernet1/0/1的802.1X認證。
[Device] interface gigabitethernet1/0/1
[Device-GigabitEthernet1/0/1] dot1x
# 配置基於端口的接入控製方式
[Device-GigabitEthernet1/0/1] dot1x port-method portbased
[Device-GigabitEthernet1/0/1] quit
# 開啟全局802.1X認證。
[Device] dot1x
· 以下使用iNode PC 7.3(E0518)版本為例介紹802.1X客戶端的配置。
· 若使用Windows XP的802.1X客戶端,則需要正確設置此連接的網絡屬性:在網絡屬性的“驗證”頁簽中,確保選中“啟用此網絡的 IEEE 802.1x 驗證”,並選擇要用於此連接的EAP認證類型為“MD5-質詢”。
· 保證用戶在通過認證後,能夠及時更新客戶端IP地址與授權VLAN中的資源互通。
(1) 啟動客戶端
圖1-2 iNode客戶端界麵示意圖
(2) 新建802.1X連接
點擊<新建>按鈕,進入新建連接向導對話框。
圖1-3 新建802.1X連接示意圖
(3) 輸入用戶名和密碼
圖1-4 802.1X用戶名、密碼配置示意圖
(4) 設置連接屬性
圖1-5 802.1X連接屬性配置示意圖
由於本地認證不能對客戶端上傳的版本號進行識別,請不要勾選“上傳客戶端版本號”選項。
(5) 發起802.1X連接
完成新建連接後,點擊iNode客戶端的<連接>按鈕,發起802.1X連接。
圖1-6 802.1X啟動連接示意圖
# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情況。
[Device] display dot1x interface gigabitethernet 1/0/1
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
User aging period for Auth-Fail VLAN : 1000 s
User aging period for Auth-Fail VSI : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 0
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : Port-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Add Guest VLAN delay : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
User IP freezing : Disabled
Reauth period : 0 s
Send Packets Without Tag : Disabled
Max Attempts Fail Number : 0
Guest VSI : Not configured
Auth-Fail VSI : Not configured
Critical VSI : Not configured
Add Guest VSI delay : Disabled
User aging : Enabled
Server-recovery online-user-sync : Disabled
Auth-Fail EAPOL : Disabled
Critical EAPOL : Disabled
Discard duplicate EAPOL-Start : No
EAPOL packets: Tx 0, Rx 0
Sent EAP Request/Identity packets : 0
EAP Request/Challenge packets: 0
EAP Success packets: 0
EAP Failure packets: 0
Received EAPOL Start packets : 0
EAPOL LogOff packets: 0
EAP Response/Identity packets : 0
EAP Response/Challenge packets: 0
Error packets: 0
Online 802.1X users: 0
# 當iNode客戶端輸入正確的用戶名和密碼成功上線後,可使用命令display dot1x connection查看到上線用戶的連接情況。
#
interface Vlan-interface1
ip address 192.168.56.101 255.255.255.0
#
local-user localuser class network
password cipher $c$3$YPkufRcxFR3KdpUCHFiNkns/YFPmbJkG/pQxBg==
service-type lan-access
authorization-attribute user-role network-operator
#
interface GigabitEthernet1/0/1
dot1x
dot1x port-method portbased
#
dot1x
#
· 產品配套“安全配置指導”中的“802.1X”。
· 產品配套“安全命令參考”中的“802.1X”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!