S7000/S7500E/10500係列本地802.1x認證配置案例（命令行）

1 配置需求或說明

1.1  適用產品係列

本案例適用於S7000/S7500E/10500係列交換機，V5、V7交換機具體分類及型號可以參考“1.1 Comware V5、V7平台交換機分類說明”。

1.2  配置需求及實現的效果

電腦通過交換機的G1/0/2口連入網絡，設備對該端口接入的用戶進行802.1X本地認證以控製其訪問Internet。

2 組網圖

3 配置步驟

3.1  交換機VLAN及虛接口基本配置

#交換機缺省二層口屬於vlan1，給vlan1配置ip地址為192.168.1.1。

<H3C>system-view   //進入係統視圖

[H3C]interface Vlan-interface 1   //進入vlan1接口

[H3C-Vlan-interface1] ip address 192.168.1.1 255.255.255.0   //配置IP地址為192.168.1.1，掩碼為255.255.255.0

[H3C-Vlan-interface1]quit   //退出當前視圖

3.2  配置認證域（缺省不配置為system域）

#創建名為local的ISP域，本地認證，不授權不計費。

[H3C]domain local   //創建名為local的ISP域

[H3C-isp-local] authentication lan-access local   //為dot1x用戶配置本地認證方法

[H3C-isp-local] authorization lan-access none   //配置AAA授權方法為不授權

[H3C-isp-local] accounting lan-access none   //配置AAA授權方法為不計費

[H3C-isp-local]quit   //退出當前視圖

3.3  配置802.1X認證

#全局開啟802.1X認證

[H3C]dot1x   //全局開啟802.1X認證

 802.1X is already enabled globally.

#G1/0/2接口下開啟802.1X認證

[H3C] interface GigabitEthernet1/0/2   //進入G1/0/2接口

[H3C-GigabitEthernet1/0/2]dot1x   //接口下開啟802.1x功能

#配置G1/0/2接口的強製認證ISP域為“local”。（此處不配置為默認system域）

[H3C-GigabitEthernet1/0/2]dot1x mandatory-domain local   //配置G1/0/2接口的強製認證ISP域為“local”

3.4  配置本地賬戶和密碼

#創建本地用戶ceshi，密碼為111，服務類型為lan-access。

[H3C]local-user ceshi class network   //創建dot1x的本地用戶，用戶名為“ceshi”

[H3C-luser-network-ceshi]password simple 111   //密碼為111

[H3C-luser-network-ceshi]service-type lan-access   //服務器類型為lan-access

[H3C-luser-network-ceshi]quit   //退出當前視圖

[H3C-luser-network-ceshi]save for   //保存配置

3.5  配置客戶端

#在客戶端電腦上配置有線網卡的IPV4地址192.168.1.10/24，網關為192.168.1.1，安全INODE客戶端軟件，定製802.1X連接，輸入用戶名和密碼是ceshi/111

3.6  實驗結果驗證

將裝有INODE客戶端軟件的電腦接入交換機的G1/0/2，選擇802.1X連接，輸入正確的用戶名和密碼後點擊連接，如下圖802.1X認證通過

此時未進行802.1X認證的電腦在通過802.1x認證後可以ping通自己的網關。