S7000/S7500E/10500係列V7交換機作為RADIUS服務器對802.1X用戶進行認證配置（命令行）

1 配置需求或說明

1.1 適用產品係列

本案例適用於S7000/S7500E/10500係列的V7交換機，V5、V7交換機具體分類及型號可以參考“1.1 Comware V5、V7平台交換機分類說明”。

1.2 配置需求及實現的效果

SWB作為radius服務器對SWA G1/0/1口下接入的終端做802.1X認證以控製其訪問網絡。

2 組網圖

3 配置步驟

一． 激活SWB的freeradius特性包

SWB作為radius服務器需要安裝freeradius特性包並激活，該特性包伴隨版本文件一起發布。

查看SWB的當前軟件版本為Release 6328P03，從官網下載對應版本的freeradius特性包。

將電腦上的freeradius特性包上傳進SWB的係統文件，保證電腦和SWB地址可達，電腦防火牆關閉。

<SWB> system-view   //進入係統視圖

[SWB]int vlan 1   //進入vlan1虛接口

[SWB-Vlan-interface1] ip address 10.10.10.1 255.255.255.0  //配置IP地址為10.10.10.1，掩碼為24位

電腦的3CD軟件上選擇freeradius特性包的路徑

<SWB>tftp 10.10.10.2 get s5000v5_ei-cmw710-freeradius-r6328p03.bin   //SWB通過tftp協議從10.10.10.2的電腦獲取s5000v5_ei-cmw710-freeradius-r6328p03.bin文件

此時查看SWB的係統文件，freeradius的特性包已經下載成功

<SWB>install activate feature flash:/s5000v5_ei-cmw710-freeradius-r6328p03.bin slot 1   //激活freeradius的特性包

Verifying the file flash:/s5000v5_ei-cmw710-freeradius-r6328p03.bin on slot 1...Done.

Identifying the upgrade methods.....Done.Upgrade summary according to following table:

flash:/s5000v5_ei-cmw710-freeradius-r6328p03.bin

  Running Version             New Version        

  None                        Release 6328P03    

  Slot                        Upgrade Way        

  1                           Service Upgrade    

Upgrading software images to compatible versions. Continue? [Y/N]:y

This operation might take several minutes, please wait......Done.

<H3C>install commit   //自動使用當前激活的軟件包列表作為主用下次啟動軟件列表

This operation will take several minutes, please wait........................Done.

The current software images have been saved as the startup software images.

Current software images on slot 1:

  flash:/s5000v5_ei-cmw710-boot-r6328p03.bin

  flash:/s5000v5_ei-cmw710-system-r6328p03.bin

  flash:/s5000v5_ei-cmw710-freeradius-r6328p03.bin

二． 配置SWB作為radius服務器

#創建dot1x接入用戶

[SWB]local-user test class network   //創建dot1x的本地用戶，用戶名為“test”

[SWB-luser-network-test]password simple 123456   //密碼為123456

[SWB-luser-network-test]service-type lan-access   //服務器類型為lan-access

[SWB-luser-network-test]quit   //退出當前視圖

#配置radius客戶端的IP地址為10.10.10.100，共享密鑰為明文123

[SWB]radius-server client ip 10.10.10.100 key simple 123

# 激活當前配置的RADIUS客戶端和RADIUS用戶

[SWB]radius-server activate   //激活radius服務器配置

注：radius-server activate該命令執行在設備命令行不顯示，每次在radius服務器進行本地用戶的增加、修改或刪除操作，都需再次執行改命令激活，否則更新後的配置不生效。

[SWB]save force   //保存配置

三． 配置SWA

#配置SWA的vlan1接口地址

<SWA> system-view   //進入係統視圖

[SWA]int vlan 1   //進入vlan1虛接口

[SWA-Vlan-interface1] ip address 10.10.10.100 255.255.255.0  //配置IP地址為10.10.10.100，掩碼為24位

#配置radius方案

[SWA]radius scheme dot1x   //配置名稱為dot1x的radius方案

[SWA-radius-dot1x]primary authentication 10.10.10.1 key simple 123   //配置RADIUS方案的主認證服務器為10.10.10.1及其通信密鑰為123

[SWA-radius-dot1x] user-name-format without-domain   //配置發送給RADIUS服務器的用戶名不攜帶ISP域名

[SWA-radius-dot1x]quit   //退出當前視圖

#創建名為dot1x的認證域

[SWA]domain dot1x   //創建名為a的dot1x域並進入其視圖

[SWA-isp-dot1x]authentication lan-access radius-scheme dot1x   //為dot1x用戶配置AAA認證方法為dot1x的RADIUS方案

[SWA-isp-dot1x]authorization lan-access none   //為dot1x用戶配置AAA授權方法為不授權

[SWAisp-dot1x] accounting lan-access none   //為dot1x用戶配置AAA計費方法為不計費

[SWA-isp-dot1x]quit   //退出當前視圖

四． 配置dot1x認證

#全局開啟802.1X認證

[SWA]dot1x   //全局開啟802.1X認證

#G1/0/1接口下開啟802.1X認證

[SWA]int g1/0/1   //進入g1/0/1接口

[SWA-GigabitEthernet1/0/1]dot1x   //接口下開啟802.1x認證

#在以太網端口G1/0/1上配置802.1X用戶使用強製認證域dot1x

[SWA-GigabitEthernet1/0/1]dot1x mandatory-domain dot1x   //配置802.1X用戶使用強製認證域dot1x

[SWA-GigabitEthernet1/0/1]quit   //退出當前視圖

[SWA]save force   //保存配置

4 實驗結果

電腦接SWA的G1/0/1口，電腦網卡配置如下，此時電腦Ping 10.10.10.100不通

電腦上用Inode客戶端進行802.1x連接，輸入用戶名“test”，密碼“123456”後連接成功。

此時電腦能ping通10.10.10.100的地址

查看SWB的radius服務器激活的客戶端地址為10.10.10.100

<H3C>dis radius-server active-client

Total 1 RADIUS clients.

Client IP: 10.10.10.100查看SWB的radius服務器的激活用戶“test”信息如下

<H3C>display radius-server active-user test

Total 1 RADIUS users matched.

Username: test

  Description: Not configured

  Authorization attributes:

    VLAN ID: Not configured

    ACL number: Not configured

  Validity period:

Expiration time: Not configured

查看SWA的dot1x用戶在線信息如下，接入接口是g1/0/1，用戶連接成功，認證域是dot1x。

<H3C>dis dot1x connection

Total connections: 1

Slot ID: 1

User MAC address: 00e0-4c36-0017

Access interface: GigabitEthernet1/0/1

Username: test

User access state: Successful 

Authentication domain: dot1x

Authentication method: CHAP

Initial VLAN: 1

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization ACL number/name: N/A

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Termination action: Default

Session timeout period: N/A

Online from: 2013/01/01 00:21:39  

Online duration: 0h 5m 22s