本帖最后由 李会斌 于 2023-4-20 11:23 编辑
配置思路: (1)AC开启802.1x认证: 勾选启用复选框,并配置Radius认证和计费端口,特别的,认证端口和计费端口共享密钥需要配置一致,否则可能导致计费报文无法对接;另外,这里配置的 Radius端口不能与认证高级选项中冲突;若冲突,请修改认证高级选项中 Radius 配置为其他端口。认证服务器可以启用本地密码认证,也可以启用域账号认证。 (2)MAB设置:在监控中心-入网用户管理-近7天入网失败用户中,可以查看认证失败的终端,人工判断为哑终端之后可以放通。MAB设置:查看详情可绑定终端并开启免认证,绑定方式可选择绑定IP或者MAC。 (3)配置802.1x
注意事项: AC/SG/AC-PT作为RADIUS服务器时,认证协议只支持PAP
思科2960-S交换机: switch#config t //进入全局配置模式 switch(config)#aaa new-model //启用aaa认证 switch(config)#aaa authentication dot1x default group radius //配置802.1x认证使用radius服务器数据库 switch(config)#aaa authorization network default group radius //配置802.1x网络授权使radius服务器。 switch(config)#aaa accounting update newinfo // 配置启用计费更新报文发送 aaa accounting dot1x default start-stop group radius //配置启用 radius 计费开始停止报文发送 aaa accounting network default start-stop group radius//让终端下线后,ac上能正常下线 switch(config)#radius-server host 10.0.5.6 auth-port 1812 acct-port 1813 key sangfor23network;//指定主Radius服务器地址为10.0.5.6,通信密钥为sangfor23network,端口为1812和1813 switch(config)#radius-server vsa send authentication //配置 radius报文中发送认证和计费报文 switch(config)#radius-server vsa send accounting switch(config)#radius-server configure-nas radius-server attribute 8 include-in-access-req //配置交换机携带终端 IP 地址 华为S5701交换机: <HUAWEI>sys //进入系统视图 [HUAWEI]aaa //进入aaa视图 [HUAWEI-aaa]authentication-scheme abc //创建aaa方案“abc” [HUAWEI-aaa-authen-abc]authentication-mode radius //配置当前认证方案使用的认证模式 [HUAWEI-aaa-authen-abc]quit [HUAWEI-aaa]accounting-scheme abc //创建aaa计费方案“abc” [HUAWEI-aaa-accounting-abc]accounting-mode radius //配置当前使用的计费模式“radius” [HUAWEI-aaa-accounting-abc]quit [HUAWEI-aaa]quit [HUAWEI]radius-server template test //创建radius服务器模板“test” [HUAWEI-radius-test]radius-server authentication 10.0.5.6 1812 //设置radius服务器的认证IP地址和端口号 [HUAWEI-radius-test]radius-server accounting 10.0.5.6 1813//设置radius服务器的计费IP地址和端口号 [HUAWEI-radius-test]radius-server shared-key cipher sangfor123 //设置接入设备与radius认证服务器的共享密钥 [HUAWEI-radius-test]quit [HUAWEI]aaa // 进入aaa视图 [HUAWEI-aaa]domain nac // 创建认证域“nac” [HUAWEI-aaa-domain-nac]authentication-scheme abc //在域下绑定aaa认证方案“abc” [HUAWEI-aaa-domain-nac]accounting-scheme abc // 在域下绑定aaa计费方案“abc” [HUAWEI-aaa-domain-nac]radius-server test //在认证域下绑定radius服务器模板“test” [HUAWEI-aaa-domain-nac]quit [HUAWEI-aaa]quit [HUAWEI]domain nac //配置全局默认域为“nac” [HUAWEI]authentication unified-mode //切换配置模式为统一模式,设备重启生效,设备默认为统一模式 [HUAWEI]interface GigabitEthernet 0/0/28 //进入用户接入的接口视图 [HUAWEI-GigabitEthernet0/0/28]authentication dot1x // 使用802.1X认证 [HUAWEI-GigabitEthernet0/0/28]dot1x authentication-method eap [HUAWEI-GigabitEthernet0/0/28]quit | 
发表于 2023-4-28 21:28
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术专家2级 
