全网行为联动锐捷交换机做802.1X认证

背景需求

AC地址 ：eth0： https://*****                eth1：镜像口

用户名：*****   密码：*****

交换机地址：10.251.251.1  3口开启了802.1x认证  11口是镜像口

需求：不经过认证不能访问内网服务器（802.1x认证）

配置介绍

一、AC配置：

1.旁路部署：

2.配置802.1x接入认证

3.这里选的是本地用户，所以需要在‘本地组/用户’添加用户

4. 启用准入认证客户端802.1x功能，并下载客户端

5. 安装客户端：

解压，双击运行

安装完成后

二、锐捷交换机配置：

本次使用的是锐捷交换机（型号：RG-S5750-24GT/8SFP-E），型号不同指令参数存在差异，不知道填写什么参数时，在指令后加“？”来获得帮助

1. 配置交换机地址，配置vlan1

Ruijie(config)# interface VLAN 1

Ruijie(config-if-VLAN 1)# ip address 10.251.251.1 255.255.255.0

2. 配置设备与radius server之间的通讯

Ruijie(config)# aaa new-model  //打开AAA开关，启用认证

Ruijie(config)#radius-server host 10.251.251.251  //指定认证服务器地址

Ruijie(config)#radius-server key sangfor   //指定radius共享口令

3. 配置dot1X认证开关

Ruijie(config)#aaa authentication dot1x auth group radius //配置dot1x认证方法,auth为自定义认证方法名

Ruijie(config)#dot1x authentication auth  //启用dot1x认证,引用认证方法auth

4. 配置802.1X记账

Ruijie(config)# aaa group server radius gs        //配置记账服务器组，gs为自定义的记账服务器组名

Ruijie(config-gs-radius)#server 10.251.251.251           //配置记账服务器，可设置记账端口，端口默认为1813

Ruijie(config-gs-radius)#exit

Ruijie(config)#aaa accounting network acct start-stop group gs   //配置记账方法,acct为自定义的记账方法名，引用服务器组gs

Ruijie(config)#dot1x accounting acct  //启用dot1x计帐方法，引用之前定义的记账方法名acct

Ruijie(config)#aaa accounting update  //启用计帐更新功能

Ruijie(config)#aaa accounting update periodic 1  //指定计帐更新间隔为1分钟(默认值1m)

5. 在端口打开dot1x认证：

Ruijie(config)#interface GigabitEthernet 0/3

Ruijie(config-if-GigabitEthernet 0/3)#dot1x port-control auto   //指定受控端口开启802.1x认证

6.因为此交换机不支持发送带IP地址的计费报文， 则交换机需要配置镜像口接到AC开启跨三层取MAC（通过镜像抓取arp或者dhcp报文； 也可通过snmp服务器获取）；

此处使用镜像口：

将1-4口的双向流量镜像到11口：

Ruijie(config)#monitor session 1 source interface gi0/1 both

Ruijie(config)#monitor session 1 destination interface gi 0/11

Ruijie(config)#monitor session 1 source interface gi0/2 both  

Ruijie(config)#monitor session 1 destination interface gi 0/11

Ruijie(config)#monitor session 1 source interface gi0/3 both  

Ruijie(config)#monitor session 1 destination interface gi 0/11

Ruijie(config)#monitor session 1 source interface gi0/4 both  

Ruijie(config)#monitor session 1 destination interface gi 0/11

三、验证效果：

1.在AC上查看联动交换机：

2. 将pc1地址设置为10.251.251.100，接到交换机4口（没有开启802.1x认证），ping AC（10.251.251.251）地址和交换机地址（10.251.251.1）都可以通：

3. 将pc2地址设置为10.251.251.22，接到交换机3口（开启了802.1x认证），ping AC（10.251.251.251）地址，交换机地址（10.251.251.1）和pc1（10.251.251.100）都不通：

4. 登陆认证客户端后，都可以ping通。

选择网卡：

登陆成功后界面：

测试：

5. 在入网用户管理 可以查看在线用户

到此全网AC联动锐捷交换机配置802.1x认证全部完成

楼主的分享很不错呦，楼主针对AC结合锐捷交换机这一模块进行了详细的解释，从AC上的配置到信锐交换机上的配置和命令到最后成功的测试效果图都一一展现了出来，感谢楼主后续带来更多有价值的分享哦:爱你:

每天坚持打卡学习签到！！

感谢分享，学习一下~

非常好的实践教程，谢谢分享

打卡学习，感谢大佬分享！

感谢分享有助于工作和学习！

一起来学习一起来学习

一起来学习，一起来学习

一起来学习一起来学习

一起来学习一起来学习