2、环境有AD域,且希望通过域用户做认证
【实现效果】
1、加入域的有线用户可以登录域时即通过准入认证,未加入域PC可使用账号密码认证
2、无线使用账号密码认证
【案例拓扑】
由于当时是测试,拓扑基本和上一个案例一样是挂在交换机上,测试过程中不影响客户网络
【配置过程】:
一、【AC配置】
1、部署模式
旁路部署,一个镜像口一个管理口,IP地址根据客户现场实际环境进行配置
2、对接AD域
配置路径【接入管理】—【接入认证】—【portal认证】—【认证服务器】
根据AD域信息对应填写,注意账号格式,以及账号的权限是否能读到组织架构
正确配置后且连通性正常点+号可以展开
正常对接同步后可以看到域用户
3、开启单点登录
案例是用了多种方式,可根据实际环境调整,推荐使用域脚本的方式
4、开启802.1X
共享密钥和对接设备对齐,端口默认1812、1813,如有冲突两端需对齐
二、无线控制器对接web界面
1、创建radius模板
先在无线控制器上创建一个【RADIUS服务模板】,此案例创建了一个名为【sangfor】的模板
2、创建radius服务器
【服务器地址】为AC的IP地址
【共享密钥】是AC上配置的,这里配上相同的共享密钥
【认证端口】、【计费端口】、保持默认,【权重】保持默认,【发送报文源IP】保持默认或者选择AC的管理IP
3、无线SSID调用认证
三、交换机对接
# 创建并配置RADIUS服务器模板“rd1”
radius-server template rd1——全局配置模式下
radius-server authentication 10.20.62.17 1812
radius-server accounting 10.20.62.17 1813
radius-server shared-key cipher abc123
quit
# 创建AAA认证方案“abc”并配置认证方式为RADIUS。
aaa——全局配置模式下
authentication-scheme abc
authentication-mode radius
quit
# 创建认证域“huawei.com”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
domain huawei.com——全局配置模式下
authentication-scheme abc
radius-server rd1
quit
# 将NAC配置模式切换成统一模式。
authentication unified-mode——全局配置模式下
# 配置802.1X接入模板“d1”。
dot1x-access-profile name d1——全局配置模式下
quit
# 配置认证模板“p1”,并在其上绑定802.1X接入模板“d1”、指定认证模板下用户的强制认证域为“huawei.com”
authentication-profile name p1——全局配置模式下
dot1x-access-profile d1
access-domain huawei.com force
quit
# 在接口GE0/0/1上绑定认证模板“p1”,使能802.1X认证。
[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] authentication-profile p1
[Switch-GigabitEthernet0/0/1] quit
【测试结果】
认证方式以802.1X eap上线
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-9-26 10:41
