本帖最后由 高进 于 2024-7-23 09:24 编辑
##以下配置为真实场景下记录 ##实施配置重点在交换机(本次实施为华为交换机) ##听说 802.1x 配置,有的交换机命令是在统一模式下敲,传统模式不支持(指令不一样),我搞的 MAC 认证没遇到 背景需求:某客户需要实现无感知二层准入,入网设备必须经过信息科统一入网,且终端用户接入无感知(不能装客户端或者插件之类的东西到PC)
需求应对:和交换机对接,做MAC 免认证 实施流程: 1、AC 启用 radius 使能 2、交换机配置 MAC 免认证(radius 模板、3A、认证域、MAC认证、认证模板绑定、接口启用) 3 、验证 4、禁用启用绑定,对应 PC 下线上线
具体步骤: 1、AC 启用 radius 使能(设置:共享密钥、认证端口和计费端口) 关掉802.1x准入 2、交换机配置 //创建并配置RADIUS服务器模板“rd1" // 配置为准入设备地址,认证端口和计费端口 //配置对接共享密钥,不要变,准入设备已经预配置了一样的密钥交换机配置 //RADIUS CoA/DM功能,提供动态修改在线用户权限或者强制用户下线的机制+radius授权服务器配置 sys radius-server template rd1 radius-server authentication 192.168.10.10 1816 radius-server accounting 192.168.10.10 1817 radius-server shared-key cipher shenxinfu@123 quit radius-server authorization 192.168.10.10 shared-key cipher shenxinfu@123 radius-server authorization server-source all-interface //可能提示 输入Y,手动输入 # 创建AAA认证方案 “abc”并配置认证方式为RADIUS. aaa authentication-scheme abc authentication-mode radius quit accounting-scheme abc accounting-mode radius quit # 创建认证域 “example.com” 在其上绑定AAA认证和计费方案 “abc" 与RADIUS服务器模板 “rd1" domain example.com authentication-scheme abc accounting-scheme abc radius-server rd1 quit quit #配置MAC认证。 #配置MAC接入模板“m1”. MAC接入模板中,MAC认证用户的用户名和密码默认均为不带分隔符“-”的MAC地址。 mac-access-profile name m1 quit #配置认证模板“p1〞 并在其上绑定MAC接入模板“m1”、 指定认证模板下用户的强制认证域为 “example.com〞 指定用户接入模式为多用户单独认证接入模式、最大接入用户数为1. 配置用户在认证服务器Down时保持原有的网络访问权限。## 配置用户在认证服务器无响应时保持原有的网络访问权限。## ****因客户提出 AC 当 radius 服务器,如果挂掉,那所有终端都会断网,必须避免这个情况出现,所以最后两条命令和避免AC挂掉(升级重启、打补丁重启、拔网线之类都会出现),双机也建议配置上 authentication-profile name p1 mac-access-profile m1 access-domain example.com force authentication mode multi-authen max-user 1 authentication event authen-server-down action authorize keep no-response authentication event authen-server-noreply action authorize keep no-response quit
然后接口启用 # 在接口G 0/0/10上绑定认证模板“p1”,开启MAC认证。 interface g 0/0/10 authentication-profile p1 此时终端已经断网,无法ping 通(它 ping 网关,别的网段 ping 它都不通) AC 配置 MAC 用户绑定(名称建议用真实用户名字或者工位编号实名之类) ###这个步骤提议提前录入,真实场景也建议提前录入;这样一接网线就直接入网,不然就等个 20 秒左右交换机的同步时间 PC网络才正常
3、验证 录入后可以 ping 通,网络也能正常访问
4、禁用启用绑定,对应 PC 下线上线 禁用对应 MAC 免认证绑定用户,30 秒左右下线 启用对应绑定关系,40 秒左右,MAC 用户重新上线
结束,搞起来! | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-8-6 14:10
