|
部署模式:旁路模式 旁路模式不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。 用于把设备接在交换机的镜像口或者接在HUB上,保证内网用户上网的数据经过此交 换机或者HUB,并且设置镜像口的时候需要同时镜像上下行的数据,从而实现对上网 数据的监控与控制。 如果旁路部署的全网AC开启了802.1x准入功能,当AC宕机时会造成入网用户无法通 过认证导致断网的情况。如果在交换机上开启了802.1X逃生功能,旁路部署的AC宕 机后入网用户无需认证直接入网,不会对入网用户造成断网影响。常见的应用环境如 下 本次AC采用旁路模式部署,AC的ETH0口接核心交换机接口,用于设备管理,配置IP地址。 AC的ETH1口接核心交换机接口,核心交换机配置镜像口,用于流量镜像。 一、配置Radius服务器 设置AC作为Radius服务器使用的认证和计费端口,认证端口默认为1812,服 务器密钥需与交换机上配置的密钥一致,计费端口默认1813。 二、配置联动交换机 在接入交换机上配置802.1X,与AC的Radius服务器联动,配置如下:(华三交换机配置)
step1: 配置radius 服务器信息 <H3C>system-view #系统视图 [H3C]radius scheme sangfor_rd #创建radius方案并进入其视图 [H3C-radius-sangfor_rd]primary authentication 111.110.110.107 1812 #配置服务器ip地址与端口 [H3C-radius-sangfor_rd]key authentication 123456 #配置认证共享秘钥 [H3C-radius-sangfor_rd]primary accounting 111.110.110.107 1813 #配置计费服务器IP与端口 [H3C-radius-sangfor_rd]key accounting 123456 #配置计费共享秘钥 [H3C-radius-sangfor_rd]user-name-format without-domain #发送给服务器的用户名不带域名 [H3C-radius-sangfor_rd]quit
#step3 配置ISP域: [H3C]domain sangfor_AD #创建域test并进入视图 [H3C-isp-sangfor_AD]authentication lan-access radius-scheme sangfor_rd #配置802.1x用户使用radius方案进行认证,授权 [H3C-isp-sangfor_AD]authorization lan-access radius-scheme sangfor_rd [H3C-isp-sangfor_AD]accounting lan-access radius-scheme sangfor_rd #配置计费方案为test_radius [H3C-isp-sangfor_AD]quit
#指定全局默认域, 全局默认域只能配置一个多次配置会被覆盖 [H3C]domain default enable sangfor_AD #指定缺省isp域 [H3C]dot1x authentication-method eap #开启eap中继模式
step4:端口下配置802.1x [H3C]interface GigabitEthernet 1/0/2 #开启指定端口 GigabitEthernet1/0/2的802.1x特性 [H3C-GigabitEthernet1/0/2]port-security max-mac-count 200 #端口安全最大MAC数 200 [H3C-GigabitEthernet1/0/2]port-security port-mode mac-else-userlogin-secure-ext [H3C-GigabitEthernet1/0/2]quit
step5:全局开启接口安全模式 [H3C]port-security enable
配置后查看联动交换机(有认证流量后联动交换机会显示在联动交换机列表中)
三、准入认证用户名密码创建 在接入管理,本地组/用户里新建用户或多用户。(多用户为科室使用,排除为哑终端使用) 新增多用户,填写用户名和密码后提交。 找到刚建立的用户,修改该用户的策略。勾选策略后提交 在802.1X接入认证中的VLAN关联用户选择用户对应的VLAN进行绑定。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-12-29 08:03
