“当前已有100+用户参与投稿,共计发放奖励100000+“
一. 基本信息
1.1. 拓扑 某公司全网AC:192.168.110.222 烽火交换机1:192.168.110.46
1.2. 功能介绍我们传统AC主要是用来管控用户访问互联网的行为,聚焦用户上网行为的控制,可以理解为“准出”。而全网AC完善了用户“准入”的控制。通过与接入交换机对接802.1x协议,可以实现用户二层接入的权限管理,不再是任何用户只要插上网线,就能接入到用户的局域网内,大大增加了安全性。 1.3. 预先条件1. 华为核心交换机已经基础网络配置,用户可正常获取到IP地址并接入网络。 2. 烽火接入交换机已完成vlan划分等基础网络配置,且型号支持802.1x功能。 3. 某公司全网AC已完成基础网络配置,路由、网桥、旁路模式均可。并且全网AC的管理口可以与华为核心交换机、烽火接入交换机网络互通。
二. 烽火交换机配置
2.1. 配置radius服务器模板 S5700(config)#aaa //进入3A界面
S5700(config-aaa)# radius-server nacip-address 192.168.110.222 key 123 auth-port 1812 acc-port 1813 // 配置radius服务器信息,全网AC的IP地址:192.168.110.222密钥:123 认证和计费端口使用默认的1812和1813 S5700(config-aaa)#radius-server nac src-ip192.168.110.4 //配置与全网AC通信的烽火交换机源IP地址为192.168.110.4
S5700(config-aaa)#radius-server nacdeadtime 60 //配置radius 服务器 nac 全局超时时间--用来检测服务器是否挂掉,一定要配置,否则会对接失败
S5700(config-aaa)#server-group gradiusradius-server nac //创建服务器组名称为gradius ,radius服务器名称为nac
2.2. 配置AAA认证方式S5700(config-aaa)#aaa authentication dot1xmethod dot1x-auth server-group gradius none //设置认证方式为802.1x,并引用服务器组gradius S5700(config-aaa)#aaa account dot1x methoddot1x-acct server-group gradius none //设置计费方式为802.1x,并引用服务器组gradius
S5700(config-aaa)#aaa authorization method dot1x-ao server-group gradius none//设置授权方式为802.1x,并引用服务器组gradius S5700(config-aaa)#exit 2.3. 配置802.1x全局配置S5700(config)#dot1x start //打开全局802.1x功能
S5700(config)#dot1x interface aaa enable //允许接口绑定 AAA 方法名
S5700(config)#dot1x default aaa-accountdot1x-acct //指定802.1x的计费模版为dot1x-acct
S5700(config)#dot1x defaultaaa-authentication dot1x-auth //指定802.1x的认证模版为dot1x-acct
2.4. 接口启用802.1x认证S5700(config)#interface gigaethernet 1/0/1 //进入需要开启802.1x认证的接口视图
S5700(config-ge1/0/1)#dot1x enable //开启802.1x认证
S5700(config-ge1/0/1)#dot1x aaa-accountdot1x-acct //指定802.1x的计费模版为dot1x-acct S5700(config-ge1/0/1)#dot1xaaa-authentication dot1x-auth //指定802.1x的认证模版为dot1x-acct
S5700(config-ge1/0/1)#dot1x authenticationauth-method eap //指定认证方式为eap
S5700(config-ge1/0/1)#dot1x authenticationtx-period 10 //交换机发送探测包间隔,建议10 ,必须小于30,建议20以内,一定要配置,否则会对接失败
2.5. 配置SNMPS5700 (config)#snmp community public ropublic //配置SNMP团体名为public
三. 全网AC配置
3.1. 开启802.1x功能 填入烽火交换机配置的认证和计费端口与密钥:
全网AC最好指定一下准入客户端网关IP地址,直接填写全网AC的IP地址
3.2. 对接SNMP
另外需要与华为核心做一下SNMP对接,开启跨三层MAC识别
四. 效果呈现下载准入客户端
认证结果--认证助手
认证结果--全网准入设备 逃生时,交换机返回的包是非标准包,不用关注 |