本帖最后由 xzywlx 于 2022-9-13 18:01 编辑
【需求】1、内网有线用户通过802.1X认证做内网准入 2、使用AD域/本地用户进行认证 3、AC旁路部署只做认证服务器
【配置步骤】 1、AC配置部署上架、网络调通 2、AC配置802.1X认证 3、信锐NAC新建外部服务器,对接AC 4、NAC新建有线认证策略,调用认证服务器,接口开启802.1X认证 5、MAC免认证配置
【用户认证】 1、效果测试
【注意事项】 1、设备对接 2、用户认证 3、部署方式
【拓扑图】 【详细配置】 一、AC配置 1、部署模式改为旁路模式,配置管理口、流量镜像口、监控服务器(AC地址)、监控网段(可以只选择需要做认证的IP地址)
2、开启802.1X认证,配置认证、计费端口(默认认证1812、计费1813,无冲突默认即可),配置密钥:abc123(交换机对接时注意保持一致);认证方式配置为——账号密码认证——本地账号认证
3、AC开启准入客户端802.1X认证功能
4、新建本地账号(用于测试,实际环境可结合AD域进行认证);账号sangfor,密码abc123
二、信锐NAC配置 1、登录交换机管理中心
2、新建外部认证服务器,【认证授权】-【外部认证服务器】-【新增RADIUS服务器】
3、配置认证服务器参数 【服务器名称】 【IP】认证服务器地址(AC地址) 【认证端口】1812 【计费端口】1813 【共享密钥】abc123 其他参数默认 【服务器连通性检测】 用AC新建的账号进行连接测试,配置对接没问题会提示【服务可用】
配置有误时报错:【账号】【密码】【共享密钥】中的配置两边有对不上的
4、新建有线认证策略【交换机管控】——【有线认证】——【新增有线认证】
【配置认证策略:基本配置】 【名称】自定义 【认证类型】基于端口 【认证端口组】自定义新建——点击下拉列表——新增端口组——选择交换机端口
---------------------------------------------------------- 【配置认证策略:认证类型】
选择【802.1X认证】
---------------------------------------------------------- 【账号认证】 EAP方法:【EAP中继】 认证服务器:调用外部新建【RADIUS服务器】
---------------------------------------------------------- 【VLAN配置】一个vlan一条认证策略,根据实际vlan填写
----------------------------------------------------------
5、MAC免认证
三、用户认证 1、认证客户端设置,选择有线网卡,输入账号密码进行认证
用户通过认证
在交换机上看到上线的用户,认证方式是802.1X
四、【注意事项】 1、设备对接注意事项: 容易出错的几个点:设备两边【共享密钥】、对接AC账号认证方式需要选择【EAP中继】 、信锐交换机做802.1X需要一个vlan一个【认证策略】
2、用户认证,多网卡认证时手动选择有线网卡,不选择可能出
3、AC旁路部署做认证时,需要流量镜像到AC,且监控网络需要填写认证的IP地址;不做镜像或者不填写监控IP地址认证后AC上看不见上线用户 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-15 18:39
发表于 2022-9-13 19:51
