H3C8021x典型配置举例Word格式文档下载.docx

H3C8021x典型配置举例Word格式文档下载.docx

《H3C8021x典型配置举例Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《H3C8021x典型配置举例Word格式文档下载.docx（13页珍藏版）》请在冰豆网上搜索。

开启端口dot1x

配置GuestVLAN功能

配置端口允许的最大用户数

端口接入控制方式（基于端口或基于MAC）

端口接入控制模式（强制授权、非强制授权、自动）

客户端版本检测

代理检测

1.2.3?

注意事项

只有全局开启dot1x特性后，dot1x的配置才会生效。

在启用dot1x功能前，可以配置设备或以太网端口的dot1x相关参数，但这些配置并不生效；

启用dot1x功能后，提前配置的dot1x相关参数将生效。

关闭dot1x功能后，交换机上配置的dot1x相关参数仍被保留；

当dot1x功能重新启动后，以前所做的这些dot1x相关配置依然生效。

第2章?

配置命令介绍

2.1?

802.1x相关功能配置命令

要实现802.1x功能，需要对接入用户、交换机、认证/授权服务器三个部分进行正确配置。

接入用户端：

保证用户PC使用正确的客户端。

交换机：

需要进行802.1x配置和AAA相关配置。

认证/授权服务器：

需要进行正确的配置。

下面仅介绍交换机上所需的802.1x相关配置命令，其他配置请参见相关设备手册。

表2-1802.1x相关功能配置命令

功能

命令

说明

dot1x

必选

缺省情况下，全局的802.1x特性为关闭状态

开启端口的802.1x特性

系统视图下

dot1x[interfaceinterface-list]

缺省情况下，端口的802.1x特性均为关闭状态，只有端口和全局802.1x特性均开启，802.1x的相应配置才能生效

端口视图下

设置端口接入控制方式

dot1xport-method{macbased|portbased}[interfaceinterface-list]

可选

缺省情况下，802.1x在端口上进行接入控制方式为macbased。

使用GuestVLAN功能时必须保持portbased的接入控制方式

开启GuestVLAN功能

dot1xguest-vlanvlan-id[interfaceinterface-list]

缺省情况下，GuestVLAN功能处于关闭状态。

配置为GuestVLAN的vlan-id必需事先已经创建

第3章?

典型企业网络接入认证应用

不同型号的设备，配置的细节或显示信息会稍有差异，这里以H3CS3600系列交换机（软件版本为Release1510）为例。

3.1?

网络应用分析

某企业网的管理者希望在交换机各端口上对用户接入进行认证，以控制用户对相应资源的访问，详细网络应用需求分析如表3-1所示。

表3-1网络应用分析

网络需求

相关设备所需配置

接入用户受控，必须通过认证才能访问网络

启动802.1x特性

用户未通过认证时，只能受限访问网络VLAN10

启用GuestVLAN功能。

用户通过认证后，可以访问网络VLAN100

动态VLAN下发配置

计费方式为50元包月，其访问网络的带宽为2M

在RADIUSServer上设置计费策略、带宽限制策略

用户上线后将IP与Mac进行绑定

MAC+IP绑定功能设置

在线闲置20分钟后，服务器强制切断用户连接

启用闲置用户切断功能

设备无预警重启后，在线用户可以重新认证并成功

配置设备重启用户再认证功能

3.2?

组网图

图3-1典型企业网应用组网图

3.3?

配置步骤

3.3.1?

交换机上的配置

＃设置RADIUS方案cams，设置主备服务器。

<

H3C>

system-view

[H3C]radiusschemecams

[H3C-radius-cams]primaryauthentication

[H3C-radius-cams]primaryaccounting

[H3C-radius-cams]secondaryauthentication

[H3C-radius-cams]secondaryaccounting

＃设置系统与认证Radius服务器交互报文时加密密码为expert，与计费Radius服务器交互报文的加密密码为expert。

[H3C-radius-cams]keyauthenticationexpert

[H3C-radius-cams]keyaccountingexpert

＃设置用户名为带域名格式。

[H3C-radius-cams]user-name-formatwith-domain

＃服务类型为extended。

[H3C-radius-cams]server-typeextended

＃配置设备重启用户再认证功能。

[H3C-radius-cams]accounting-onenable

＃定义ISP域abc，并配置认证采用RADIUS方案cams。

[H3C]domainabc

[H3C-isp-abc]radius-schemecams

[H3C-isp-abc]quit

＃将ISP域abc设置为缺省ISP域。

[H3C]domaindefaultenableabc

＃动态VLAN下发模式

[H3C-isp-abc]vlan-assignment-modeinteger

＃用户接入端口启用GuestVLAN功能

[H3C]vlan10

[H3C-Ethernet1/0/3]dot1xport-methodportbased

[H3C-Ehternet1/0/3]dot1xguest-vlan10

＃启用802.1x

[H3C]dot1x

＃端口视图下启用dot1x

[H3C-Ethernet1/0/3]dot1x

＃使用display命令可以查看关于802.1x，AAA相关参数配置。

[H3C]displaydot1xinterfaceethernet1/0/3

Global802.1xprotocolisenabled

CHAPauthenticationisenabled

DHCP-launchisdisabled

Proxytrapcheckerisdisabled

Proxylogoffcheckerisdisabled

Configuration:

TransmitPeriod?

30s,?

HandshakePeriod?

15s

ReAuthPeriod?

3600s,?

ReAuthMaxTimes?

2

QuietPeriod?

60s,?

QuietPeriodTimerisdisabled

SuppTimeout?

ServerTimeout?

100s

Intervalbetweenversionrequestsis30s

Maximalrequesttimesforversioninformationis3

Themaximalretransmittingtimes?

Totalmaximum802.1xuserresourcenumberis1024

Totalcurrentused802.1xresourcenumberis0

Ethernet1/0/3?

islink-up

802.1xprotocolisenabled

Version-Checkisdisabled

Theportisanauthenticator

AuthenticationModeisAuto

PortControlTypeisPort-based

ReAuthenticateisdisabled

Maxnumberofon-lineusersis256

AuthenticationSuccess:

0,Failed:

EAPOLPackets:

Tx0,Rx0

SentEAPRequest/IdentityPackets:

EAPRequest/ChallengePackets:

ReceivedEAPOLStartPackets:

EAPOLLogOffPackets:

EAPResponse/IdentityPackets:

EAPResponse/ChallengePackets:

ErrorPackets:

ControlledUser（s）amountto0?

[H3C]displayradiusschemecams

SchemeName?

=cams?

Index=1?

Type=extended

PrimaryAuthIP?

Port=1812

PrimaryAcctIP?

Port=1813

Second?

AuthIP?

AcctIP?

AuthServerEncryptionKey=expert

AcctServerEncryptionKey=expert

Accountingmethod=required

Accounting-Onpacketenable,sendtimes=15,interval=3s

TimeOutValue（insecond）=3RetryTimes=3RealtimeACCT（inminute）=12

PermittedsendrealtimePKTfailedcounts?

=5

Retrysendingtimesofnoresponseacct-stop-PKT=500

Quiet-interval（min）?

Usernameformat?

=with-domain

Dataflowunit?

=Byte

Packetunit?

=1

unit1:

PrimaryAuthState=active,?

SecondAuthState=active

PrimaryAcc?

State=active,?

SecondAcc?

State=active?

[H3C]displaydomainabc

ThecontentsofDomainabc:

State=Active

RADIUSScheme=cams

Access-limit=Disable

Vlan-assignment-mode=Integer

DomainUserTemplate:

Idle-cut=Disable

Self-service=Disable

MessengerTime=Disable?

3.3.2?

RADIUSServer上的配置（以CAMS1.20标准版为例）

CAMS认证/授权、计费服务器的配置，主要由以下四个部分组成：

创建计费策略、创建服务类型、添加用户信息、接入网段及协议配置。

本文所述CAMS综合访问服务器的版本为V1.20（标准版）。

1.登陆CAMS服务器

（1）?

在登陆页面输入正确的用户名、密码登陆CAMS服务器

图3-2CAMS登陆页面

（2）?

登陆成功后页面如图所示：

图3-3CAMS首页面

2.创建计费策略

进入计费策略页面

登录CAMS服务器配置平台，点击左侧的“资费管理”下的“计费策略”，进入“计费策略管理”界面，如图所示。

图3-4计费策略管理页面

从列表中可以看到已有的计费策略，可以选择对已有计费策略进行“查询”、“修改”或“维护”。

创建计费策略

点击“计费策略管理”界面上方的“增加”按钮：

新建“包月计费”的计费策略。

图3-5计费策略基本信息页面

（3）?

点击下一步：

选择“按时长计费”，计费周期“月为周期”，周期内固定费用“50元每月”。

图3-6计费属性设置页面

点击完成，成功添加新的计费策略“包月计费”。

3.创建服务类型

进入服务配置界面

登录CAMS服务器配置平台，点击左侧的“服务管理”下的“服务配置”，进入“服务配置”界面，如图所示。

图3-7服务配置页面

从列表中可以看到已有的服务类型，可以选择对已有服务类型进行“查询”、“修改”或“删除”。

创建服务类型

点击“服务配置”界面上方的“增加”按钮：

新建服务名为“abc”的服务类型，服务后缀名为“abc”。

计费策略为“包月计费”，上下行速率限制为2M（2048Kbps），认证成功后下发VLAN100。

认证绑定选择绑定用户IP和绑定用户MAC地址。

图3-8增加服务页面

点击确定，成功添加服务类型。

4.添加帐户用户

进入用户帐户界面

登录CAMS服务器配置平台，点击左侧的“用户管理”的“帐号用户”，进入“帐户管理”界面。

图3-9用户帐户界面

从列表中可以看到已有的帐户用户，可以选择对已有帐户用户进行维护。

创建用户帐户

选择页面上方“增加”：

用户为info密码为info用户姓名为Bruce，预付费用户，预付金额100元。

并添加绑定的用户IP地址、网卡MAC地址，在线数量限制为1，最大闲置时长20分钟。

在“服务信息”一栏，选择服务名称abc。

图3-10用户开户页面

点击确定完成帐户用户添加。

5.接入设备配置

进入系统配置页面

登录CAMS服务器配置平台，点击左侧的“系统管理”的“系统配置”，进入“系统配置”界面。

图3-11系统配置页面

选择修改“接入设备配置”，修改接入设备的地址、密钥及认证、计费处理端口等信息。

图3-12接入设备配置列表页面

6.接入设备配置

点击页面下方的“增加”按钮，增加配置项。

图3-13增加配置项页面

点击确定后，可以看到如下提示：

图3-14操作成功提示

此时需要返回“系统配置”页面，点击“立即生效”。

图3-15系统配置页面的立即生效按钮

3.3.3?

接入用户PC上的操作

PC上需要安装802.1x客户端。

客户端可是选择H3C公司802.1X客户端产品，也可以是XP自带客户端，或者其他第三方标准客户端。

以下以H3C公司802.1X客户端为例进行介绍。

1.启动客户端

图3-16客户端页面

2.新建连接

在802.1x认证图标上点击右键：

选择创建一个新的连接。

图3-17新建802.1x连接

3.设置连接属性

图3-18设置连接属性

保持默认状态，选择完成。

图3-19连接创建成功

4.启动连接

双击info连接：

图3-20连接中

连接成功：

图3-21认证通过页面

3.3.4?

验证结果

可以看到，在用户没有发起认证或认证失败的情形下，可以访问VLAN10范围内的网络，证明GuestVLAN生效。

当用户使用正确的客户端认证通过时，可以访问VLAN100的网络，证明动态下发的VLAN生效，同时与CAMS配合完成计费、实时监控。

当设备无预警重启时，用户可以重新认证并上线。

当用户使用的IP/MAC与CAMS上设置的不一致时，用户无法上线。

3.3.5?

故障诊断与排错

1.故障现象：

客户端无法验证通过

使用displaydot1x命令确认全局和端口上都启用了802.1x。

确认客户端拨号程序设置正确的用户名和验证密码。

确认链路是否正常。

若上面检查没有问题，可以打开802.1x调试开关debuggingdot1xpacket查看交换机收到和发送的EAP、EAPoL报文是否正常。

2.故障现象：

用户无需进行802.1X验证就能使用网络资源

使用displaydot1x确认全局和端口上都启用了802.1x。

使用displayinterface确认端口是否有入包统计；

802.1x只针对入包进行认证限制，而对于出包来说，并不需要经过认证。

即禁止从客户端接收帧，但允许向客户端发送帧。