H3C交換機(jī)802.1x用戶AAA配置實(shí)例

　　h3c交換機(jī)怎么配置?下面跟yjbys小編一起來(lái)看看最新H3C交換機(jī)802.1x用戶AAA配置實(shí)例，一起來(lái)看看吧!

　　本示例拓?fù)淙鐖D20-6所示�，F(xiàn)需要實(shí)現(xiàn)使用RADIUS服務(wù)器對(duì)通過(guò)交換機(jī)接入的8021x用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。具體要求如下：

　　l 在接入端口GigabitEthernet1/0/1上對(duì)接入用戶進(jìn)行8021x認(rèn)證，同時(shí)采用基于MAC地址的接入控制方式;

　　l 交換機(jī)與RADIUS服務(wù)器交互報(bào)文時(shí)使用的共享密鑰為expert，認(rèn)證/授權(quán)、計(jì)費(fèi)的端口號(hào)分別為1812和1813，向RADIUS服務(wù)器發(fā)送的用戶名攜帶域名;

　　l 用戶認(rèn)證時(shí)使用的用戶名為dot1x@bbb。

　　l 用戶認(rèn)證成功后，認(rèn)證服務(wù)器授權(quán)下發(fā)VLAN 4，將用戶所在端口加入該VLAN，允許用戶訪問(wèn)該VLAN中的網(wǎng)絡(luò)資源。

　　l 對(duì)8021x用戶進(jìn)行包月方式計(jì)費(fèi)，費(fèi)用為120元/月，以月為周期對(duì)用戶上網(wǎng)服務(wù)的使用量按時(shí)長(zhǎng)進(jìn)行統(tǒng)計(jì)，允許每月最大上網(wǎng)使用量為120個(gè)小時(shí)。

　　圖20-6 8021x用戶RADIUS認(rèn)證、授權(quán)和計(jì)費(fèi)配置示例

　　對(duì)比上一節(jié)的示例可以看出，本示例的要求明顯高于上節(jié)示例，盡管它們都是使用iMC RADIUS服務(wù)器。另外，本示例相對(duì)上節(jié)的示例還多了兩項(xiàng)要求，那就是基于MAC地址接入控制的IEEE 802.1x認(rèn)證和RADIUS計(jì)費(fèi)，特別是RADIUS計(jì)費(fèi)功能的配置比較復(fù)雜，要配置計(jì)費(fèi)策略。有關(guān)H3C以太網(wǎng)交換機(jī)的IEEE 802.1x認(rèn)證具體配置方法將在本書第21章介紹。

　　綜合分析本示例的要求，可以得出它的基本配置思路�？傮w來(lái)說(shuō)包括以下四個(gè)方面：在交換機(jī)和對(duì)應(yīng)的端口上啟用IEEE 802.1x認(rèn)證和基于MAC地址的接入控制;配置iMC RADIUS認(rèn)證/授權(quán)、計(jì)費(fèi)服務(wù)器功能;配置RADIUS方案;配置IEEE 802.1x用戶ISP域AAA方案。下面分別予以介紹。

　　1.交換機(jī)上8021x認(rèn)證配置

　　[Switch] dot1x !---開(kāi)啟全局8021x認(rèn)證

　　[Switch] interface gigabitethernet 1/0/1

　　[Switch-GigabitEthernet1/0/1] dot1x !---開(kāi)啟端口GigabitEthernet1/0/1的8021x認(rèn)證

　　[Switch-GigabitEthernet1/0/1] quit

　　[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---設(shè)置接入控制方式(該命令可以不配置，因?yàn)槎丝诘慕尤肟刂圃谀�認(rèn)情況下就是基于MAC地址的)

　　2. 配置iMC RADIUS服務(wù)器

　　本示例中的iMC服務(wù)器配置與上節(jié)示例中的iMC服務(wù)器配置主要多了計(jì)費(fèi)功能的配置。下面以iMC為例(使用iMC版本為：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206)，說(shuō)明本示例的RADIUS 服務(wù)器的基本配置。

　　(1)登錄進(jìn)入iMC管理平臺(tái)，選擇“業(yè)務(wù)”標(biāo)簽頁(yè)，單擊導(dǎo)航欄中的[接入業(yè)務(wù)/接入設(shè)備配置]菜單項(xiàng)，進(jìn)入“接入設(shè)備配置”頁(yè)面，然后單擊【增加】按鈕，進(jìn)入“增加接入設(shè)備”頁(yè)面，如圖20-7所示。然后進(jìn)行如下配置：

　　l 在“共享密鑰”文本框中設(shè)置與交換機(jī)交互報(bào)文時(shí)使用的認(rèn)證、計(jì)費(fèi)共享密鑰為“expert”;

　　l 在“認(rèn)證端口”和“計(jì)費(fèi)端口”兩文本框中設(shè)置RADIUS認(rèn)證及計(jì)費(fèi)的端口號(hào)分別為“1812”和“1813”;

　　l 在“業(yè)務(wù)類型”下拉列表中選擇業(yè)務(wù)類型為“LAN接入業(yè)務(wù)”選項(xiàng);

　　l 在“接入設(shè)置類型”下拉列表中選擇接入設(shè)備類型為“H3C”選項(xiàng);

　　l 在“組網(wǎng)方式”下拉列表中選擇“不啟用混合組網(wǎng)”選項(xiàng);

　　l 在“設(shè)備列表”欄中單擊【選擇】或【手工增加】按鈕添加IP地址為10.1.1.2的接入設(shè)備;

　　其它參數(shù)采用默認(rèn)值，然后單擊【確定】按鈕完成操作。

　　圖20-7 iMC增加接入設(shè)備頁(yè)面

　　(2)添加計(jì)費(fèi)策略。選擇“業(yè)務(wù)”標(biāo)簽頁(yè)，單擊導(dǎo)航欄中的[計(jì)費(fèi)業(yè)務(wù)/計(jì)費(fèi)策略管理]菜單項(xiàng)，進(jìn)入“計(jì)費(fèi)策略管理”頁(yè)面，單擊【增加】按鈕，進(jìn)入“計(jì)費(fèi)策略配置”頁(yè)面，如圖20-8所示。然后進(jìn)行如下配置：

　　l 在“策略名稱”文本框中輸入計(jì)費(fèi)策略名稱“UserAcct”;

　　l 在“計(jì)費(fèi)策略模板”下拉列表中選擇計(jì)費(fèi)策略模板為“包月類型”選項(xiàng);

　　l 在“包月基本信息”欄中設(shè)置：計(jì)費(fèi)方式為“按時(shí)長(zhǎng)”、計(jì)費(fèi)周期為“月”、周期內(nèi)固定費(fèi)用為“120元”;

　　l 在“包月使用量限制”欄中設(shè)置：允許每月最大上網(wǎng)使用量為120個(gè)小時(shí)。

　　其它參數(shù)采用默認(rèn)值，然后單擊頁(yè)面底部的【確定】按鈕完成操作。

　　圖20-8 iMC增加計(jì)費(fèi)策略頁(yè)面

　　(3)配置LAN接入業(yè)務(wù)類型和用戶。選擇“業(yè)務(wù)”標(biāo)簽頁(yè)，單擊導(dǎo)航欄中的[接入業(yè)務(wù)/服務(wù)配置管理]菜單項(xiàng)，進(jìn)入“服務(wù)器配置管理”頁(yè)面，單擊【增加】按鈕，進(jìn)入“增加服務(wù)配置”頁(yè)面，如圖20-9所示。然后進(jìn)行如下配置：

　　圖20-9 iMC增加服務(wù)配置頁(yè)面

　　l 在“服務(wù)名”文本框中輸入服務(wù)名為“Dot1x auth”、在“服務(wù)后綴”文本框中輸入“bbb”(ISP域名)。指定服務(wù)后綴的情況下，RADIUS方案中必須指定向服務(wù)器發(fā)送的用戶名中攜帶域名;

　　l 在“計(jì)費(fèi)策略”下拉列表中選擇為“UserAcct”，這是上一步配置的計(jì)費(fèi)策略;

　　l 在“下發(fā)VLAN”文本框中配置授權(quán)下發(fā)的VLAN ID為“4”(這是根據(jù)本示例要求而定的);

　　其他選項(xiàng)根據(jù)需要配置，然后單擊頁(yè)面底部的【確定】按鈕(圖中未顯示)完成操作。

　　(4)添加802.1x用戶。選擇“用戶”標(biāo)簽頁(yè)，單擊導(dǎo)航欄中的[接入用戶視圖/所有接入用戶]菜單項(xiàng)，進(jìn)入“接入用戶列表”頁(yè)面，單擊【增加】按鈕，進(jìn)入“增加接入用戶”頁(yè)面，如圖20-10所示。 然后進(jìn)行如下配置：

　　l 在“用戶姓名”欄中單擊【選擇】或者【增加用戶】按鈕添加用戶姓名為“test”;

　　l 在“帳號(hào)名”和“密碼”兩文本框中依次輸入“dot1x”和密碼;

　　l 在“接入服務(wù)”欄中選擇該用戶所關(guān)聯(lián)的接入服務(wù)為“Dot1x auth”(這是上一步配置的服務(wù)名);

　　其他選項(xiàng)可根據(jù)需要配置，然后在頁(yè)面底部單擊【確定】按鈕完成操作。

　　圖20-10 iMC增加接入用戶頁(yè)面

　　通過(guò)以上配置，本示例中的iMC服務(wù)器配置就全部完成了。

　　3.配置RADIUS方案

　　system-view

　　[Switch] radius scheme rad

　　[Switch-radius-rad] server-type extended

　　[Switch-radius-rad] primary authentication 10.1.1.1

　　[Switch-radius-rad] primary accounting 10.1.1.1

　　[Switch-radius-rad] key authentication expert

　　[Switch-radius-rad] key accounting expert

　　[Switch-radius-rad] user-name-format with-domain

　　[Switch-radius-rad] quit

　　4. 配置802.1x用戶ISP域AAA方案。

　　[Switch] domain bbb

　　[Switch-isp-bbb] authentication lan-access radius-scheme rad

　　[Switch-isp-bbb] authorization lan-access radius-scheme rad

　　[Switch-isp-bbb] accounting lan-access radius-scheme rad

　　[Switch-isp-bbb] quit

　　以上就是本示例的全部配置。

【H3C交換機(jī)802.1x用戶AAA配置實(shí)例】相關(guān)文章：

H3C交換機(jī)配置實(shí)例09-11

H3C交換機(jī)vlan配置實(shí)例07-13

H3C配置三層交換機(jī)配置實(shí)例09-12

h3c交換機(jī)配置telnet實(shí)例教程07-04

H3C用戶認(rèn)證配置08-25

H3C和CISCO交換機(jī)做聚合配置實(shí)例教學(xué)06-19

h3c交換機(jī)配置09-30

h3c交換機(jī)配置telnet配置教程07-31

h3c交換機(jī)配置命令07-25

H3C核心交換機(jī)配置09-07