20.6.3 802.1x使用者的radius認證、授權和計費配置例項
本示例拓撲如圖20-6所示。現需要實現使用radius伺服器對通過交換機接入的8021x使用者進行認證、授權和計費。具體要求如下:
l 在接入埠gigabitethernet1/0/1上對接入使用者進行8021x認證,同時採用基於mac位址的接入控制方式;
l 交換機與radius伺服器互動報文時使用的共享金鑰為expert,認證/授權、計費的埠號分別為1812和1813,向radius伺服器傳送的使用者名稱攜帶網域名稱;
l 使用者認證時使用的使用者名為dot1x@bbb。
l 使用者認證成功後,認證伺服器授權下發vlan 4,將使用者所在埠加入該vlan,允許使用者訪問該vlan中的網路資源。
l 對8021x使用者進行包月方式計費,費用為120元/月,以月為週期對使用者上網服務的使用量按時長進行統計,允許每月最大上網使用量為120個小時。
圖20-6 8021x使用者radius認證、授權和計費配置示例
對比上一節的示例可以看出,本示例的要求明顯高於上節示例,儘管它們都是使用imc radius伺服器。另外,本示例相對上節的示例還多了兩項要求,那就是基於mac位址接入控制的ieee 802.1x認證和radius計費,特別是radius計費功能的配置比較複雜,要配置計費策略。有關h3c乙太網交換機的ieee 802.1x認證具體配置方法將在本書第21章介紹。
綜合分析本示例的要求,可以得出它的基本配置思路。總體來說包括以下四個方面:在交換機和對應的埠上啟用ieee 802.1x認證和基於mac位址的接入控制;配置imc radius認證/授權、計費伺服器功能;配置radius方案;配置ieee 802.1x使用者isp域aaa方案。下面分別予以介紹。
1.交換機上8021x認證配置
[switch] dot1x !---開啟全域性8021x認證
[switch] inte***ce gigabitethernet 1/0/1
[switch-gigabitethernet1/0/1] dot1x !---開啟埠gigabitethernet1/0/1的8021x認證
[switch-gigabitethernet1/0/1] quit
[switch] dot1x port-method macbased inte***ce gigabitethernet 1/0/1 !---設定接入控制方式(該命令可以不配置,因為埠的接入控制在預設情況下就是基於mac位址的)
2. 配置imc radius伺服器
本示例中的imc伺服器配置與上節示例中的imc伺服器配置主要多了計費功能的配置。下面以imc為例(使用imc版本為:imc plat 3.20-r2606、imc uam 3.60-e6206、imc cams 3.60-e6206),說明本示例的radius 伺服器的基本配置。
(1)登入進入imc管理平台,選擇「業務」標籤頁,單擊導航欄中的[接入業務/接入裝置配置]選單項,進入「接入裝置配置」頁面,然後單擊【增加】按鈕,進入「增加接入裝置」頁面,如圖20-7所示。然後進行如下配置:
l 在「共享金鑰」文字框中設定與交換機互動報文時使用的認證、計費共享金鑰為「expert」;
l 在「認證埠」和「計費埠」兩文字框中設定radius認證及計費的埠號分別為「1812」和「1813」;
l 在「業務型別」下拉列表中選擇業務型別為「lan接入業務」選項;
l 在「接入設定型別」下拉列表中選擇接入裝置型別為「h3c」選項;
l 在「組網方式」下拉列表中選擇「不啟用混合組網」選項;
l 在「裝置列表」欄中單擊【選擇】或【手工增加】按鈕新增ip位址為10.1.1.2的接入裝置;
其它引數採用預設值,然後單擊【確定】按鈕完成操作。
圖20-7 imc增加接入裝置頁面
(2)新增計費策略。選擇「業務」標籤頁,單擊導航欄中的[計費業務/計費策略管理]選單項,進入「計費策略管理」頁面,單擊【增加】按鈕,進入「計費策略配置」頁面,如圖20-8所示。然後進行如下配置:
l 在「策略名稱」文字框中輸入計費策略名稱「useracct」;
l 在「計費策略模板」下拉列表中選擇計費策略模板為「包月型別」選項;
l 在「包月基本資訊」欄中設定:計費方式為「按時長」、計費週期為「月」、週期內固定費用為「120元」;
l 在「包月使用量限制」欄中設定:允許每月最大上網使用量為120個小時。
其它引數採用預設值,然後單擊頁面底部的【確定】按鈕完成操作。
圖20-8 imc增加計費策略頁面
(3)配置lan接入業務型別和使用者。選擇「業務」標籤頁,單擊導航欄中的[接入業務/服務配置管理]選單項,進入「伺服器配置管理」頁面,單擊【增加】按鈕,進入「增加服務配置」頁面,如圖20-9所示。然後進行如下配置:
圖20-9 imc增加服務配置頁面
l 在「服務名」文字框中輸入服務名為「dot1x auth」、在「服務字尾」文字框中輸入「bbb」(isp網域名稱)。指定服務字尾的情況下,radius方案中必須指定向伺服器傳送的使用者名稱中攜帶網域名稱;
l 在「計費策略」下拉列表中選擇為「useracct」,這是上一步配置的計費策略;
l 在「下發vlan」文字框中配置授權下發的vlan id為「4」(這是根據本示例要求而定的);
其他選項根據需要配置,然後單擊頁面底部的【確定】按鈕(圖中未顯示)完成操作。
(4)新增802.1x使用者。選擇「使用者」標籤頁,單擊導航欄中的[接入使用者檢視/所有接入使用者]選單項,進入「接入使用者列表」頁面,單擊【增加】按鈕,進入「增加接入使用者」頁面,如圖20-10所示。 然後進行如下配置:
l 在「使用者姓名」欄中單擊【選擇】或者【增加使用者】按鈕新增使用者姓名為「test」;
l 在「帳號名」和「密碼」兩文字框中依次輸入「dot1x」和密碼;
l 在「接入服務」欄中選擇該使用者所關聯的接入服務為「dot1x auth」(這是上一步配置的服務名);
其他選項可根據需要配置,然後在頁面底部單擊【確定】按鈕完成操作。
圖20-10 imc增加接入使用者頁面
通過以上配置,本示例中的imc伺服器配置就全部完成了。
3.配置radius方案
system-view
[switch] radius scheme rad
[switch-radius-rad] server-type extended
[switch-radius-rad] primary authentication 10.1.1.1
[switch-radius-rad] primary accounting 10.1.1.1
[switch-radius-rad] key authentication expert
[switch-radius-rad] key accounting expert
[switch-radius-rad] user-name-format with-domain
[switch-radius-rad] quit
4. 配置802.1x使用者isp域aaa方案。
[switch] domain bbb
[switch-isp-bbb] authentication lan-access radius-scheme rad
[switch-isp-bbb] authorization lan-access radius-scheme rad
[switch-isp-bbb] accounting lan-access radius-scheme rad
[switch-isp-bbb] quit
以上就是本示例的全部配置。
【說明】以上內容摘自筆者編著的,剛剛上市的
《cisco/h3c交換機高階配置與管理技術手冊》
一書,它與全面熱銷
《cisco/h3c交換機配置與管理完全手冊》(第二版)
圖書構成目前國內系統、最全面的大型cisco和h3c交換機配置手冊(共
1700多頁)。目前當當網和卓越網最低僅需63折。
H3C交換機結合深信服AC做802 1x認證
這裡介紹h3c接入交換機結合深信服的ac裝置做802.1x認證,深信服裝置做認證伺服器,h3c交換機做nas客戶端。深信服的ac做准入的認證方式只能支援eap協議。1 配置深信服ac的802.1x認證 ac裝置位址是192.168.1.94 radius伺服器共享金鑰 a123456 2 建立本地賬...
802 1X協議 交換機知識
802.1x協議是ieee802 lan wan委員會為了解決無線區域網網路安全問題提出的。後來該協議作為區域網埠的乙個普通接入控制機制應用於乙太網中,主要用於解決乙太網內認證和安全方面的問題,在區域網接入裝置的埠這一級對所接入的裝置進行認證和控制。802.1x 體系結構 802.1x的系統是採用典...
802 1X協議 交換機知識
802.1x協議是ieee802 lan wan委員會為了解決無線區域網網路安全問題提出的。後來該協議作為區域網埠的乙個普通接入控制機制應用於乙太網中,主要用於解決乙太網內認證和安全方面的問題,在區域網接入裝置的埠這一級對所接入的裝置進行認證和控制。802.1x 體系結構 802.1x的系統是採用典...