802.1X用户的RADIUS认证

 802.1X用户的RADIUS认证、授权和计费配置 1. 组网需求 在图1-26所示的组网环境中，需要实现使用RADIUS服务器对通过Switch接入的802.1X用户进行认证、授权和计费。 ●              在接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证，并采用基于MAC地址的接入控制方式，即该端口下的所有用户都需要单独认证； ●              Switch与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名； ●              用户认证时使用的用户名为dot1x@bbb。 ●              用户认证成功后，认证服务器授权下发VLAN 4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。 ●              对802.1X用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。 2. 组网图 图1-26 802.1X用户RADIUS认证、授权和计费配置组网图   3. 配置步骤 ●          请按照组网图完成端口和VLAN的配置，并保证在用户通过认证后能够自动或者手动更新IP地址与授权VLAN中的资源互通。 ●          下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206），说明RADIUS server的基本配置。   (1)        配置RADIUS server # 增加接入设备。 登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。 ●              设置与Switch交互报文时的认证、计费共享密钥为“expert”； ●              设置认证及计费的端口号分别为“1812”和“1813”； ●              选择业务类型为“LAN接入业务”； ●              选择接入设备类型为“H3C”； ●              选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备； ●              其它参数采用缺省值，并单击<确定>按钮完成操作。 添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下，设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。 ●          若设备使用缺省的发送RADIUS报文的源地址，例如，本例中为接口Vlan-interface3的IP地址10.1.1.2，则此处接入设备IP地址就选择10.1.1.2。 ●          若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址，则此处的接入设备IP地址就需要修改并与指定源地址保持一致。   图1-27 增加接入设备   # 增加计费策略。 选择“业务”页签，单击导航树中的[计费业务/计费策略管理]菜单项，进入计费策略管理页面，在该页面中单击<增加>按钮，进入计费策略配置页面。 ●              输入计费策略名称“UserAcct”； ●              选择计费策略模板为“包月类型”； ●              设置包月基本信息：计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”； ●              设置包月使用量限制：允许每月最大上网使用量为120个小时。 ●              其它参数采用缺省值，并单击<确定>按钮完成操作。 图1-28 增加计费策略   # 增加服务配置。 选择“业务”页签，单击导航树中的[接入业务/服务配置管理]菜单项，进入服务器配置管理页面，在该页面中单击<增加>按钮，进入增加服务配置页面。 ●              输入服务名为“Dot1x auth”、服务后缀为“bbb”，此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下，RADIUS中必须指定向服务器发送的用户名中携带域名； ●              选择计费策略为“UserAcct”； ●              配置授权下发的VLAN ID为“4”； ●              本配置页面中还有其它服务配置选项，请根据实际情况选择配置； ●              单击<确定>按钮完成操作。 图1-29 增加服务配置   # 增加接入用户。 选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户]菜单项，进入接入用户列表页面，在该页面中单击<增加>按钮，进入增加接入用户页面。 ●              选择或者手工增加用户姓名为“test”； ●              输入帐号名“dot1x”和密码； ●              选择该用户所关联的接入服务为“Dot1x auth”； ●              本配置页面中还有其它服务配置选项，请根据实际情况选择配置； ●              单击<确定>按钮完成操作。 图1-30 增加接入用户   (2)        配置Switch ●              配置RADIUS方案 # 创建名字为rad的RADIUS方案并进入该方案视图。 system-view [Switch] radius scheme rad # 配置RADIUS方案的服务器类型。使用iMC服务器时，RADIUS服务器类型应选择extended。 [Switch-radius-rad] server-type extended # 配置RADIUS方案的主认证和主计费服务器及其通信密钥。 [Switch-radius-rad] primary authentication 10.1.1.1 [Switch-radius-rad] primary accounting 10.1.1.1 [Switch-radius-rad] key authentication expert [Switch-radius-rad] key accounting expert # 配置发送给RADIUS服务器的用户名携带ISP域名。 [Switch-radius-rad] user-name-format with-domain [Switch-radius-rad] quit ●              配置认证域 # 创建并进入名字为bbb的ISP域。 [Switch] domain bbb # 配置ISP域的RADIUS方案rad。 [Switch-isp-bbb] authentication lan-access radius-scheme rad [Switch-isp-bbb] authorization lan-access radius-scheme rad [Switch-isp-bbb] accounting lan-access radius-scheme rad [Switch-isp-bbb] quit # 配置系统缺省的ISP域bbb，所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。 [Switch] domain default enable bbb ●              配置802.1X认证 # 开启全局802.1X认证。 [Switch] dot1x # 开启端口GigabitEthernet1/0/1的802.1X认证。 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] dot1x [Switch-GigabitEthernet1/0/1] quit # 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。 [Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 4. 验证配置结果 ●          若使用Windows XP的802.1X客户端，则需要正确设置此连接的网络属性：在网络属性的“验证”页签中，确保选中“启用此网络的 IEEE 802.1x 验证”，并选择要用于此连接的EAP认证类型为“MD5-质询”。 ●          若使用iNode 802.1X客户端，则无需启用任何高级认证选项。   对于使用iNode 802.1X客户端的用户，在客户端的用户属性中输入正确的用户名“dot1x@bbb”和密码后，通过主动发起连接可成功通过认证；对于使用Windows XP 802.1X客户端的用户，在系统自动弹出的认证对话框中输入正确的用户名“dot1x@bbb”和密码后，可成功通过认证。认证通过后，服务器向该用户所在端口授权下发了VLAN 4。 # 可以通过如下命令查看到AAA用户的连接信息。 [Switch] display connection Slot:  1 Index=22  , Username=dot1x@bbb  IP=192.168.1.58  IPv6=N/A  MAC=0015-e9a6-7cfe  Total 1 connection(s) matched on slot 1.  Total 1 connection(s) matched. # 可以通过如下命令查看该连接的详细信息，其中授权VLAN为VLAN 4。 [Switch] display connection ucibindex 22 Slot:  1 Index=22  , Username=dot1x@bbb MAC=0015-e9a6-7cfe IP=192.168.1.58 IPv6=N/A Access=8021X   ,AuthMethod=CHAP Port Type=Ethernet,Port Name=GigabitEthernet1/0/1 Initial VLAN=1, Authorization VLAN=4 ACL Group=Disable User Profile=N/A CAR=Disable Priority=Disable Start=2009-04-26 19:41:12 ,Current=2009-04-26 19:41:25 ,Online=00h00m14s  Total 1 connection matched.