802.1X用户的RADIUS认证 802.1X用户的RADIUS认证、授权和计费配置
1. 组网需求
在图1-26所示的组网环境中,需要实现使用RADIUS服务器对通过Switch接入的802.1X用户进行认证、授权和计费。
● 在接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证,并采用基于MAC地址的接入控制方式,即该端口下的所有用户都需要单独认证;
● Switch与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813...
802.1X用户的RADIUS认证、授权和计费配置
1. 组网需求
在图1-26所示的组网环境中,需要实现使用RADIUS服务器对通过Switch接入的802.1X用户进行认证、授权和计费。
● 在接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证,并采用基于MAC地址的接入控制方式,即该端口下的所有用户都需要单独认证;
● Switch与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名携带域名;
● 用户认证时使用的用户名为dot1x@bbb。
● 用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。
● 对802.1X用户进行包月方式计费,费用为120元/月,以月为周期对用户上网服务的使用量按时长进行统计,允许每月最大上网使用量为120个小时。
2. 组网图
图1-26 802.1X用户RADIUS认证、授权和计费配置组网图
3. 配置步骤
● 请按照组网图完成端口和VLAN的配置,并保证在用户通过认证后能够自动或者手动更新IP地址与授权VLAN中的资源互通。
● 下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206),说明RADIUS server的基本配置。
(1) 配置RADIUS server
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
● 设置与Switch交互报文时的认证、计费共享密钥为“expert”;
● 设置认证及计费的端口号分别为“1812”和“1813”;
● 选择业务类型为“LAN接入业务”;
● 选择接入设备类型为“H3C”;
● 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
● 其它参数采用缺省值,并单击<确定>按钮完成操作。
添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
● 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口Vlan-interface3的IP地址10.1.1.2,则此处接入设备IP地址就选择10.1.1.2。
● 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
图1-27 增加接入设备
# 增加计费策略。
选择“业务”页签,单击导航树中的[计费业务/计费策略管理]菜单项,进入计费策略管理页面,在该页面中单击<增加>按钮,进入计费策略配置页面。
● 输入计费策略名称“UserAcct”;
● 选择计费策略模板为“包月类型”;
● 设置包月基本信息:计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”;
● 设置包月使用量限制:允许每月最大上网使用量为120个小时。
● 其它参数采用缺省值,并单击<确定>按钮完成操作。
图1-28 增加计费策略
# 增加服务配置。
选择“业务”页签,单击导航树中的[接入业务/服务配置管理]菜单项,进入服务器配置管理页面,在该页面中单击<增加>按钮,进入增加服务配置页面。
● 输入服务名为“Dot1x auth”、服务后缀为“bbb”,此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下,RADIUS
中必须指定向服务器发送的用户名中携带域名;
● 选择计费策略为“UserAcct”;
● 配置授权下发的VLAN ID为“4”;
● 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
● 单击<确定>按钮完成操作。
图1-29 增加服务配置
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,进入接入用户列表页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
● 选择或者手工增加用户姓名为“test”;
● 输入帐号名“dot1x”和密码;
● 选择该用户所关联的接入服务为“Dot1x auth”;
● 本配置页面中还有其它服务配置选项,请根据实际情况选择配置;
● 单击<确定>按钮完成操作。
图1-30 增加接入用户
(2) 配置Switch
● 配置RADIUS方案
# 创建名字为rad的RADIUS方案并进入该方案视图。
system-view
[Switch] radius scheme rad
# 配置RADIUS方案的服务器类型。使用iMC服务器时,RADIUS服务器类型应选择extended。
[Switch-radius-rad] server-type extended
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Switch-radius-rad] primary authentication 10.1.1.1
[Switch-radius-rad] primary accounting 10.1.1.1
[Switch-radius-rad] key authentication expert
[Switch-radius-rad] key accounting expert
# 配置发送给RADIUS服务器的用户名携带ISP域名。
[Switch-radius-rad] user-name-format with-domain
[Switch-radius-rad] quit
● 配置认证域
# 创建并进入名字为bbb的ISP域。
[Switch] domain bbb
# 配置ISP域的RADIUS方案rad。
[Switch-isp-bbb] authentication lan-access radius-scheme rad
[Switch-isp-bbb] authorization lan-access radius-scheme rad
[Switch-isp-bbb] accounting lan-access radius-scheme rad
[Switch-isp-bbb] quit
# 配置系统缺省的ISP域bbb,所有接入用户共用此缺省域的认证和计费方式。若用户登录时输入的用户名未携带ISP域名,则使用缺省域下的认证方法。
[Switch] domain default enable bbb
● 配置802.1X认证
# 开启全局802.1X认证。
[Switch] dot1x
# 开启端口GigabitEthernet1/0/1的802.1X认证。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x
[Switch-GigabitEthernet1/0/1] quit
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1
4. 验证配置结果
● 若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。
● 若使用iNode 802.1X客户端,则无需启用任何高级认证选项。
对于使用iNode 802.1X客户端的用户,在客户端的用户属性中输入正确的用户名“dot1x@bbb”和密码后,通过主动发起连接可成功通过认证;对于使用Windows XP 802.1X客户端的用户,在系统自动弹出的认证对话框中输入正确的用户名“dot1x@bbb”和密码后,可成功通过认证。认证通过后,服务器向该用户所在端口授权下发了VLAN 4。
# 可以通过如下命令查看到AAA用户的连接信息。
[Switch] display connection
Slot: 1
Index=22 , Username=dot1x@bbb
IP=192.168.1.58
IPv6=N/A
MAC=0015-e9a6-7cfe
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
# 可以通过如下命令查看该连接的详细信息,其中授权VLAN为VLAN 4。
[Switch] display connection ucibindex 22
Slot: 1
Index=22 , Username=dot1x@bbb
MAC=0015-e9a6-7cfe
IP=192.168.1.58
IPv6=N/A
Access=8021X ,AuthMethod=CHAP
Port Type=Ethernet,Port Name=GigabitEthernet1/0/1
Initial VLAN=1, Authorization VLAN=4
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-04-26 19:41:12 ,Current=2009-04-26 19:41:25 ,Online=00h00m14s
Total 1 connection matched.
本文档为【802.1X用户的RADIUS认证】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。