802.1X典型配置举例

1.11802.1X典型配置举例1.11.1802.1X认证配置举例1.组网需求用户通过Device的端口GigabitEthernet2/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。所有接入用户都属于同一个ISP域bbb。Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。2.组网图图1-12802.1X认证组网图3.配置步骤(1)配置各接口的IP地址（略）(2)配置本地用户#添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）Devicesystem-view[Device]local-userlocaluserclassnetwork[Device-luser-network-localuser]passwordsimplelocalpass#配置本地用户的服务类型为lan-access。[Device-luser-network-localuser]service-typelan-access[Device-luser-network-localuser]quit(3)配置RADIUS方案#创建RADIUS方案radius1并进入其视图。[Device]radiusschemeradius1#配置主认证/计费RADIUS服务器的IP地址。[Device-radius-radius1]primaryauthentication10.1.1.1[Device-radius-radius1]primaryaccounting10.1.1.1#配置备份认证/计费RADIUS服务器的IP地址。[Device-radius-radius1]secondaryauthentication10.1.1.2[Device-radius-radius1]secondaryaccounting10.1.1.2#配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。[Device-radius-radius1]keyauthenticationsimplename[Device-radius-radius1]keyaccountingsimplemoney#配置发送给RADIUS服务器的用户名不携带域名。[Device-radius-radius1]user-name-formatwithout-domain[Device-radius-radius1]quit(4)配置ISP域#创建域bbb并进入其视图。[Device]domainbbb#配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费，并采用local作为备选方法。[Device-isp-bbb]authenticationlan-accessradius-schemeradius1local[Device-isp-bbb]authorizationlan-accessradius-schemeradius1local[Device-isp-bbb]accountinglan-accessradius-schemeradius1local[Device-isp-bbb]quit(5)配置802.1X#开启端口GigabitEthernet2/0/1的802.1X。[Device]interfacegigabitethernet2/0/1[Device-GigabitEthernet2/0/1]dot1x#配置端口的802.1X接入控制方式为mac-based（该配置可选，因为端口的接入控制在缺省情况下就是基于MAC地址的）。[Device-GigabitEthernet2/0/1]dot1xport-methodmacbased#指定端口上接入的802.1X用户使用强制认证域bbb。[Device-GigabitEthernet2/0/1]dot1xmandatory-domainbbb[Device-GigabitEthernet2/0/1]quit#开启全局802.1X。[Device]dot1x4.验证配置使用命令displaydot1xinterface可以查看端口GigabitEthernet2/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后，可使用命令displaydot1xconnection查看到上线用户的连接情况。1.11.2802.1X支持GuestVLAN、授权VLAN下发配置举例1.组网需求如图1-13所示，一台主机通过802.1X认证接入网络，认证服务器为RADIUS服务器。Host接入Device的端口GigabitEthernet2/0/2在VLAN1内；认证服务器在VLAN2内；UpdateServer是用于客户端软件下载和升级的服务器，在VLAN10内；Device连接Internet网络的端口GigabitEthernet2/0/3在VLAN5内。现有如下组网需求：在接口上配置完GuestVLAN，则立即将该端口GigabitEthernet2/0/2加入GuestVLAN（VLAN10）中，此时Host和UpdateServer都在VLAN10内，Host可以访问UpdateServer并下载802.1X客户端。用户认证成功上线后，认证服务器下发VLAN5，此时Host和连接Internet网络的端口GigabitEthernet2/0/3都在VLAN5内，Host可以访问Internet。2.组网图图1-13GuestVLAN及VLAN下发组网图3.配置步骤下述配置步骤中包含了若干AAA/RADIUS协议的配置命令，关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。保证接入端口加入GuestVLAN或授权VLAN之后，802.1X客户端能够及时更新IP地址，以实现与相应网络资源的互通。完成RADIUS服务器的配置，添加用户帐户，指定要授权下发的VLAN（本例中为VLAN5），并保证用户的认证/授权/计费功能正常运行。(1)创建VLAN并将端口加入对应VLANDevicesystem-view[Device]vlan1[Device-vlan1]portgigabitethernet2/0/2[Device-vlan1]quit[Device]vlan10[Device-vlan10]portgigabitethernet2/0/1[Device-vlan10]quit[Device]vlan2[Device-vlan2]portgigabitethernet2/0/4[Device-vlan2]quit[Device]vlan5[Device-vlan5]portgigabitethernet2/0/3[Device-vlan5]quit(2)配置RADIUS方案#创建RADIUS方案2000并进入其视图。[Device]radiusscheme2000#配置主认证/计费RADIUS服务器及其共享密钥。[Device-radius-2000]primaryauthentication10.11.1.11812[Device-radius-2000]primaryaccounting10.11.1.11813[Device-radius-2000]keyauthenticationsimpleabc[Device-radius-2000]keyaccountingsimpleabc#配置发送给RADIUS服务器的用户名不携带域名。[Device-radius-2000]user-name-formatwithout-domain[Device-radius-2000]quit(3)配置ISP域#创建域bbb并进入其视图。[Device]domainbbb#配置802.1X用户使用RADIUS方案2000进行认证、授权、计费。[Device-isp-bbb]authenticationlan-accessradius-scheme2000[Device-isp-bbb]authorizationlan-accessradius-scheme2000[Device-isp-bbb]accountinglan-accessradius-scheme2000[Device-isp-bbb]quit(4)配置802.1X#开启端口GigabitEthernet2/0/2的802.1X。[Device]interfacegigabitethernet2/0/2[Device-GigabitEthernet2/0/2]dot1x#配置端口的802.1X接入控制的方式为portbased。[Device-GigabitEthernet2/0/2]dot1xport-methodportbased#配置端口的802.1X授权状态为auto。（此配置可选，端口的授权状态缺省为auto）[Device-GigabitEthernet2/0/2]dot1xport-controlauto#配置端口的802.1XGuestVLAN为VLAN10。[Device-GigabitEthernet2/0/2]dot1xguest-vlan10[Device-GigabitEthernet2/0/2]quit#开启全局802.1X。[Device]dot1x4.验证配置结果可以通过命令displaydot1xinterface查看端口GigabitEthernet2/0/2上GuestVLAN的配置情况。在接口上配置完GuestVLAN，则该端口会被立即加入其所属的GuestVLAN，通过命令displayvlan10可以查看到端口GigabitEthernet1/0/2加入了配置的GuestVLAN（VLAN10）。在用户认证成功之后，通过命令displayinterface可以看到用户接入的端口GigabitEthernet2/0/2加入了认证服务器下发的VLAN5中。1.11.4802.1X支持EAD快速部署典型配置举例（DHCP中继组网）1.组网需求某公司用户主机通过Device接入Internet，并通过DHCP服务器动态获取IP地址。目前，公司部署EAD解决方案，要求所有用户主机通过802.1X认证上网，因此需要所有主机上安装配套的802.1X客户端。由于网络中的用户主机数量较大，为减轻网络管理员安装以及升级802.1X客户端的工作量，在192.168.2.0/24网段部署一台Web服务器专门提供客户端软件下载。具体要求如下：未进行802.1X认证或者802.1X认证失败的用户，只能访问192.168.2.0/24网段，并可通过该网段内的DHCP服务器动态获取192.168.1.0/24网段的IP地址。未进行802.1X认证或者802.1X认证失败的用户通过浏览器访问非192.168.2.0/24网段的外部网络时，用户访问的页面均会被Device重定向至管理员预设的Web服务器页面，该Web服务器页面将提示用户进行802.1X客户端的下载。用户成功通过802.1X认证之后，可正常访问网络。2.组网图图1-15802.1X支持EAD快速部署典型配置组网图3.配置