H3C交換機802.1x用戶AAA配置實例

H3C交換機802.1x用戶AAA配置實例

　　h3c交換機怎么配置?下面跟yjbys小編一起來看看最新H3C交換機802.1x用戶AAA配置實例，一起來看看吧!

　　本示例拓撲如圖20-6所示。現需要實現使用RADIUS服務器對通過交換機接入的8021x用戶進行認證、授權和計費。具體要求如下：

　　l 在接入端口GigabitEthernet1/0/1上對接入用戶進行8021x認證，同時采用基于MAC地址的接入控制方式;

　　l 交換機與RADIUS服務器交互報文時使用的共享密鑰為expert，認證/授權、計費的端口號分別為1812和1813，向RADIUS服務器發送的用戶名攜帶域名;

　　l 用戶認證時使用的用戶名為dot1x@bbb。

　　l 用戶認證成功后，認證服務器授權下發VLAN 4，將用戶所在端口加入該VLAN，允許用戶訪問該VLAN中的網絡資源。

　　l 對8021x用戶進行包月方式計費，費用為120元/月，以月為周期對用戶上網服務的使用量按時長進行統計，允許每月最大上網使用量為120個小時。

　　圖20-6 8021x用戶RADIUS認證、授權和計費配置示例

　　對比上一節的示例可以看出，本示例的要求明顯高于上節示例，盡管它們都是使用iMC RADIUS服務器。另外，本示例相對上節的示例還多了兩項要求，那就是基于MAC地址接入控制的IEEE 802.1x認證和RADIUS計費，特別是RADIUS計費功能的配置比較復雜，要配置計費策略。有關H3C以太網交換機的IEEE 802.1x認證具體配置方法將在本書第21章介紹。

　　綜合分析本示例的要求，可以得出它的基本配置思路�？傮w來說包括以下四個方面：在交換機和對應的端口上啟用IEEE 802.1x認證和基于MAC地址的接入控制;配置iMC RADIUS認證/授權、計費服務器功能;配置RADIUS方案;配置IEEE 802.1x用戶ISP域AAA方案。下面分別予以介紹。

　　1.交換機上8021x認證配置

　　[Switch] dot1x !---開啟全局8021x認證

　　[Switch] interface gigabitethernet 1/0/1

　　[Switch-GigabitEthernet1/0/1] dot1x !---開啟端口GigabitEthernet1/0/1的8021x認證

　　[Switch-GigabitEthernet1/0/1] quit

　　[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---設置接入控制方式(該命令可以不配置，因為端口的接入控制在默認情況下就是基于MAC地址的)

　　2. 配置iMC RADIUS服務器

　　本示例中的iMC服務器配置與上節示例中的iMC服務器配置主要多了計費功能的配置。下面以iMC為例(使用iMC版本為：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206)，說明本示例的RADIUS 服務器的基本配置。

　　(1)登錄進入iMC管理平臺，選擇“業務”標簽頁，單擊導航欄中的[接入業務/接入設備配置]菜單項，進入“接入設備配置”頁面，然后單擊【增加】按鈕，進入“增加接入設備”頁面，如圖20-7所示。然后進行如下配置：

　　l 在“共享密鑰”文本框中設置與交換機交互報文時使用的認證、計費共享密鑰為“expert”;

　　l 在“認證端口”和“計費端口”兩文本框中設置RADIUS認證及計費的端口號分別為“1812”和“1813”;

　　l 在“業務類型”下拉列表中選擇業務類型為“LAN接入業務”選項;

　　l 在“接入設置類型”下拉列表中選擇接入設備類型為“H3C”選項;

　　l 在“組網方式”下拉列表中選擇“不啟用混合組網”選項;

　　l 在“設備列表”欄中單擊【選擇】或【手工增加】按鈕添加IP地址為10.1.1.2的接入設備;

　　其它參數采用默認值，然后單擊【確定】按鈕完成操作。

　　圖20-7 iMC增加接入設備頁面

　　(2)添加計費策略。選擇“業務”標簽頁，單擊導航欄中的[計費業務/計費策略管理]菜單項，進入“計費策略管理”頁面，單擊【增加】按鈕，進入“計費策略配置”頁面，如圖20-8所示。然后進行如下配置：

　　l 在“策略名稱”文本框中輸入計費策略名稱“UserAcct”;

　　l 在“計費策略模板”下拉列表中選擇計費策略模板為“包月類型”選項;

　　l 在“包月基本信息”欄中設置：計費方式為“按時長”、計費周期為“月”、周期內固定費用為“120元”;

　　l 在“包月使用量限制”欄中設置：允許每月最大上網使用量為120個小時。

　　其它參數采用默認值，然后單擊頁面底部的【確定】按鈕完成操作。

　　圖20-8 iMC增加計費策略頁面

　　(3)配置LAN接入業務類型和用戶。選擇“業務”標簽頁，單擊導航欄中的[接入業務/服務配置管理]菜單項，進入“服務器配置管理”頁面，單擊【增加】按鈕，進入“增加服務配置”頁面，如圖20-9所示。然后進行如下配置：

　　圖20-9 iMC增加服務配置頁面

　　l 在“服務名”文本框中輸入服務名為“Dot1x auth”、在“服務后綴”文本框中輸入“bbb”(ISP域名)。指定服務后綴的情況下，RADIUS方案中必須指定向服務器發送的用戶名中攜帶域名;

　　l 在“計費策略”下拉列表中選擇為“UserAcct”，這是上一步配置的計費策略;

　　l 在“下發VLAN”文本框中配置授權下發的VLAN ID為“4”(這是根據本示例要求而定的);

　　其他選項根據需要配置，然后單擊頁面底部的【確定】按鈕(圖中未顯示)完成操作。

　　(4)添加802.1x用戶。選擇“用戶”標簽頁，單擊導航欄中的[接入用戶視圖/所有接入用戶]菜單項，進入“接入用戶列表”頁面，單擊【增加】按鈕，進入“增加接入用戶”頁面，如圖20-10所示。 然后進行如下配置：

　　l 在“用戶姓名”欄中單擊【選擇】或者【增加用戶】按鈕添加用戶姓名為“test”;

　　l 在“帳號名”和“密碼”兩文本框中依次輸入“dot1x”和密碼;

　　l 在“接入服務”欄中選擇該用戶所關聯的接入服務為“Dot1x auth”(這是上一步配置的服務名);

　　其他選項可根據需要配置，然后在頁面底部單擊【確定】按鈕完成操作。

　　圖20-10 iMC增加接入用戶頁面

　　通過以上配置，本示例中的iMC服務器配置就全部完成了。

　　3.配置RADIUS方案

　　system-view

　　[Switch] radius scheme rad

　　[Switch-radius-rad] server-type extended

　　[Switch-radius-rad] primary authentication 10.1.1.1

　　[Switch-radius-rad] primary accounting 10.1.1.1

　　[Switch-radius-rad] key authentication expert

　　[Switch-radius-rad] key accounting expert

　　[Switch-radius-rad] user-name-format with-domain

　　[Switch-radius-rad] quit

　　4. 配置802.1x用戶ISP域AAA方案。

　　[Switch] domain bbb

　　[Switch-isp-bbb] authentication lan-access radius-scheme rad

　　[Switch-isp-bbb] authorization lan-access radius-scheme rad

　　[Switch-isp-bbb] accounting lan-access radius-scheme rad

　　[Switch-isp-bbb] quit

　　以上就是本示例的全部配置。

【H3C交換機802.1x用戶AAA配置實例】相關文章：

H3C交換機配置實例09-11

H3C交換機vlan配置實例07-13

H3C配置三層交換機配置實例09-12

h3c交換機配置telnet實例教程07-04

H3C用戶認證配置08-25

H3C和CISCO交換機做聚合配置實例教學06-19

h3c交換機配置09-30

h3c交換機配置telnet配置教程07-31

h3c交換機配置命令07-25

H3C核心交換機配置09-07