FAQ -入域终端使用802.1X radius认证,哑终端使用mac本地认证如何实现

发布时间:  2017-03-01 浏览次数:  646 下载次数:  0
问题描述
某局点加入域的终端需要做802.1x认证,另有IP电话、打印机等哑终端需要做MAC认证。
客户不希望将MAC地址添加在radius服务器上。希望实现802.1x使用radius服务器认证,哑终端使用MAC本地认证。
资料中无该场景举例,本案例提供了一种实现方法。
解决方案
1、按照产品文档中的案例配置802.1x的radius认证

2、全局指定MAC认证域,接口下开启MAC旁路认证                  
[Switch] mac-authen domain mac

[Switch] interface Ethernet 0/0/1
[Switch-Ethernet 0/0/1] dot1x mac-bypass mac-auth-first
[Switch-Ethernet 0/0/1] dot1x mac-bypass

3、MAC本地认证使用独立域mac,认证方式为local,添加哑终端MAC地址
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode local

[Switch-aaa] domain mac
[Switch-aaa-domain-mac] authentication-scheme abc

[Switch-aaa] local-user 000b-09d4-8828 password cipher Huawei@123
[Switch-aaa] local-user 000b-09d4-8828 service-type 8021x

END