配置通过802.1x认证控制企业内网用户访问网络示例

操作步骤

1. 创建VLAN并配置接口允许通过的VLAN，保证网络通畅。

   # 创建VLAN10和VLAN20。

   <HUAWEI> system-view
   [HUAWEI] sysname Switch
   [Switch] vlan batch 10 20
   

   # 配置Switch与用户连接的接口GE0/0/1为Access类型接口，并将GE0/0/1加入VLAN10。

   [Switch] interface gigabitethernet 0/0/1
   [Switch-GigabitEthernet0/0/1] port link-type access
   [Switch-GigabitEthernet0/0/1] port default vlan 10 
   [Switch-GigabitEthernet0/0/1] quit

   设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准，此处假设所有的用户都被划分到VLAN10。

   # 配置Switch连接RADIUS服务器的接口GE0/0/2为Access类型接口，并将GE0/0/2加入VLAN20。

   [Switch] interface gigabitethernet 0/0/2
   [Switch-GigabitEthernet0/0/2] port link-type access
   [Switch-GigabitEthernet0/0/2] port default vlan 20
   [Switch-GigabitEthernet0/0/2] quit

2. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。

   # 创建并配置RADIUS服务器模板“rd1”。

   [Switch] radius-server template rd1
   [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
   [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
   [Switch-radius-rd1] quit

   # 创建AAA方案“abc”并配置认证方式为RADIUS。

   [Switch] aaa
   [Switch-aaa] authentication-scheme abc
   [Switch-aaa-authen-abc] authentication-mode radius
   [Switch-aaa-authen-abc] quit

   # 创建认证域“isp1”，并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。

   [Switch-aaa] domain isp1
   [Switch-aaa-domain-isp1] authentication-scheme abc
   [Switch-aaa-domain-isp1] radius-server rd1
   [Switch-aaa-domain-isp1] quit
   [Switch-aaa] quit

   # 配置全局默认域为“isp1”。用户进行接入认证时，以格式“user@isp1”输入用户名即可在isp1域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在，用户将会在默认域中进行认证。

   [Switch] domain isp1

   # 测试用户是否能够通过RADIUS模板的认证。（已在RADIUS服务器上配置了测试用户test@huawei.com，用户密码Huawei2012）

   [Switch] test-aaa test@huawei.com Huawei2012 radius-template rd1
   Info: Account test succeed.

3. 在Switch上配置802.1x认证。

   # 将NAC配置模式切换成传统模式。

   [Switch] undo authentication unified-mode
   [Switch] quit
   <Switch> reboot

   • 缺省情况下，NAC配置模式为统一模式。
   • 统一模式切换到传统模式后，管理员必须保存配置并重启设备，新配置模式的各项功能才能生效。

   # 在全局和接口下使能802.1x认证。

   <Switch> system-view
   [Switch] dot1x enable
   [Switch] interface gigabitethernet 0/0/1
   [Switch-GigabitEthernet0/0/1] dot1x enable

   设备默认支持用户通过ARP报文触发802.1x认证，如果用户希望通过DHCP报文触发802.1x认证，可在系统视图下执行命令dot1x dhcp-trigger配置。

   # 配置MAC旁路认证。

   [Switch-GigabitEthernet0/0/1] dot1x mac-bypass

4. 验证配置结果。
   1. 执行命令display dot1x查看802.1x认证的各项配置信息。从显示信息中能够看到接口GE0/0/1下已使能802.1x认证（802.1x protocol is Enabled）。
   2. 用户在终端上启动802.1x客户端，输入用户名和密码，开始认证。
   3. 如果用户输入的用户名和密码验证正确，客户端页面会显示认证成功信息。用户即可访问网络。
   4. 用户上线后，管理员可在设备上执行命令display access-user查看在线802.1x用户信息。