所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300X V200R010C00 配置指南(Web网管)

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置802.1x认证示例

配置802.1x认证示例

组网需求

图2-323所示,某公司内部大量用户终端通过Switch(作为接入设备)的接口GE9/0/2接入网络。在该网络运行一段时间后,发现存在用户对公司内网进行攻击。为确保网络的安全性,管理员需对用户终端的网络访问权限进行控制,只有用户终端通过认证后,Switch才允许其访问Internet中的资源。

图2-323  配置802.1x认证组网图

配置说明

为实现对用户网络访问权限进行限制的需求,在将IP地址为192.168.2.30、认证端口号为1812的服务器用作RADIUS服务器后,管理员可在Switch上配置802.1x认证功能。

具体配置思路如下:

  1. Switch创建并配置RADIUS服务器模板、AAA方案以及认证域,并在ISP域下绑定RADIUS服务器模板与AAA方案。保证了Switch与RADIUS服务器之间的信息交互。
  2. Switch配置802.1x认证。同时配置接口允许接入的最大802.1x认证用户数为200,防止过多的用户同时接入网络。

开始802.1x认证配置前,需要预先按顺序执行如下操作:

  1. 分别配置GE9/0/2接口加入VLAN10、GE9/0/3加接口入VLAN20。
  2. 配置VLANIF10接口地址为192.168.1.20、VLANIF20接口地址为192.168.2.29。

VLAN配置的相关操作请参见VLAN,此处步骤省略。

说明:

配置本举例之前,需确保网络中各设备之间已能互通。

操作步骤

  1. 新建RADIUS模板。
    1. 单击导航树中的安全 > AAA配置 > RADIUS配置菜单,进入“RADIUS配置”界面。
    2. 单击“RADIUS模板”下的“新建”,进入“新建RADIUS模板”界面。
    3. 填写“模板名称”为:“rd1”,填写“密钥”“确认密钥”为:“huawei2012”。如图2-324所示。

      图2-324  新建RADIUS模板

    4. 单击“确定”,完成配置。
  2. 配置RADIUS认证服务器。
    1. 返回“RADIUS配置”界面。
    2. 单击“RADIUS认证/计费服务器”下的“新建”,进入“新建RADIUS认证/计费服务器”界面。
    3. 进行如下配置,如图2-325所示。

      • “服务器类型”下拉选项中选择“认证服务器”
      • “模板名称”下拉选项中选择“rd1”
      • 填写“IP地址”为:“192.168.2.30”
      • 填写“端口号”为:“1812”
      图2-325  配置RADIUS认证服务器

    4. 单击“确定”,完成配置。
  3. 创建并配置AAA认证方案。
    1. 单击导航树中的安全 > AAA配置 > 认证/授权/计费方案菜单,进入“认证/授权/计费方案”界面。
    2. 单击“新建”,进入“新建认证方案”界面。
    3. 填写“认证方案名称”为:“abc”。在“认证模式1”下拉选项中选择“radius”。如图2-326所示。

      图2-326  创建并配置AAA认证方案

    4. 单击“确定”,完成配置。
  4. 创建并配置认证域。
    1. 单击导航树中的安全 > AAA配置 > 域管理菜单,进入“域管理”界面。
    2. 单击“新建”,进入“新建域”界面。
    3. 进行如下配置,如图2-327所示。

      • 填写“域名称”为:“isp1”
      • “认证方案”下拉选项中选择“abc”
      • “RADIUS模板”下拉选项中选择“rd1”
      图2-327  创建并配置认证域

    4. 单击“确定”,完成配置。
  5. 切换NAC配置模式。

    说明:
    • 缺省情况下,NAC配置模式为统一模式。而802.1x节点仅在传统模式下可见,为后续配置802.1x认证,需将NAC配置模式切换至传统模式。
    • 传统模式与统一模式相互切换后,必须保存配置并且重启设备,新配置模式的各项功能才能生效。

    1. 设置下次启动模式:单击导航树中的安全 > AAA配置 > 模式切换菜单,进入“模式切换”界面。
    2. 单击“传统模式”。如图2-328所示。

      图2-328  NAC配置模式切换

    3. 单击“应用”后,保存配置并且重启设备,完成配置。
  6. 全局使能802.1x功能。
    1. 单击导航树中的安全 > 802.1x > 全局802.1x参数配置菜单,进入“全局802.1x参数配置”界面。
    2. “全局802.1x使能”选项中选择“使能”。如图2-329所示。

      图2-329  全局使能802.1x功能

    3. 单击“应用”,完成配置。
  7. 配置接口802.1x参数。
    1. 单击导航树中的安全 > 802.1x > 接口802.1x参数配置菜单,进入“接口802.1x参数配置”界面。
    2. 选择GE9/0/2接口,单击“配置”,进入“配置接口802.1x参数”界面。
    3. “802.1x使能”选项中选择“使能”。填写“最大用户数”为:“200”。如图2-330所示。

      图2-330  配置接口802.1x参数

    4. 单击“确定”,完成配置。
  8. 单击导航树中的“

操作结果

  • “RADIUS配置”界面下显示配置的RADIUS模板rd1和认证服务器的信息。如图2-331所示。
    图2-331  RADIUS模板rd1和认证服务器的信息
  • “认证/授权/计费方案”界面显示配置的认证方案abc的信息。如图2-332所示。
    图2-332  认证方案abc的信息
  • “域管理”界面显示配置的isp1域信息。如图2-333所示。
    图2-333  isp1域信息
  • “接口802.1x参数配置”界面显示配置的接口参数信息。如图2-334所示。
    图2-334  接口参数信息
翻译
下载文档
更新时间:2019-08-21

文档编号:EDOC1000123894

浏览量:7715

下载量:570

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页