所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置802.1X接入业务

配置802.1X接入业务

在进行802.1X接入业务配置前了解此特性的应用环境、配置此特性的前置任务,可以帮助您快速、准确地完成配置任务。

应用场景

为限制未经授权的用户/设备通过接入端口访问网络,保护网络安全,可配置802.1X接入业务来控制合法用户接入。

前置任务

  • 配置接口的链路层状态为Up。
  • 配置路由协议,实现网络的IP连通性。

配置流程

以下配置任务(不含检查配置结果),根据应用环境选择配置即可。

创建dot1x模板

当使用802.1X认证方法进行认证时,需要通过dot1x模板在服务器端和802.1X客户端之间的802.1X协商参数。

背景信息

在系统视图下创建dot1x模板后,需要配置dot1x模板的相关参数:
  • 在dot1x模板中可以通过命令eap-end设置802.1X用户的EAP模式和认证方式。根据实际组网需求来选择EAP终结模式还是EAP中继模式。
  • 在dot1x模板中可以通过命令authentication timeout配置BRAS设备等待认证服务器EAP回应报文的超时时间。如果在超时时间内,BRAS设备没有收到服务器的EAP回应报文,认为用户下线。
  • 在802.1X用户上线过程中,BRAS设备向客户端发送请求报文,如果客户端无回应,可以通过命令request配置BRAS设备向客户端发送请求报文的重传次数和重传超时时间,要求在重传次数和重传时间内,否则用户下线。
  • 用户通过802.1X协议上线后,可以通过命令reauthentication interval配置BRAS设备向客户端发送重认证请求报文的时间间隔,验证用户的合法性,如果重新认证不通过,则用户下线。
  • 802.1X用户已下线,但服务器仍然计费,可以通过命令keepalive配置客户端与服务器之间的握手报文的重传次数及超时时间,要求在超时时间和报文重传次数内,客户端必须有回应,否则用户下线。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-template dot1x-template-number,创建dot1x模板并进入dot1x模板视图。

    dot1x模板以编号进行标识。系统中固定存在编号为1的dot1x模板,只能修改,不能删除。

  3. (可选)执行命令eap-end [ chap | pap ],配置802.1X用户的终结模式和认证方式。
  4. (可选)执行命令authentication timeout time,配置认证响应报文的超时时间。
  5. (可选)执行命令request { interval time | retransmit times } *,配置Request报文的超时时间和重传次数。
  6. (可选)执行命令reauthentication interval time,配置重认证的时间间隔。
  7. (可选)执行命令keepalive { interval time | retransmit times } *,配置Keepalive报文的超时时间和重传次数。
  8. 执行命令commit,提交配置。

配置域下绑定dot1X模板

域下用户使用802.1X方法认证时,使用模板中定义的参数进行802.1X协商。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令domain domain-name,进入AAA域视图。
  4. 执行命令dot1x-template dot1x-template-number,配置域下绑定的dot1X模板。
  5. 执行命令commit,提交配置。

(可选)配置子接口绑定VLAN

当在局域网内需要限制广播报文,增强LAN的安全性或建立虚拟工作组时,需要配置VLAN。VLAN只能在以太网子接口下使用。

背景信息

对于从主接口接入的用户,不需要对接口进行配置;对于从子接口接入的用户,需要在子接口绑定VLAN。

子接口可以绑定VLAN或QinQ,配置子接口绑定VLAN包括以下参数:

  • 子接口的编号
  • VLAN ID
  • QinQ ID
说明:
  • 每个主接口下只允许配置一个any-other子接口。同一个子接口下user-vlan any-other不能与user-vlan start-vlanuser-vlan qinq同时配置。
  • 子接口上已经配置了dot1q终结或QinQ终结或qinq stacking或vlan-type dot1q,则不能再配置user-vlan命令。
  • 不同的子接口下不能配置VLAN ID相同的user-vlan。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令interface interface-type interface-number.subinterface-number,创建并进入子接口视图。
  3. 执行命令user-vlan { start-vlan-id [ end-vlan-id ] [ qinq start-pe-vlan [ end-pe-vlan ] ] } | any-other },创建用户侧VLAN。
  4. 执行命令commit,提交配置。

配置BAS接口

当某个接口用于接入宽带用户时,需要将该接口配置为BAS接口,并指定该接口的用户接入类型及相关属性。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令license,进入license视图。
  3. 执行命令active bas slot slot-id,使能单板BAS接入功能。
  4. 执行命令quit,退回系统视图。
  5. 执行命令interface interface-type interface-number [ .subinterface-number [ p2p | p2mp ] ],进入用户侧接口视图。
  6. 执行命令commit,提交配置。
  7. 执行命令bas,创建BAS接口并进入BAS接口视图。

    当在一个接口视图下执行bas命令时,可以将该接口设置为BAS接口。可以设置为BAS接口的接口类型包括以太接口、Eth-Trunk接口、VE(Virtual-Ethernet)接口以及这些接口的子接口。

  8. 配置BAS接口参数,根据需要,可执行如表8-1中的一个或多个操作。

    表8-1  配置BAS接口参数

    BAS接口参数

    命令

    说明

    配置二层普通用户接入类型及相关属性

    执行命令access-type layer2-subscriber [ default-domain { authentication [ force | replace ] dname | pre-authentication prename } * | bas-interface-name bname | accounting-copy radius-server rd-name ] *

    配置从BAS接口上线的用户类型为二层普通用户,使其直接通过二层网络接入,拥有独立的业务属性,独立的认证和计费。在设置BAS接口的用户接入类型时,还可以一起设置和该用户类型相关的业务属性,这些属性也可以在后续的配置中逐项配置。对于已经被Eth-Trunk接口包含的以太网接口,不能配置其用户接入类型,而只能在相应的Eth-Trunk接口下配置用户接入类型。

    配置用户认证方法

    执行命令authentication-method

    配置BAS接口的认证方法为dot1x认证方式。

    配置接口级用户数限制

    执行命令access-limit user-number

    限制域下用户的在线数量,当接入用户数大于允许的用户数时,系统不允许用户再接入系统,提示用户认证失败。可以更方便地管理用户访问设备。

    配置信任客户端上报的access-line-id信息

    执行命令client-option82 [ basinfo-insert cn-telecom |version1 ]

    启用DHCP Option82方式和PPPoE+方式的用户定位功能。

    配置启用BAS接口下的VBAS功能

    执行命令vbas

    启用VBAS(Virtual BAS)方式的用户定位功能。如已启用DHCP Option82方式和PPPoE+方式的用户定位功能则不必再执行此命令。

    配置使能设备发送给radius服务器的计费请求报文中携带link-account信息

    执行命令link-account resolve

    当计费服务器对不认证的上线用户计费时,需要区分出不同用户,配置此命令使设备发给计费服务器的计费请求报文中携带link-account信息,以标识各个用户。

  9. 执行命令commit,提交配置。

检查配置结果

完成802.1X接入业务的配置后,您可以通过查看dot1X模板和BAS接口的信息检查802.1X的配置。

操作步骤

  • 使用display dot1x-template number命令查看dot1X模板的配置信息。
  • 使用display bas-interface 命令查看BAS接口的配置信息。

任务示例

执行命令display dot1x-template number,可以看到dot1x模板1的配置信息。

<HUAWEI> display dot1x-template 1
  Template index               : 1
  Reauthentication switch      : On
  Keepalive switch             : Off
  Reauthentication interval(S) : 3600
  Keepalive retransmit         : 0
  Keepalive interval(S)        : 20
  Request  interval(S)         : 30
  Request retransmit           : 2
  Server response time(S)      : 30
  Send-EAP-SIM                 : No
  EAP-end                      : Yes
  EAP-end-authentication-method: CHAP

执行命令display bas-interface查看所有BAS接口的概要信息。

<HUAWEI> display bas-interface
---------------------------------------------------------------------------
   Interface                BASIF-access-type       config-state   access-number
  ---------------------------------------------------------------------------
   Eth-Trunk0               Layer2-subscriber       Updated        0
   Eth-Trunk0.1             Layer2-subscriber       Updated        1
   Eth-Trunk0.1234          Layer2-subscriber       Updated        0
  ----------------------------------------------------------------------
  Total 3 BASIF is configured                                          
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:18414

下载量:217

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页