评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置通过802.1x认证控制企业用户访问网络示例
组网需求
如图2-5所示,某公司办公区内终端通过Switch接入公司内部网络。如果该公司内存在非法接入和非授权访问的状况,将会导致企业业务系统的破坏以及关键信息资产的泄漏,因此管理员希望Switch能够对用户的网络访问权限进行控制,以保证公司内网的安全。
配置思路
采用如下的思路在Switch上进行配置:
- 创建并配置RADIUS服务器组、AAA方案以及认证域,并在认证域下绑定RADIUS服务器组与AAA方案,以便Switch通过RADIUS服务器对接入用户进行身份认证。
- 使能802.1x认证功能,以实现对办公区内员工的网络访问权限进行严格控制。
本举例中,由于Switch与用户之前存在透传交换机LAN Switch,为保证用户能够通过802.1x认证,务必保证LAN Switch能够透传EAP报文。
本举例只包括Switch上的配置,LAN Switch和RADIUS服务器的配置这里不做相关说明。
操作步骤
- 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
# 创建VLAN10、VLAN20。
<HUAWEI> system-view [~HUAWEI] sysname Switch [*HUAWEI] commit [~Switch] vlan batch 10 20
# 配置Switch与用户连接的接口10GE1/0/1为Access类型接口,并将其加入VLAN10。
[*Switch] interface 10ge 1/0/1 [*Switch-10GE1/0/1] port link-type access [*Switch-10GE1/0/1] port default vlan 10 [*Switch-10GE1/0/1] quit
设备与用户连接的接口类型与接口加入的VLAN应以用户实际所属VLAN为准,此处假设所有的用户都被划分到VLAN10。
# 配置Switch连接RADIUS服务器的接口10GE1/0/2为Access类型接口,并将其加入VLAN20。
[*Switch] interface 10ge 1/0/2 [*Switch-10GE1/0/2] port link-type access [*Switch-10GE1/0/2] port default vlan 20 [*Switch-10GE1/0/2] quit [*Switch] commit
- 创建并配置RADIUS服务器组、AAA认证方案以及认证域。
# 创建并配置RADIUS服务器组“rd1”。
[~Switch] radius enable [*Switch] radius server group rd1 [*Switch-radius-rd1] radius server authentication 192.168.2.30 1812 [*Switch-radius-rd1] radius server shared-key-cipher device@123 [*Switch-radius-rd1] quit
请确保RADIUS服务器组内的共享密钥和RADIUS服务器上的配置保持一致。
# 创建AAA认证方案“abc”并配置认证方式为RADIUS。
[*Switch] aaa [*Switch-aaa] authentication-scheme abc [*Switch-aaa-authen-abc] authentication-mode radius [*Switch-aaa-authen-abc] quit
# 创建认证域“isp1”,并在其上绑定AAA认证方案“abc”与RADIUS服务器组“rd1”。
[*Switch-aaa] domain isp1 [*Switch-aaa-domain-isp1] authentication-scheme abc [*Switch-aaa-domain-isp1] radius server group rd1 [*Switch-aaa-domain-isp1] quit [*Switch-aaa] quit [*Switch] commit
- 配置802.1x认证。
# 在全局和接口10GE1/0/1下使能802.1x认证。
[~Switch] dot1x enable [*Switch] dot1x enable interface 10ge 1/0/1
# 配置802.1x认证域,保证所有的用户都在指定的域中进行认证。
[*Switch] domain isp1 [*Switch] commit
- 验证配置结果。
- 执行命令display dot1x查看802.1x认证的各项配置信息。从显示信息中能够看到接口10GE1/0/1下已使能802.1x认证(10GE1/0/1 802.1x: Enabled )。
- 用户在终端上启动802.1x客户端,输入用户名和密码,开始认证。
- 如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。之后,用户即可访问网络。
- 用户上线后,管理员可在设备上执行命令display dot1x sessions查看在线802.1x用户信息。
配置文件
# Switch的配置文件
# sysname Switch # vlan batch 10 20 # dot1x enable domain isp1 # radius enable # radius server group rd1 radius server shared-key-cipher %^%#w$Kk$.2,EF:O(u%(HzjXPW\L6'1"`SwCQJ<M|vA:%^%# radius server authentication 192.168.2.30 1812 # aaa # authentication-scheme abc authentication-mode radius # domain isp1 authentication-scheme abc radius server group rd1 # interface 10GE1/0/1 port default vlan 10 dot1x enable # interface 10GE1/0/2 port default vlan 20 # return
