评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户采用Windows客户端通过RADIUS和AD服务器进行802.1X认证示例
组网需求
如图2-60所示,为了满足企业的高安全性需求,使用802.1X认证并通过RADIUS服务器对办公区内终端进行认证,并且为便于维护、减少认证点数量,将认证点部署在汇聚交换机SwitchA的接口GE0/0/2上。另外为了简化配置,用户使用Windows系统自带的802.1X客户端通过证书认证接入网络,并且用户帐号在AD服务器上维护。
配置注意事项
RADIUS服务器上配置的RADIUS认证和计费密钥需与设备上配置的RADIUS服务器的共享密钥一致。
- 设备默认出接口的IP地址作为向RADIUS服务器发送RADIUS报文时使用的源IP地址,该IP地址需与RADIUS服务器上配置的设备IP地址一致。用户可以通过如下命令修改该IP地址:
- 执行命令radius-server authentication ip-address port source,配置RADIUS认证服务器,并指定与RADIUS认证服务器发送RADIUS报文时使用的源IP地址。
- 执行命令radius-server accounting ip-address port source,配置RADIUS计费服务器,并指定与RADIUS计费服务器发送RADIUS报文时使用的源IP地址。
- 举例中的RADIUS服务器以华为公司的Agile Controller-Campus为例,Agile Controller-Campus的支持版本为V100R003C60。
配置思路
配置网络互连互通,使得设备之间路由可达。
配置AAA,对用户进行RADIUS认证、授权、计费。
配置802.1X认证,对用户进行接入认证。
- 配置Agile Controller-Campus认证、授权、计费等参数,实现对用户进行认证、授权、计费。
- 配置Windows 802.1X客户端,为用户提供接入。
操作步骤
- 配置网络互连互通。
# 在SwitchA上创建VLAN并配置接口允许通过的VLAN、配置到服务器的静态路由。
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 10 20 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] port link-type trunk [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 20 [SwitchA-GigabitEthernet0/0/2] quit [SwitchA] interface vlanif 10 [SwitchA-Vlanif10] ip address 10.2.1.1 24 [SwitchA-Vlanif10] quit [SwitchA] interface vlanif 20 [SwitchA-Vlanif20] ip address 10.1.1.1 24 [SwitchA-Vlanif20] quit [SwitchA] ip route-static 0.0.0.0 0.0.0.0 10.2.1.2
# 在SwitchB上配置802.1X报文透传功能,并将接口接入VLAN20。
SwitchB作为二层交换机,为保证用户能够通过802.1X认证,需在SwitchB上配置802.1X报文透传功能。本例的接入交换机以S5720-LI为例。
[SwitchB] l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002 [SwitchB] vlan batch 20 [SwitchB] interface gigabitethernet 0/0/2 [SwitchB-GigabitEthernet0/0/2] l2protocol-tunnel user-defined-protocol 802.1X enable [SwitchB-GigabitEthernet0/0/2] bpdu enable [SwitchB-GigabitEthernet0/0/2] port link-type access [SwitchB-GigabitEthernet0/0/2] port default vlan 20 [SwitchB-GigabitEthernet0/0/2] quit [SwitchB] interface gigabitethernet 0/0/1 [SwitchB-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol 802.1X enable [SwitchB-GigabitEthernet0/0/1] bpdu enable [SwitchB-GigabitEthernet0/0/1] port link-type trunk [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 20 [SwitchB-GigabitEthernet0/0/1] quit
- 在SwitchA上配置DHCP功能。
# 配置VLANIF20为用户分配地址,并指定接口地址池下的DNS服务器地址。
[SwitchA] dhcp enable [SwitchA] interface vlanif 20 [SwitchA-Vlanif20] dhcp select interface [SwitchA-Vlanif20] dhcp server dns-list 10.2.1.5 [SwitchA-Vlanif20] quit
- 在SwitchA上配置AAA。# 创建RADIUS服务器模板“rd1”。
[SwitchA] radius-server template rd1 [SwitchA-radius-rd1] radius-server authentication 10.2.1.6 1812 [SwitchA-radius-rd1] radius-server accounting 10.2.1.6 1813 [SwitchA-radius-rd1] radius-server shared-key cipher Example@2014
# 配置自动探测功能。
[SwitchA-radius-rd1] radius-server testuser username test1 password cipher abc@123 [SwitchA-radius-rd1] quit
# 配置授权服务器。[SwitchA] radius-server authorization 10.2.1.6 shared-key cipher Example@2014
# 创建AAA认证方案“abc”并配置认证方式为RADIUS。[SwitchA] aaa [SwitchA-aaa] authentication-scheme abc [SwitchA-aaa-authen-abc] authentication-mode radius [SwitchA-aaa-authen-abc] quit
# 配置计费方案“acco1”。[SwitchA-aaa] accounting-scheme acco1 [SwitchA-aaa-accounting-acco1] accounting-mode radius [SwitchA-aaa-accounting-acco1] accounting start-fail online [SwitchA-aaa-accounting-acco1] quit
# 创建认证域“adser.com”,并在其上绑定AAA认证方案“abc”、计费方案acco1与RADIUS服务器模板“rd1”。[SwitchA-aaa] domain adser.com [SwitchA-aaa-domain-adser.com] authentication-scheme abc [SwitchA-aaa-domain-adser.com] accounting-scheme acco1 [SwitchA-aaa-domain-adser.com] radius-server rd1 [SwitchA-aaa-domain-adser.com] quit [SwitchA-aaa] quit
- 在SwitchA上配置802.1X认证。# 将NAC配置模式切换成统一模式。
[SwitchA] authentication unified-mode
设备默认为统一模式。传统模式与统一模式相互切换后,设备会自动重启。
# 配置802.1X接入模板,并配置客户端认证超时时间为30秒。[SwitchA] dot1x-access-profile name d1 [SwitchA-dot1x-access-profile-d1] dot1x authentication-method eap [SwitchA-dot1x-access-profile-d1] dot1x timer client-timeout 30 [SwitchA-dot1x-access-profile-d1] quit
# 在认证模板“p1”下绑定802.1X接入模板。[SwitchA] authentication-profile name p1 [SwitchA-authen-profile-p1] dot1x-access-profile d1 [SwitchA-authen-profile-p1] access-domain adser.com force [SwitchA-authen-profile-p1] quit
# 在接口下绑定认证模板。[SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] authentication-profile p1 [SwitchA-GigabitEthernet0/0/2] quit
- 配置Agile Controller-Campus。
- 登录Agile Controller-Campus。
- 配置认证、授权等参数。详情请参考Agile Controller-Campus文档中的。
- 将AD服务器上的账号同步到Agile Controller-Campus。详情请参考Agile Controller-Campus文档中的。
- (可选)导入证书。详情请参考Agile Controller-Campus文档中的。
如果802.1X客户端采用PEAP方式认证,并配置参数时选择,则需要配置此步骤。
- 配置Windows 802.1X客户端,以Windows 7系统为例。
802.1X客户端可以采用如下方式接入认证。详情请参考Agile Controller-Campus文档中的。
- 采用EAP-TLS方式认证
单击本地连接,选择。
选中,选择,并单击。
- 选择。其余参数都不选择,单击。
- 单击,选择。其余参数都不选择,单击。
- 采用PEAP方式认证
单击本地连接,选择。
选中,选择,并单击。
- 选择, 选中。其余参数都不选择,单击。
如果选择,Agile Controller-Campus需提前导入证书。
- 单击,选择。其余参数都不选择,单击。
- 采用EAP-TLS方式认证
- 验证配置结果。
- 用户在终端上启动802.1X客户端,输入用户名和密码,开始认证。
- 如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。
- 用户上线后,管理员可在设备上执行命令display access-user access-type dot1x查看在线802.1X用户信息。
