登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C园区盒式交换机 CLI快速配置指南-6W104

  • 发布时间:2024/12/14 3:04:56
  • 浏览量:
  • 下载量:

35-802.1X快速配置指南

本章节下载  (361.87 KB)

35-802.1X快速配置指南

802.1X快速配置指南

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

目  录

1 配置802.1X本地认证

1.1 简介

1.2 组网需求

1.3 配置注意事项

1.4 配置步骤

1.4.1 配置Device

1.4.2 配置802.1X客户端

1.5 验证配置

1.6 配置文件

1.7 相关资料

 

1 配置802.1X本地认证

1.1  简介

本案例介绍802.1X用户本地认证的配置方法。

1.2  组网需求

图1-1所示,用户通过Device的端口GigabitEthernet1/0/1接入网络。要求:Device对从该端口接入的用户采用基于端口的接入控制方式进行802.1X本地认证以控制其访问Internet

图1-1 802.1X本地认证配置组网图

 

1.3  配置注意事项

使能全局的802.1X认证功能一般放在最后,因为当相关参数未配置完成时,会造成合法用户无法访问网络。

只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

1.4  配置步骤

1.4.1  配置Device

(1)     配置本地用户

# 添加网络接入类本地用户,用户名为“dot1x”,并进入该用户视图。

<Device> system-view

[Device] local-user dot1x class network

New local user added.

# 配置用户“dot1x”的密码为明文123456TESTplat&!。

[Device-luser-network-dot1x] password simple 123456TESTplat&!

# 配置本地用户的服务类型为lan-access。

[Device-luser-network-dot1x] service-type lan-access

[Device-luser-network-dot1x] quit

(2)     配置虚接口地址,作为Host的网关

[Device] interface vlan-interface 1

[Device-Vlan-interface1] ip address 192.168.56.101 255.255.255.0

[Device-Vlan-interface1] quit

(3)     配置802.1X认证

# 开启端口GigabitEthernet1/0/1的802.1X认证。

[Device] interface gigabitethernet1/0/1

[Device-GigabitEthernet1/0/1] dot1x

# 配置基于端口的接入控制方式

[Device-GigabitEthernet1/0/1] dot1x port-method portbased

[Device-GigabitEthernet1/0/1] quit

# 开启全局802.1X认证。

[Device] dot1x

1.4.2  配置802.1X客户端

说明: 说明

·     以下使用iNode PC 7.3(E0518)版本为例介绍802.1X客户端的配置。

·     若使用Windows XP的802.1X客户端,则需要正确设置此连接的网络属性:在网络属性的“验证”页签中,确保选中“启用此网络的 IEEE 802.1x 验证”,并选择要用于此连接的EAP认证类型为“MD5-质询”。

·     保证用户在通过认证后,能够及时更新客户端IP地址与授权VLAN中的资源互通。

 

(1)     启动客户端

图1-2 iNode客户端界面示意图

 

(2)     新建802.1X连接

点击<新建>按钮,进入新建连接向导对话框。

图1-3 新建802.1X连接示意图

 

(3)     输入用户名和密码

图1-4 802.1X用户名、密码配置示意图

(4)     设置连接属性

图1-5 802.1X连接属性配置示意图

 

说明: 说明

由于本地认证不能对客户端上传的版本号进行识别,请不要勾选“上传客户端版本号”选项。

 

(5)     发起802.1X连接

完成新建连接后,点击iNode客户端的<连接>按钮,发起802.1X连接。

图1-6 802.1X启动连接示意图

 

1.5  验证配置

# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。

[Device] display dot1x interface gigabitethernet 1/0/1

 Global 802.1X parameters:

   802.1X authentication                : Enabled

   CHAP authentication                  : Enabled

   Max-tx period                        : 30 s

   Handshake period                     : 15 s

   Offline detect period                : 300 s

   Quiet timer                          : Disabled

       Quiet period                     : 60 s

   Supp timeout                         : 30 s

   Server timeout                       : 100 s

   Reauth period                        : 3600 s

   Max auth requests                    : 2

   User aging period for Auth-Fail VLAN : 1000 s

   User aging period for Auth-Fail VSI  : 1000 s

   User aging period for critical VLAN  : 1000 s

   User aging period for critical VSI   : 1000 s

   User aging period for guest VLAN     : 1000 s

   User aging period for guest VSI      : 1000 s

   EAD assistant function               : Disabled

       EAD timeout                      : 30 min

   Domain delimiter                     : @

 Online 802.1X wired users              : 0

 GigabitEthernet1/0/1  is link-up

   802.1X authentication            : Enabled

   Handshake                        : Enabled

   Handshake reply                  : Disabled

   Handshake security               : Disabled

   Unicast trigger                  : Disabled

   Periodic reauth                  : Disabled

   Port role                        : Authenticator

   Authorization mode               : Auto

   Port access control              : Port-based

   Multicast trigger                : Enabled

   Mandatory auth domain            : Not configured

   Guest VLAN                       : Not configured

   Auth-Fail VLAN                   : Not configured

   Critical VLAN                    : Not configured

   Critical voice VLAN              : Disabled

   Add Guest VLAN delay             : Disabled

   Re-auth server-unreachable       : Logoff

   Max online users                 : 4294967295

   User IP freezing                 : Disabled

   Reauth period                    : 0 s

   Send Packets Without Tag         : Disabled

   Max Attempts Fail Number         : 0

   Guest VSI                        : Not configured

   Auth-Fail VSI                    : Not configured

   Critical VSI                     : Not configured

   Add Guest VSI delay              : Disabled

   User aging                       : Enabled

   Server-recovery online-user-sync : Disabled

   Auth-Fail EAPOL                  : Disabled

   Critical EAPOL                   : Disabled

   Discard duplicate EAPOL-Start    : No

 

   EAPOL packets: Tx 0, Rx 0

   Sent EAP Request/Identity packets : 0

        EAP Request/Challenge packets: 0

        EAP Success packets: 0

        EAP Failure packets: 0

   Received EAPOL Start packets : 0

            EAPOL LogOff packets: 0

            EAP Response/Identity packets : 0

            EAP Response/Challenge packets: 0

            Error packets: 0

   Online 802.1X users: 0

# iNode客户端输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。

1.6  配置文件

#

interface Vlan-interface1

ip address 192.168.56.101 255.255.255.0

#

local-user localuser class network

password cipher $c$3$YPkufRcxFR3KdpUCHFiNkns/YFPmbJkG/pQxBg==

service-type lan-access

authorization-attribute user-role network-operator

#

interface GigabitEthernet1/0/1

dot1x

dot1x port-method portbased

#

dot1x

#

1.7  相关资料

·     产品配套“安全配置指导”中的“802.1X”。

·     产品配套“安全命令参考”中的“802.1X”。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们