H3C交換機(jī)802.1x用戶AAA配置實例

時間：2024-08-07 23:55:36 H3C認(rèn)證我要投稿

相關(guān)推薦

　　h3c交換機(jī)怎么配置?下面跟yjbys小編一起來看看最新H3C交換機(jī)802.1x用戶AAA配置實例，一起來看看吧!

　　本示例拓?fù)淙鐖D20-6所示。現(xiàn)需要實現(xiàn)使用RADIUS服務(wù)器對通過交換機(jī)接入的8021x用戶進(jìn)行認(rèn)證、授權(quán)和計費。具體要求如下：

　　l 在接入端口GigabitEthernet1/0/1上對接入用戶進(jìn)行8021x認(rèn)證，同時采用基于MAC地址的接入控制方式;

　　l 交換機(jī)與RADIUS服務(wù)器交互報文時使用的共享密鑰為expert，認(rèn)證/授權(quán)、計費的端口號分別為1812和1813，向RADIUS服務(wù)器發(fā)送的用戶名攜帶域名;

　　l 用戶認(rèn)證時使用的用戶名為dot1x@bbb。

　　l 用戶認(rèn)證成功后，認(rèn)證服務(wù)器授權(quán)下發(fā)VLAN 4，將用戶所在端口加入該VLAN，允許用戶訪問該VLAN中的網(wǎng)絡(luò)資源。

　　l 對8021x用戶進(jìn)行包月方式計費，費用為120元/月，以月為周期對用戶上網(wǎng)服務(wù)的使用量按時長進(jìn)行統(tǒng)計，允許每月最大上網(wǎng)使用量為120個小時。

　　圖20-6 8021x用戶RADIUS認(rèn)證、授權(quán)和計費配置示例

　　對比上一節(jié)的示例可以看出，本示例的要求明顯高于上節(jié)示例，盡管它們都是使用iMC RADIUS服務(wù)器。另外，本示例相對上節(jié)的示例還多了兩項要求，那就是基于MAC地址接入控制的IEEE 802.1x認(rèn)證和RADIUS計費，特別是RADIUS計費功能的配置比較復(fù)雜，要配置計費策略。有關(guān)H3C以太網(wǎng)交換機(jī)的IEEE 802.1x認(rèn)證具體配置方法將在本書第21章介紹。

　　綜合分析本示例的要求，可以得出它的基本配置思路。總體來說包括以下四個方面：在交換機(jī)和對應(yīng)的端口上啟用IEEE 802.1x認(rèn)證和基于MAC地址的接入控制;配置iMC RADIUS認(rèn)證/授權(quán)、計費服務(wù)器功能;配置RADIUS方案;配置IEEE 802.1x用戶ISP域AAA方案。下面分別予以介紹。

　　1.交換機(jī)上8021x認(rèn)證配置

　　[Switch] dot1x !---開啟全局8021x認(rèn)證

　　[Switch] interface gigabitethernet 1/0/1

　　[Switch-GigabitEthernet1/0/1] dot1x !---開啟端口GigabitEthernet1/0/1的8021x認(rèn)證

　　[Switch-GigabitEthernet1/0/1] quit

　　[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---設(shè)置接入控制方式(該命令可以不配置，因為端口的接入控制在默認(rèn)情況下就是基于MAC地址的)

　　2. 配置iMC RADIUS服務(wù)器

　　本示例中的iMC服務(wù)器配置與上節(jié)示例中的iMC服務(wù)器配置主要多了計費功能的配置。下面以iMC為例(使用iMC版本為：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206)，說明本示例的RADIUS 服務(wù)器的基本配置。

　　(1)登錄進(jìn)入iMC管理平臺，選擇“業(yè)務(wù)”標(biāo)簽頁，單擊導(dǎo)航欄中的[接入業(yè)務(wù)/接入設(shè)備配置]菜單項，進(jìn)入“接入設(shè)備配置”頁面，然后單擊【增加】按鈕，進(jìn)入“增加接入設(shè)備”頁面，如圖20-7所示。然后進(jìn)行如下配置：

　　l 在“共享密鑰”文本框中設(shè)置與交換機(jī)交互報文時使用的認(rèn)證、計費共享密鑰為“expert”;

　　l 在“認(rèn)證端口”和“計費端口”兩文本框中設(shè)置RADIUS認(rèn)證及計費的端口號分別為“1812”和“1813”;

　　l 在“業(yè)務(wù)類型”下拉列表中選擇業(yè)務(wù)類型為“LAN接入業(yè)務(wù)”選項;

　　l 在“接入設(shè)置類型”下拉列表中選擇接入設(shè)備類型為“H3C”選項;

　　l 在“組網(wǎng)方式”下拉列表中選擇“不啟用混合組網(wǎng)”選項;

　　l 在“設(shè)備列表”欄中單擊【選擇】或【手工增加】按鈕添加IP地址為10.1.1.2的接入設(shè)備;

　　其它參數(shù)采用默認(rèn)值，然后單擊【確定】按鈕完成操作。

　　圖20-7 iMC增加接入設(shè)備頁面

　　(2)添加計費策略。選擇“業(yè)務(wù)”標(biāo)簽頁，單擊導(dǎo)航欄中的[計費業(yè)務(wù)/計費策略管理]菜單項，進(jìn)入“計費策略管理”頁面，單擊【增加】按鈕，進(jìn)入“計費策略配置”頁面，如圖20-8所示。然后進(jìn)行如下配置：

　　l 在“策略名稱”文本框中輸入計費策略名稱“UserAcct”;

　　l 在“計費策略模板”下拉列表中選擇計費策略模板為“包月類型”選項;

　　l 在“包月基本信息”欄中設(shè)置：計費方式為“按時長”、計費周期為“月”、周期內(nèi)固定費用為“120元”;

　　l 在“包月使用量限制”欄中設(shè)置：允許每月最大上網(wǎng)使用量為120個小時。

　　其它參數(shù)采用默認(rèn)值，然后單擊頁面底部的【確定】按鈕完成操作。

　　圖20-8 iMC增加計費策略頁面

　　(3)配置LAN接入業(yè)務(wù)類型和用戶。選擇“業(yè)務(wù)”標(biāo)簽頁，單擊導(dǎo)航欄中的[接入業(yè)務(wù)/服務(wù)配置管理]菜單項，進(jìn)入“服務(wù)器配置管理”頁面，單擊【增加】按鈕，進(jìn)入“增加服務(wù)配置”頁面，如圖20-9所示。然后進(jìn)行如下配置：

　　圖20-9 iMC增加服務(wù)配置頁面

　　l 在“服務(wù)名”文本框中輸入服務(wù)名為“Dot1x auth”、在“服務(wù)后綴”文本框中輸入“bbb”(ISP域名)。指定服務(wù)后綴的情況下，RADIUS方案中必須指定向服務(wù)器發(fā)送的用戶名中攜帶域名;

　　l 在“計費策略”下拉列表中選擇為“UserAcct”，這是上一步配置的計費策略;

　　l 在“下發(fā)VLAN”文本框中配置授權(quán)下發(fā)的VLAN ID為“4”(這是根據(jù)本示例要求而定的);

　　其他選項根據(jù)需要配置，然后單擊頁面底部的【確定】按鈕(圖中未顯示)完成操作。

　　(4)添加802.1x用戶。選擇“用戶”標(biāo)簽頁，單擊導(dǎo)航欄中的[接入用戶視圖/所有接入用戶]菜單項，進(jìn)入“接入用戶列表”頁面，單擊【增加】按鈕，進(jìn)入“增加接入用戶”頁面，如圖20-10所示。然后進(jìn)行如下配置：

　　l 在“用戶姓名”欄中單擊【選擇】或者【增加用戶】按鈕添加用戶姓名為“test”;

　　l 在“帳號名”和“密碼”兩文本框中依次輸入“dot1x”和密碼;

　　l 在“接入服務(wù)”欄中選擇該用戶所關(guān)聯(lián)的接入服務(wù)為“Dot1x auth”(這是上一步配置的服務(wù)名);

　　其他選項可根據(jù)需要配置，然后在頁面底部單擊【確定】按鈕完成操作。

　　圖20-10 iMC增加接入用戶頁面

　　通過以上配置，本示例中的iMC服務(wù)器配置就全部完成了。