H3C交换机802.1x用户的RADIUS AAA方案配置示例

简介:

以下内容摘自刚刚上市的四本网络设备新书之一《H3C交换机配置与管理完全手册》(第二版),其它三本分别是:《Cisco交换机配置与管理完全手册》(第二版)《Cisco路由器配置与管理完全手册》(第二版)《H3C路由器配置与管理完全手册》(第二版)。目前在当当网上同时购买这四本新书,可直减30元,点击查看:http://book.dangdang.com/20130730_aife

074735132.png

在互动出版网上同时购买这四本新书,可赠送一个8G云U盘(另送15G云空间,点击查看:http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801

   另外,目前这四本新书正在进行有奖试读活动,详情点击:http://blog.chinaunix.net/uid-24789255-id-3826290.html


18.6.3  802.1x用户的RADIUS认证、授权和计费配置示例

  在802.1x认证中,采用远程RADIUS服务器是最常用的AAA访问控制方式,而且RADIUS服务器不仅可以实现802.1x用户所需的认证,还可对他们进行授权和计费。本示例拓扑如图18-6所示,所采用的RADIUS服务器是广泛应用,由H3C公司开发的iMC系统。现需要实现使用RADIUS服务器对通过交换机接入的802.1x用户进行认证、授权和计费。具体要求如下:

l   在接入端口GigabitEthernet1/0/1上对接入用户进行802.1x认证,同时采用基于MAC地址的接入控制方式。

l   交换机与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为18121813,向RADIUS服务器发送的用户名携带域名。

l   用户认证时使用的用户名为dot1x@bbb

l   用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。

l   对802.1x用户进行包月方式计费,费用为120/月,以月为周期对用户上网服务的使用量按时长进行统计,允许每月最大上网使用量为120个小时。

   对比上一节的示例可以看出,本示例的要求明显高于上节示例,尽管它们都是使用iMC RADIUS服务器。另外,本示例相对上节的示例还多了两项要求,那就是基于MAC地址接入控制的IEEE 802.1x认证和RADIUS计费,特别是RADIUS计费功能的配置比较复杂,要配置计费策略。有关H3C以太网交换机的IEEE 802.1x认证具体配置方法将在本书第19章介绍。

   综合分析本示例的要求,可以得出它的基本配置思路。总体来说包括以下四个方面:在交换机和对应的端口上启用IEEE 802.1x认证和基于MAC地址的接入控制;配置iMC RADIUS认证/授权、计费服务器功能;配置RADIUS认证、授权和计费方案;配置IEEE 802.1x用户ISPAAA方案,调用前面配置的RADIUS服务器方案。下面分别予以介绍。
10659021_13763490427R7S.jpg

18-6  802.1x用户RADIUS认证、授权和计费配置示例

1.交换机上的802.1x认证配置

[Switch] dot1x  !---开启全局802.1x认证

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] dot1x !---开启端口GigabitEthernet1/0/1802.1x认证

[Switch-GigabitEthernet1/0/1] quit

[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1  !---设置接入控制方式(该命令可以不配置,因为端口的接入控制在默认情况下就是基于MAC地址的)

2.配置iMC RADIUS服务器

  下面以iMC为例(使用iMC版本为:iMC PLAT 3.20-R2606iMC UAM 3.60-E6206iMC CAMS 3.60-E6206)说明本示例的RADIUS 服务器的基本配置。

1)登录进入iMC管理平台,选择“业务”标签页,单击导航栏中的“接入业务/接入设备配置”菜单项,进入“接入设备配置”页面,然后单击“增加”按钮,进入“增加接入设备”页面,如图18-7所示。然后进行如下配置:

l   在“共享密钥”文本框中设置与交换机交互报文时使用的认证、计费共享密钥为“expert”。

l   在“认证端口”和“计费端口”两个文本框中设置RADIUS认证及计费的端口号分别为“1812”和“1813”。

l   在“业务类型”下拉列表中选择业务类型为“LAN接入业务”选项。

l   在“接入设置类型”下拉列表中选择接入设备类型为“H3C”选项。

l   在“组网方式”下拉列表中选择“不启用混合组网”选项。

l   在“设备列表”栏中单击“选择”或“手工增加”按钮添加IP地址为10.1.1.2的接入设备;

其他参数采用默认值,然后单击“确定”按钮完成操作。

2)添加计费策略。选择“业务”标签页,单击导航栏中的“计费业务/计费策略管理”菜单项,进入“计费策略管理”页面,单击“增加”按钮,进入“计费策略配置”页面,如图18-8所示。然后进行如下配置:

l   在“策略名称”文本框中输入计费策略名称“UserAcct”。

l   在“计费策略模板”下拉列表中选择计费策略模板为“包月类型计费”选项。

l   在“包月基本信息”栏中设置:计费方式为“按时长”、计费周期类型为“月”、周期内固定费用为“120元”。

l   在“包月使用量限制设置”栏中设置:允许每月最大上网使用量为120个小时。

10659021_1376349085i3fj.jpg

18-7  iMC增加接入设备页面

10659021_1376349111i9pU.jpg

18-8  iMC增加计费策略页面

其他参数采用默认值,然后单击页面底部的“确定”按钮完成操作。

3)配置LAN接入业务类型和用户。选择“业务”标签页,单击导航栏中的“接入业务/服务配置管理”菜单项,进入“服务配置管理”页面,单击“增加”按钮,进入“增加服务配置”页面,如图18-9所示。然后进行如下配置:

l   在“服务名”文本框中输入服务名为“Dot1x auth”,在“服务后缀”文本框中输入“bbb”(ISP域名)。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名。

l   在“计费策略”下拉列表中选择“UserAcct”,这是上一步配置的计费策略。

l   在“下发VLAN”文本框中配置授权下发的VLAN ID为“4”(这是根据本示例要求而定的)。

其他选项根据需要配置,然后单击页面底部的“确定”按钮(图中未显示)完成操作。

4)添加802.1x用户。选择“用户”标签页,单击导航栏中的“接入用户视图/所有接入用户”菜单项,进入“接入用户列表”页面,单击“增加”按钮,进入“增加接入用户”页面,如图18-10所示。然后进行如下配置:

l   在“用户姓名”栏中单击“选择”或者“增加用户”按钮添加用户姓名为“test”。

10659021_1376349125423v.jpg

18-9  iMC增加服务配置页面

l   在“账号名”和“密码”两个文本框中依次输入“dot1x”和密码。

l   在“接入服务”栏中选择该用户所关联的接入服务为“Dot1x auth”(这是上一步配置的服务名)。

其他选项可根据需要配置,然后在页面底部单击“确定”按钮完成操作。

10659021_1376349138cGFG.jpg

18-10  iMC增加接入用户页面

通过以上配置,本示例中的iMC服务器配置就全部完成了。

3.配置RADIUS方案

<Switch> system-view

[Switch] radius scheme rad

[Switch-radius-rad] server-type extended

[Switch-radius-rad] primary authentication 10.1.1.1

[Switch-radius-rad] primary accounting 10.1.1.1

[Switch-radius-rad] key authentication expert

[Switch-radius-rad] key accounting expert

[Switch-radius-rad] user-name-format with-domain

[Switch-radius-rad] quit

4.配置802.1x用户的ISPAAA方案

[Switch] domain bbb

[Switch-isp-bbb] authentication lan-access radius-scheme rad

[Switch-isp-bbb] authorization lan-access radius-scheme rad

[Switch-isp-bbb] accounting lan-access radius-scheme rad

[Switch-isp-bbb] quit

以上就是本示例的全部配置。

本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/1271704如需转载请自行联系原作者


茶乡浪子


相关文章
|
20天前
|
存储 Linux 网络安全
|
2月前
|
网络架构
交换机原理 与基本配置
交换机原理 与基本配置
|
2月前
|
网络协议 网络性能优化 网络虚拟化
【亮剑】介绍了华为三层交换机的配置命令,包括基本配置(系统启动、接口配置、基础设置)、路由协议(OSPF、BGP)配置和高级功能(VLAN、ACL、QoS)配置
【4月更文挑战第30天】本文介绍了华为三层交换机的配置命令,包括基本配置(系统启动、接口配置、基础设置)、路由协议(OSPF、BGP)配置和高级功能(VLAN、ACL、QoS)配置。通过这些命令,网络工程师可以有效地管理设备、优化网络性能并解决网络问题。熟练掌握这些命令对于提升网络运行效率至关重要。
|
2月前
盒式交换机堆叠配置
盒式交换机堆叠配置
45 0
|
2月前
|
网络性能优化 网络虚拟化 网络架构
配置接口限速示例(盒式交换机)
接口限速简介 接口限速对通过整个端口的全部报文流量速率进行限制,不对具体流量进行区分,可以实现给某个接口分配固定的带宽,控制方式单一,配置简单。 入方向与出方向的接口限速属于并列关系,用户可以根据需要同时配置,也可以单独配置。
|
11月前
交换机的基本原理与配置(三)
交换机的基本原理与配置(三)
200 0
|
2月前
|
网络协议 网络虚拟化 网络架构
交换机入门快速配置
交换机入门快速配置
|
2月前
|
网络虚拟化 网络架构
三层交换机对接路由器配置上网实验
三层交换机简介 三层交换机是具有路由功能的交换机,由于路由属于OSI模型中第三层网络层的功能,所以称为三层交换机。 三层交换机既可以工作在二层也可以工作在三层,可以部署在接入层,也可以部署在汇聚层,作为用户的网关。
|
2月前
|
网络安全 数据安全/隐私保护 Python
【专栏】如何使用 Python 编写脚本批量备份交换机配置
【4月更文挑战第28天】本文介绍如何使用 Python 编写脚本批量备份交换机配置。主要步骤包括了解交换机命令和接口,安装 `paramiko` 库,获取交换机登录信息。脚本实现分为建立 SSH 连接,执行备份命令并保存结果。示例脚本中,定义了 `backup_switch_config` 函数遍历交换机列表进行备份,每次备份后等待一段时间。此方法能有效提高网络管理效率。
|
2月前
|
网络虚拟化
交换机配置
交换机配置