说明:绿字体部分前使用“//”符号表示后面的内容为注释;“<;必选>”表示这条命令必须要配置;“(可选)”表示这个配置用户可以使用默认值而不进行调整;黑字体表示交换机的配置命令。
交换机的型号不同配置命令可能会有所不同,下文所描述兼容H3C3100系列交换机、
huawei3050c、huawei2403、H3C3600系列交换机。
例如:交换机的地址为192.168.18.254密码为admin
telnet192.168.18.254
password:admin
<H3C>system-view//用户视图
[H3C]interface Ethernet1/0/1//系统视图
[H3C-Ethernet1/0/1]//端口视图 [H3C]Radius scheme ipd802
//命名radius认证方案名称,这个名字可自定义
primary authentication192.168.24.2001812
//<;必选>指定主认证服务器的地址就是IPD服务器的地址端口号为1812
primary accounting192.168.24.2001813‘
//<;必选>指定主记帐服务器的地址就是IPD服务器的地址端口号为1813
secondary authentication192.168.24.2011812
//(可选),指定备份认证服务器的地址就是IPD服务器的地址端口号为1812
secondary accounting192.168.24.2011813
//(可选),指定备份记帐服务器的地址就是IPD服务器的地址端口号为1813
key authentication123456
//<;必选>指定交换机与认证服务通信时数据加密和解密的密钥,这个密钥一定要和我们的管理界面中添加的接入点交换机中的密钥一致
key accounting123456
//<;必选>指定交换机与记帐服务器通信时数据加密和解密的密钥,同上
server-type standard
//<;必选>指定认证服务器的类型为标准
state primary authentication active
//<;必选>激活主认证服务器
新标准英语第七册state primary accounting active
//<;必选>激活主记帐服务器
state secondary authentication active
//(可选)激活辅认证服务器
state secondary accounting active
//(可选)激活辅记帐服务器
user-name-format without-domain
//<;必选>指定登陆用户的格式为无域名格式
2.建立域
[H3C]Domain sty
//名称可自己定义
vlan-assignment-mode integer
//(可选)lan分配模式为数字
radius-scheme ipd802
/
/<;必选>指定域所采用的认证方案名,填入我们上面添加的radius认证方案名称access-limit enable1048
//(可选)限定并发客户端的数量
3.指定默认域为所增加的域
domain default enable sty
4.配置认证方法
dot1x authentication-method chap
//<;必选>认证方法为chap(挑战握手协议),这个认证方法兼容性最好。
或者使用dot1x authentication-method eap
//<;必选>认证方法为EAP,Windows自己的认证客户端不支持
dot1x dhcp-launch
//(可选)客户端发出dhcp请求时交换机发出认证请求
5.启用端口的802.1x认证
进入端口配置模式
注意:连接服务器的端口、上联端口、trunk端口、汇聚端口不要启用802.1x认证interface Ethernet1/0/5
dot1x guest-vlan2
//(可选)配置端口认证失败时所分配的vlan号
dot1x port-method portbased
//<;必选>端口直接连接的是终端计算机绝对大牌
dot1x port-method macbased
//<;必选>端口下连接的是一个非网关交换机或者hub
dot1x max-user25
//(可选)当配置为macbased方式下,配置端口最大同时在线用户数量
<;必选>基于端口认证的控制模式有以下三种,端口只能配置为一种模式,默认为强制认证通过模式;
<1>dot1x port-control auto
//配置端口的控制模式为自动匹配
<2>dot1x port-control authorized-force
//配置端口的控制模式为强制认证通过模式,效果为关闭认证
<3>dot1x port-control unauthorized-force
//配置端口的控制模式为强制认证未通过模式,效果为关闭了端口
dot1x
//<;必选>启用端口的802.1x认证,端口进入了认证模式,交换机会拒绝未通过认证的终端发送的除了认证数据的所有数据
6.全局802.1x认证
[H3C]dot1x//在全局配置模式下开启802.1x
kurtschneider7.有以下两种方法取消端口的认证功能:
7.1取消端口的802.1x认证功能
[H3C]interface Ethernet1/0/5黑染料
[H3C-Ethernet1/0/5]undo dot1x//取消端口的802.1x认证
7.2配置端口为认证通过模式
[H3C]interface Ethernet1/0/5
[H3C-Ethernet1/0/5]dot1x port-control authorized-force
//配置端口的控制模式为强制认证通过模式,效果为关闭认证
8.批量配置端口
a)批量配置端口的控制方法
[H3C]dot1x port-method portbased interface Ethernet1/0/2to Ethernet1/0/24
b)批量启用端口的控制模式
炎黄春秋网[H3C]dot1x port-control auto interface Ethernet1/0/2to Ethernet1/0/24
c)批量停止端口的控制模式
[H3C]undo dot1x port-control auto interface Ethernet1/0/2to Ethernet1/0/24 9.Huawei2403系列交换机注意事项
Undo clock timezone
epos
Undo clock summer-time
注:配置802.1x认证后使用telnet方式访问交换机会提示输入用户名和密码,需要在交换机上配置vty端口,具体配置如下:
[H3C]user-interface vty04
authentication-mode password
user privilege level3
set authentication password simple123456
quit
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议