- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
22-H3C MSR系列路由器 802.1X本地认证典型配置举例
本章节下载: 22-H3C MSR系列路由器 802.1X本地认证典型配置举例 (185.42 KB)
H3C MSR系列路由器
802.1X本地认证配置举例
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍MSR系列路由器802.1X本地认证的典型配置举例。
本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA和802.1X特性。
如图1所示,用户通过Router的端口GigabitEthernet1/0/1接入网络,要求:Router对从该端口接入的用户采用基于端口的接入控制方式进行802.1X本地认证以控制其访问Internet。
图1 802.1X本地认证配置组网图
本配置举例是在MSR3610-X1路由器Release 6749版本上进行配置和验证的。
本例仅在安装了二层交换卡和有固定二层接口的设备上才能实现。
# 开启全局802.1X功能。
<Router> system-view
[Router] dot1x
# 配置虚接口Vlan-interface1的IP地址,作为Host的网关。
[Router] interface vlan-interface 1
[Router-Vlan-interface1] ip address 192.168.100.1 255.255.255.0
[Router-Vlan-interface1] quit
# 创建网络接入类本地用户localuser,并配置用户密码和服务类型属性。
[Router] local-user localuser class network
[Router-luser-network-localuser] password simple localpass
[Router-luser-network-localuser] service-type lan-access
[Router-luser-network-localuser] quit
# 配置端口GigabitEthernet1/0/1的802.1X功能。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] dot1x
# 配置基于端口的接入控制方式(默认为基于MAC地址)。
[Router-GigabitEthernet1/0/1] dot1x port-method portbased
[Router-GigabitEthernet1/0/1] quit
# 使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。
[Router] display dot1x interface gigabitethernet 1/0/1
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 0
Online 802.1X wireless users : 0
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : Port-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
SmartOn : Disabled
EAPOL packets: Tx 3, Rx 0
Sent EAP Request/Identity packets : 3
EAP Request/Challenge packets: 0
EAP Success packets: 0
EAP Failure packets: 0
EAP Notification packets: 0
Received EAPOL Start packets : 0
EAPOL LogOff packets: 0
EAP Response/Identity packets : 0
EAP Response/Challenge packets: 0
Error packets: 0
Online 802.1X users: 0
# 当Host端输入正确的用户名和密码成功上线后,可使用命令display dot1x sessions查看到上线用户的连接情况。
#
dot1x
#
interface Vlan-interface1
ip address 192.168.100.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
dot1x port-method portbased
dot1x
#
local-user localuser class network
password cipher $c$3$YPkufRcxFR3KdpUCHFiNkns/YFPmbJkG/pQxBg==
service-type lan-access
authorization-attribute user-role network-operator
#
· 《H3C MSR 系列路由器 配置指导(V7)》中的“安全配置指导”
· 《H3C MSR 系列路由器 命令参考(V7)》中的“安全命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
