华为,华赛802.1x配置

华为5700本机完成802.1X用户认证配置网络需求：需要公司人员根据自己的工号完成了802.1x认证之后才能进行通信和访问外网网络实验拓扑：第一步：建立802.1x认证用户[manage-converged]aaa[manage-converged-aaa]local-user cd00470 password cipher 12345 [manage-converged-aaa]local-user cd00470 service-type 8021x 指定用户的服务类型第二步：开启全局802.1x功能[manage-converged]dot1x enable[manage-converged]dot1x authentication-method chapPAP（Password Authentication Protocol）是一种两次握手认证协议，它采用明文方式传送口令。

CHAP（Challenge Handshake Authentication Protocol）是一种三次握手认证协议，它只在网络上传输用户名，而并不传输口令。

相比之下，CHAP认证保密性较好，更为安全可靠。

EAP认证功能，意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。

如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一，只需启动EAP认证即可第三步：开启接口802.1x功能[manage-converged-GigabitEthernet0/0/26]dot1x enable[manage-converged-GigabitEthernet0/0/26]dot1x port-method ?mac Authentication based on user MAC addressport Authentication based on switch port基于端口模式：只要连接在该端口的第一个MAC设备通过认证，该端口连接的其他MAC设备不用认证都允许接入。

802.1X 典型配置1. 组网需求要求在端口Ethernet1/1 上对接入用户进行认证，以控制其访问Internet；接入控制方式要求是基于MAC 地址的接入控制。

所有接入用户都属于一个缺省的域：，该域最多可容纳30 个用户；认证时，先进行RADIUS 认证，如果RADIUS 服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线。

由两台RADIUS 服务器组成的服务器组与Device 相连，其IP 地址分别为10.1.1.1 和10.1.1.2，使用前者作为主认证/备份计费服务器，使用后者作为备份认证/主计费服务器。

设置系统与认证RADIUS 服务器交互报文时的共享密钥为name、与计费RADIUS 服务器交互报文时的共享密钥为money。

设置系统在向RADIUS 服务器发送报文后5 秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5 次，设置系统每15 分钟就向RADIUS 服务器发送一次实时计费报文。

设置系统从用户名中去除用户域名后再将之传给RADIUS 服务器。

本地802.1X 接入用户的用户名为localuser，密码为localpass，使用明文输入；闲置切断功能处于打开状态，正常连接时用户空闲时间超过20 分钟，则切断其连接。

2. 组网图3. 配置步骤# 配置各接口的IP 地址（略）。

# 添加本地接入用户，启动闲置切断功能并设置相关参数。

<Device> system-view[Device] local-user localuser[Device-luser-localuser] service-type lan-access[Device-luser-localuser] password simple localpass[Device-luser-localuser] authorization-attribute idle-cut 20 [Device-luser-localuser] quit# 创建RADIUS 方案radius1 并进入其视图。

802.1x用户配置手册802.1x用户配置手册 (1)1 实现功能 (2)2 总体流程 (2)2.1 802.1X原理分析 (2)2.2 802.1X认证流程 (3)2.3 802.1X配置流程 (4)3 具体实现 (4)3.1 准备环境 (4)3.2管理平台配置 (4)3.2.1 建立策略 (4)3.2.2 策略说明 (5)3.2.3 策略下发 (6)3.3 Radius服务器配置 (7)3.4交换机配置 (16)各厂商交换机配置 (16)1. Cisco2950配置方法 (16)2. 华为3COM 3628配置 (17)1实现功能随着以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求，造成网络终端接入管理混乱，大量被植入木马、病毒的机器随便接入网络，给网络内部资料的保密，和终端安全的管理带来极大考验。

在此前提下IEEE推出 802.1x协议它是目前业界最新的标准认证协议。

802.1X的出现结束了非法用户未经授权进入内部网络，为企业内部安全架起一道强有力的基础安全保障。

2总体流程我们首先先了解下，802.1X协议的原来与认证过程，在与内网安全管理程序的结合中，如何设置802.1X协议，并方便了终端用户在接入方面的配置。

2.1802.1X原理分析802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备 (如LANS witch) ，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。

CAMS和H3C交换机进行802.1X EAD认证的典型配置以下配置均需要以系统管理员admin的权限登录CAMS配置台(%CAMSIP%/cams，如http://192.168.4.26/cams/ )，缺省密码为Admin。

1.安全级别：在安全管理—安全级别可以进行定义，针对每种不同的安全情况，系统都有四种对应的动作（下线，隔离，提醒，监控）来对应，此处可以根据客户的需求来定义各种安全级别。

2.设置防病毒软件管理此处可以设置防病毒软件的病毒库，杀毒引擎版本。

可根据实际要求设置3.软件补丁管理：EAD补丁检测有两种方式：WSUS自动监测和手工检测。

此处以手工检测为例。

此处可以定义EAD解决方案检测的补丁内容。

可根据事实际情况进行定制。

Windows系统软件补丁名称的定义方法：KB+补丁数字版本号，如：KB896422 （即取补丁文件名“Windows2000-KB896422-x86-CHS.EXE”中间的版本信息）。

4.配置“可控制软件管理”此处可定义EAD对客户端软件使用情况的检查。

5.配置安全策略安全级别，防病毒软件管理，软件补丁管理，可控软件管理都定义好后，将这些配置引入安全策略中，形成一个安全策略，以后可以被认证用户所申请。

同时在安全策略中也可进行其它功能项的设置。

6.配置“服务”配置服务，将事前定义好的安全策略引入7.账号开户，申请定义好的服务基本配置至此完毕，可以用eadtest的用户在客户端进行EAD测试了。

交换机配置此处只是以V3平台H3C交换机S3600-EI作为NAS接入设备做EAD特性相关配置介绍。

配置IP地址及路由IP、掩码、路由等需要根据实际情况修改配置，达到接入设备与CAMS、自助及管理代理服务器三层可达（即可以ping通）的目的。

配置Radius认证策略及域配置Radius认证策略：[H3C]radius scheme cams[H3C-radius-cams]server-type extended --认证协议（扩展）[H3C-radius-cams]primary authentication 192.168.4.26 1812 --CAMS认证IP、端口[H3C-radius-cams]primary accounting 192.168.4.26 1813 --CAMS计费IP、端口[H3C-radius-cams]key authentication expert --认证密钥[H3C-radius-cams]key accounting expert --计费密钥(必须与认证密钥相同)[H3C-radius-cams]user-name-format with-domain –用户名格式（有域名）配置认证域：[H3C]domain cams[H3C-isp-cams] radius-scheme cams --应用上面配置的Radius认证策略配置缺省域生效：[H3C]domain default enable cams --配置cams域为缺省认证域认证和计费密钥、端口如果需要修改，则两个密钥必须相同且与CAMS配置同步（注意：如果需要给用户申请使用具有不同后缀的多个服务，则需要在我司交换机上配置不同的域，如下：[H3C]domain huawei-3com[H3C-isp-huawei-3com] radius-scheme cams --应用Radius认证策略用户申请了带后缀的服务后，在客户端用该服务认证时必须输入格式如下：用户名@域名，如camsservice@huawei-3com）配置802.1x认证[H3C]dot1x --全局启动802.1x认证[H3C]dot1x port-method macbased --配置基于MAC的认证方式(缺省)[H3C]dot1x interface Ethernet 0/1 to Ethernet 0/10 --在端口0/1～0/10启动802.1x认证如果需要可以配置802.1x认证的认证方式，如与LDAP配合需要chap认证方式；而如果需要启用设备无关特性，需要配置为eap透传方式，如下：[H3C]dot1x authentication-method eap --配置EAP透传模式的认证方式如果需要限制客户端版本信息，可以使能802.1x认证的版本检测，如下：[H3C]dot1x --使能802.1x的版本检测功能如果需要使能客户端防代理功能，需要使能802.1x认证的防代理设置，如下：[H3C]dot1x supp-proxy-check logoff --使能全局下的防代理功能[H3C]dot1x supp-proxy-check logoff interface Ethernet 0/1 to Ethernet 0/10--使能每个端口的防代理功能配置ACLEAD方案对认证客户端的安全状态进行检测，然后根据实际认证上网用户PC的状态对其进行访问控制，则需要在设备上配置对应的隔离ACL（对应―隔离区‖）和安全上网ACL（对应―Internet‖安全区），即安全认证不通过的用户只能被限制在―隔离区‖访问，而只有安全认证通过的用户才能正常在安全区进行访问。

华为802.1x认证客户端使用说明新802.1X认证客户端使用方法1.卸载原有的802.1X客户端。

2.下载安装新的客户端。

3.安装完后重启计算机。

4.双击桌面的H3C802.1X图标进入如下界面，网络适配器选择你自己的网卡5.点击属性进入设置，默认设置如下图,把两个勾全部去掉，如果你要自动重拨，你可以把“握手超时后重认证”这个勾选上。

如下图：完成后点击确定，然后点连接出现下图，连接成功后最小化到屏幕右下角，与老客户端一样的小电脑标志。

6.断开连接方法：点击屏幕右下角的小电脑图标右键，点断开连接或者退出程序。

断开连接(£)用户配置©网塔配置(N)显示营理面口萸改用户密码升级程序&帮助.…遽出程序7.点击小电脑右键出现在菜单中，用户配置可以看自己的上网时间，可以累计, 也可以清零后重新计时。

网络配置则回到第5步进行配置。

确定 取消8 Client〔4K'H3C 802用户提示;般用户使用以上功能即可，还有更高级的功能就是打开管理窗口，如下图: 系统1S 知：^802. IX 用户设置r 陀藏蜀录宙口 r 显示管理留口广保存L0睹息 r记录网络報文 SG 丈件名；120050613. LOG| | 更卩「黒计上网时间:01 :⑴06 I 賢零默认设詈 网络®）配置©帮助® 2005-06-1315:56:49 2005-05-3315:56:49 2005-06-1316:05:46 2Q05-Q5-13 2005-06-132005-06-13 16;06：53 H3C S02. 1S 客户E&na ：323E Receivers ； OH 已成功通过网络验证16；06:邨 ttifteoz. ix 认证 已成功適过网塔验证 中斷602. IX 认证链押 用尸主动离线 fli^eoa. ix 认证 已成功通过网勰证Message ： Message ： Message ：Message ：。

华为802.1x客户端安装华为802.1x客户端安装文件名为H3C 8021XClient V220_0231.exe大小为2.57MB。

1.双击安装文件图标，出现以下窗口：2.单击下一步按钮：3.选择“我接受许可证协议中的条款”，单击下一步：4.填好用户名和公司名称（可以任意填写，不影响使用），单击下一步：选择“全部”，单击下一步：5.开始安装：6.安装完成：7.单击完成：8.重新启动计算机后便可以开始使用了。

华为802.1x客户端使用1.安装完毕以后先配置TCP/IP参数：单击开始菜单，单击控制面板，双击网络连接2.在本地连接图标上面单击右键，然后在弹出菜单选择属性3.出现如下窗口：4.双击Internet协议（TCP/IP），出现如下窗口：5.按上图显示配置后，单击确定按钮回到上一个窗口，单击验证选择卡，出现如下窗口：将“启用此网络的IEEE 802.1x验证”复选框的勾取消，单击确定。

6.双击桌面上出现的名为H3C802.1X的图标，出现如下窗口：7.在“选择网络适配器”一项中选择本机网卡（一般会默认选好，不必配置），单击属性按钮，出现如下窗口：按如上进行配置，单击确定。

8.回到上一窗口，填好您临到的用户名和密码：单击连接，连接成功以后便可以上网。

网络连通性测试1.单击开始菜单－运行，出现如下窗口：2.键入“cmd”，然后单击确定，出现如下窗口：注意要将其中打下划线的IP地址部分改为您领到的网关IP地址。

如果出现不是类似以下的画面（注意IP地址要为您领到的网关IP地址），则说明您的网络连通性出现问题，请与相关网络维护人员联系解决。

以上的画面说明网络已经连通。

华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』 1. 交换机 vlan10 包含端口E0/1-E0/10 接口地址 10.10.1.1/24 2. 交换机 vlan20 包含端口E0/11-E0/20 接口地址 10.10.2.1/24 3. 交换机 vlan100 包含端口 G1/1 接口地址 192.168.0.1/24 4. RADIUS server 地址为 19『配置环境参数』1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUS server地址为192.168.0.100/245.本例中交换机为三层交换机『组网需求』1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1.创建（进入）vlan10[SwitchA]vlan 102.将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05.创建（进入）vlan20[SwitchA-vlan10]vlan 206.将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207.创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208.给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09.创建（进入）vlan100[SwitchA]vlan 10010.将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111.创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012.给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0 【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X [SwitchA]dot1x interface eth 0/1 to eth 0/103.这里采用缺省域system，并且缺省域引用缺省radius方案system。

简单的说，IEEE 802.1x是一种认证技术，是对交换机上的2层接口所连接的主机做认证，当主机接到开启了IEEE 802.1x认证的接口上，就有可能被认证，否则就有可能被拒绝访问网络。

在接口上开启IEEE 802.1x认证后，在没有通过认证之前，只有IEEE 802.1x认证消息，CDP，以及STP的数据包能够通过。

因为主机接到开启了IEEE 802.1x认证的接口后，需要通过认证才能访问网络，要通过认证，只要输入合法的用户名和密码即可。

交换机收到用户输入的账户信息后，要判断该账户是否合法，就必须和用户数据库做个较对，如果是数据库中存在的，则认证通过，否则认证失败，最后拒绝该用户访问网络。

交换机提供给IEEE 802.1x认证的数据库可以是交换机本地的，也可以是远程服务器上的，这需要通过AAA来定义，如果AAA指定认证方式为本地用户数据库（Local），则读取本地的账户信息，如果AAA指定的认证方式为远程服务器，则读取远程服务器的账户信息，AAA为IEEE 802.1x提供的远程服务器认证只能是RADIUS服务器，该RADIUS服务器只要运行Access Control Server Version 3.0（ACS 3.0）或更高版本即可。

当开启IEEE 802.1x后,并且连接的主机支持IEEE 802.1x认证时，将得出如下结果：★如果认证通过，交换机将接口放在配置好的VLAN中，并放行主机的流量。

★如果认证超时，交换机则将接口放入guest vlan。

★如果认证不通过，但是定义了失败VLAN，交换机则将接口放入定义好的失败VLAN中。

★如果服务器无响应，定义放行，则放行。

注：不支持IEEE 802.1x认证的主机，也会被放到guest vlan中。

提示：当交换机使用IEEE 802.1x对主机进行认证时，如果主机通过了认证，交换机还可以根据主机输入的不同账户而将接口划入不同的VLAN，此方式称为IEEE 802.1x动态VLAN认证技术，并且需要在RADIUS服务器上做更多的设置。

第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议，起源于802.11协议－－标准的无线局域网协议。

IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题，但其在IEEE 802 LAN所定义的有线局域网中的应用，为LAN提供了接入认证的手段。

在IEEE 802 LAN所定义的局域网中，只要用户接入局域网控制设备，如LanSwitch，用户就可以访问局域网中的设备或资源。

但是对于如电信接入、写字楼LAN 以及移动办公等应用，设备提供者希望能对用户的接入进行控制，为此产生了基于端口的网络接入控制（Port Based network access control）需求。

基于端口的网络接入控制（Port Based network access control）是在 LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，而且仅定义了接入设备与接入端口间点到点的连接方式。

其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station（基于物理端口）；IEEE 802.11定义的无线LAN 接入（基于逻辑端口）等。

Quidway S3526在802.1X的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性。

1.1.2 802.1X体系结构802.1X系统包括三个实体：客户端、认证系统、认证服务器，图1中与之相应的各部分为： Supplicant System（用户接入）；Authenticator System（接入认证）；Authentication Sever System（认证服务器）。

Secospace系统802.1X认证配置指导书华为技术有限公司Huawei Technologies Co., Ltd.版权所有侵权必究All rights reserved目录1.802.1X认证简介 (1)1.1.1 概述 (1)1.1.2 基本原理 (2)1.1.3 与Secospace系统结合认证 (3)2.配置HuaWei交换机 (4)1.2.2 建立配置任务 (4)1.2.3 在全局启动802.1X认证 (5)1.2.4 创建Radius服务器组 (5)1.2.5 配置ISP域 (5)1.2.6 在接口上启用802.1x认证 (5)1.2.7 查看配置状态 (6)3.配置Cisco交换机 (7)1.3.1 建立配置任务 (7)1.3.2 在接口启动802.1X认证 (8)1.3.3 配置Radius服务器 (8)1.3.4 在全局启用802.1X特性 (8)4.配置举例 (8)1.4.1 配置Secospace系统与Huawei交换机联动功能示例 (9)1.4.2 配置Secospace系统与Cisco交换机联动功能示例 (15)1.4.3 配置Huawei交换机、Eudemon和Secospace系统联动功能示例 (19)1.4.4 配置Secospace系统与汇聚层交换机联动功能示例 (27)5.附录 (38)1. 802.1X认证简介1.1.1 概述IEEE802.1X称为基于端口的访问控制协议，该协议提供对接入到局域网（LAN）设备和用户进行认证或授权的手段，完成对用户的接入访问控制。

IEEE802.1X协议体系包括三个部分：认证客户端、认证系统、认证服务器。

802.1X认证客户端通过EAP和EAPOL协议传送认证消息给认证系统（支持802.1X协议的网络设备），认证系统再通过Radius协议与认证服务器进行通信。

认证系统的接入端口（可以是物理端口、也可以是接入终端设备的MAC地址）存在两个逻辑端口：受控端口（controlled）和非受控端口（uncontrolled）。

802.1x认证的配置一组网需求：1．在交换机上启动802.1x认证，对PC1、PC2进行本地认证上网；2．远程RADIUS服务器开启802.1x认证，对PC1、PC2认证上网。

二组网图：1．进行本地认证2．服务器认证三配置步骤：1作本地认证时交换机相关配置1．创建（进入）VLAN10[H3C]vlan 102．将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[H3C]vlan 204．将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25．分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26．全局使能802.1X认证功能（缺省情况下，802.1X功能处于关闭状态）[H3C]dot1x7．添加本地802.1X用户，用户名为“dot1x”，密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8．补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式，缺省是接入控制方式为macbased。

两种方法的区别是：当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

例如，修改端口E1/0/1的接入控制方式为portbased方式：[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者：[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1．创建（进入）VLAN10[SwitchA]vlan 102．将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[SwitchA]vlan 204．将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25．创建（进入）VLAN100[SwitchA]vlan 1006．将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17．创建（进入）VLAN接口100，并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8．创建一个名为“cams”的RADIUS方案，并进入其视图[SwitchA]radius scheme cams9．配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310．配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11．配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12．创建用户域“huawei”，并进入其视图[SwitchA]domain huawei13．指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14．指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15．分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216．全局使能dot1x认证功能（缺省情况下，dot1x功能处于关闭状态）[SwitchA]dot1x17．补充说明如果RADIUS服务器不是与SwitchA直连，那么需要在SwitchA上增加路由的配置，来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

本人工作博客：【分享本人IT工作实际经验与解决方法,欢迎访问】更多技术文档尽在豆丁网主页：为什么要实现IEEE802.1x？随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求。

IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。

IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更加适合在宽带以太网中的使用。

IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。

对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。

IEEE802.1x是一种基于端口的网络接入控制技术，在LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LANSWITCH设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN 内的资源；如果不能通过认证，则无法访问LAN 内的资源，相当于物理上断开连接。

下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。

1．IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station，这是基于物理端口的；IEEE 802.11定义的无线LAN 接入方式是基于逻辑端口的。

1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1—E0/10接口地址10。

10。

1。

1/242. 交换机vlan20包含端口E0/11—E0/20接口地址10。

10。

2.1/243。

交换机vlan100包含端口G1/1接口地址192。

168.0。

1/244. RADIUS server地址为192。

168.0.100/245。

本例中交换机为三层交换机『组网需求』1。

PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802。

1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入)vlan10［SwitchA]vlan 102. 将E0/1—E0/10加入到vlan10［SwitchA—vlan10］port Ethernet 0/1 to Ethernet 0/103. 创建（进入)vlan10的虚接口[SwitchA]interface Vlan-interface 104。

给vlan10的虚接口配置IP地址［SwitchA-Vlan-interface10]ip address 10。

10。

1.1 255。

255。

255。

05。

创建(进入)vlan20[SwitchA—vlan10]vlan 206. 将E0/11—E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址［SwitchA-Vlan—interface20]ip address 10。