802.1X认证配置案例

华为5700本机完成802.1X用户认证配置网络需求：需要公司人员根据自己的工号完成了802.1x认证之后才能进行通信和访问外网网络实验拓扑：第一步：建立802.1x认证用户[manage-converged]aaa[manage-converged-aaa]local-user cd00470 password cipher 12345 [manage-converged-aaa]local-user cd00470 service-type 8021x 指定用户的服务类型第二步：开启全局802.1x功能[manage-converged]dot1x enable[manage-converged]dot1x authentication-method chapPAP（Password Authentication Protocol）是一种两次握手认证协议，它采用明文方式传送口令。

CHAP（Challenge Handshake Authentication Protocol）是一种三次握手认证协议，它只在网络上传输用户名，而并不传输口令。

相比之下，CHAP认证保密性较好，更为安全可靠。

EAP认证功能，意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。

如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一，只需启动EAP认证即可第三步：开启接口802.1x功能[manage-converged-GigabitEthernet0/0/26]dot1x enable[manage-converged-GigabitEthernet0/0/26]dot1x port-method ?mac Authentication based on user MAC addressport Authentication based on switch port基于端口模式：只要连接在该端口的第一个MAC设备通过认证，该端口连接的其他MAC设备不用认证都允许接入。

802.1 x 认证配置交换机上的用户到CAMS上来认证和计费，通常需要进行以下一些配置：1、配置VLAN和VLAN虚接口[S3526E]vlan 2[S3526E-vlan2]port ethernet 0/24[S3526E]interface vlan 2[S3526E-Vlan-interface2]ip address 10.110.81.30 255.255.255.0[S3526E]interface vlan 1[S3526E-Vlan-interface1]ip address 10.110.82.1 255.255.255.0[S3526E-Vlan-interface1]ip address 10.110.83.1 255.255.255.0 sub2、配置RADIUS方案[S3526E]radius scheme cams[S3526E-radius-cams]primary authentication 10.110.81.90 1812[S3526E-radius-cams]primary accounting 10.110.81.90 1813[S3526E-radius-cams]server-type huawei[S3526E-radius-cams]key authentication expert[S3526E-radius-cams]key accounting expert[S3526E-radius-cams]user-name-format without-domain[S3526E-radius-cams]data-flow-format data byte packet one-packet3、配置域名和缺省域名[S3526E]domain cams[S3526E-isp-cams]radius-scheme cams[S3526E-isp-cams]access-limit disable[S3526E-isp-cams]state active[S3526E-isp-cams]idle-cut disable[S3526E]domain default enable cams4、启动和设置802.1X认证[S3526E]dot1x[S3526E]interface Ethernet 0/2[S3526E-Ethernet0/2]dot1x[S3526E-Ethernet0/2]dot1x port-method macbased配置MA上的用户到CAMS上来认证和计费，通常需要进行以下一些配置：1、配置认证、计费方案[MA5200E]aaa[MA5200E-aaa]authentication-scheme cams[MA5200E-aaa-authen-cams]authentication-mode radius[MA5200E-aaa]accounting-scheme cams[MA5200E-aaa-accounting-cams]accounting-mode radius[MA5200E-aaa-accounting-cams]accounting realtime 3[MA5200E-aaa-accounting-cams]accounting interim-fail online[MA5200E-aaa-accounting-cams]accounting start-fail offline2、配置RADIUS服务器[MA5200E]radius-server group cams[MA5200E-radius-cams]radius-server authentication 10.110.81.90 1812 [MA5200E-radius-cams]radius-server accounting 10.110.81.90 1813[MA5200E-radius-cams]radius-server key expert[MA5200E-radius-cams]radius-server type portal[MA5200E-radius-cams]undo radius-server user-name domain-included [MA5200E-radius-cams]radius-server traffic-unit byte3、配置域名和缺省域名[MA5200E]aaa[MA5200E-aaa]domain cams[MA5200E-aaa-domain-cams]authentication-scheme cams[MA5200E-aaa-domain-cams]accounting-scheme cams[MA5200E-aaa-domain-cams]radius-server group cams[MA5200E-aaa-domain-cams]eap-sim-parameter[MA5200E-aaa-domain-cams]eap-end chap[MA5200E-aaa-domain-cams]ip-pool first cams[MA5200E]aaa[MA5200E-aaa]domain default[MA5200E-aaa-domain-default]authentication-scheme defaut0[MA5200E-aaa-domain- default]accounting-scheme default0[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90 [MA5200E-aaa-domain- default] web-authentication-server urlhttp://10.110.81.90/portal[MA5200E-aaa-domain- default]ucl-group 1[MA5200E-aaa-domain- default]ip-pool first default4、配置上行端口[MA5200E]interface Ethernet 24[MA5200E-Ethernet24]negotiation auto[MA5200E]interface Ethernet 24.0[MA5200E-Ethernet24.0]ip address 10.110.81.12 255.255.255.0[MA5200E]portvlan ethernet 24 0[MA5200E-ethernet-24-vlan0-0]access-type interface5、配置接入端口[MA5200E]portvlan ethernet 2 0 4095[MA5200E-ethernet-2-vlan0-4094]access-typelayer2-subscriber[MA5200E-ethernet-2-vlan0-4094]authentication-method web[MA5200E-ethernet-2-vlan0-4094]default-domainpre-authentication default[MA5200E-ethernet-2-vlan0-4094]default-domainauthentication cams如果是采用Portal方式认证，还需要进行如下配置：6、配置Portal认证[MA5200E]web-auth-server version v2[MA5200E]web-auth-server 10.110.81.90 key expert[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90[MA5200E-aaa-domain- default] web-authentication-serverurl http://10.110.81.90/portal7、配置ACL[MA5200E]acl number 101[MA5200E-acl-adv-101]rule net-user permit ip destination 1source 10.110.81.90 0 [MA5200E-acl-adv-101]rule user-net permit ipdestination 10.110.81.90 0 source 1 [MA5200E-acl-adv-101]rule user-net deny ip source 1[MA5200E]access-group 101。

S21交换机 802.1x认证配置方法锐捷网络远程技术支持中心技术热线：4008-111-000福建星网锐捷网络有限公司802.1x 的配置注意事项1）只有支持802.1x 的产品，才能进行以下设置。

2）802.1x 既可以在二层下又可以在三层下的设备运行。

3）要先设置认证服务器的IP 地址，才能打开1X 认证。

4）打开端口安全的端口不允许打开1X 认证。

5）Aggregate Port 不允许打开1X 认证。

802.1x 的默认配置下表列出 802.1x 的一些缺省值认证Authentication 关闭DISABLE 记帐Accounting 关闭DISABLE 认证服务器(Radius Server)*服务器IP 地址(ServerIp) *认证UDP 端口*密码(Key) *无缺省值*1812*无缺省值记帐服务器(Accounting Server) *记帐服务器IP 地址*记帐UDP 端口*无缺省值1813所有端口的类型非受控端口（所有端口均无须认证便可直接通讯定时重认证re-authentication 打开定时重认证周期reauth_period 3600 秒认证失败后允许再次认证的间隔 5重传时间间隔30 秒最大重传次数 2 次客户端超时时间30 秒，在该段时间内没有收到客户端的响应便认为这次通讯失败服务器超时时间30 秒，在该段时间内没有收到服务器的回应，便认为这次通讯失败某端口下可认证主机列表无缺省值福建星网锐捷网络有限公司设置802.1X 认证的开关当打开802.1x 认证时，交换机会主动要求受控端口上的主机进行认证，认证不过的主机不允许访问网络。

例：设置Server Ip 为192.1.1.1、认证Udp 端口为600、以明文方式设置约定密码：Switch#configure terminalSwitch(config)#radius-server host 192.1.1.1Switch(config)#radius-server auth-port 600Switch(config)#radius-server key MsdadShaAdasdj878dajL6g6ga Switch(config)#end打开/关闭一个端口的认证在802.1x 打开的情形下，打开一个端口的认证，则该端口成为受控口,连接在该端口下的用户要通过认证才能访问网络，然而，在非受控端口下的用户可以直接访问网络。

802.1X认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (1)3.4 配置步骤 (2)3.4.1 AC的配置 (2)3.4.2 RADIUS服务器的配置 (4)3.5 验证配置 (6)3.6 配置文件 (10)4 相关资料 (12)1 简介本文档介绍无线控制器802.1X 认证典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA 、802.1X 、WLAN 特性。

3 配置举例3.1 组网需求如图1所示组网，采用iMC 作为RADIUS 服务器，要求：∙在AC 上启用802.1X 远程认证，实现对Client 的接入控制。

∙802.1X 认证方式采用EAP 中继方式。

∙ 采用加密类型的服务模板，加密套件采用TKIP 。

图1 802.1X 远程认证组网图3.2 配置思路∙由于部分802.1X 客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

∙ 对于无线局域网来说，802.1X 认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X 组播报文的方式来触发。

同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X 组播触发功能。

802.1x认证基本实验实验拓扑及相关ip设置：本实验要求PC机通过802.1x认证上网，通过认证后自动获取地址，并自动划分入vlan10中。

本实验模拟器用GNS3，虚拟机用Vmware。

在Vmware中安装windows xp 和windows Server 2003，在windows Server 2003中安装ACS 服务器。

1.虚拟环境的搭建：虚拟机安装完后会在物理机中添加Vmnet1 和Vmnet8两块网卡，Vmnet8是做NAT用的我们这里不用它，可以把它禁用掉，然后我们再添加一块网卡。

设置步骤：（我的Vmware是7.1版本的，勤劳的童鞋可以自己去下载汉化包。

）添加Vmnet2，这里我们把“Use local DHCP……”的勾去掉，等下我们用交换机做DHCP，添加完后会在我们的电脑里多出一块Vmnet2的网卡，添加完后要重启电脑！接下来为两台虚拟机选择网卡，xp选择vmnet1 ，win2003选择vmnet2。

选择VM—setting：绑定好网卡后设置ip：VMware xp 中的网卡设为自动获取ip，vmnet1 随便给它个ip吧。

VMware win 2003 和vmnet2 设置同一网段的ip实验中我们真正要用到的地址是Vmware 虚拟主机中的地址，配置vmnet地址是为了桥接。

配完ip后在Vmware 虚拟主机中去ping vmnet的地址能通就行了。

接下来在GNS3中搭建拓扑：在GNS3中桥接网卡其实很简单，只要从左边的设备栏里面拉一个“Cloud”就行了，想要我图中的效果只要改变下云的图标就行了，change symbol 改变图标，就是我图中那样了。

在PC上点右键，选择配置：Radius_Server做法是一样。

我在windows 7中做这个实验发现桥接后不能通信，所以建议用xp做此实验。

到这虚拟环境就搭好了，哈哈，至于虚拟机、在虚拟机中装系统、ACS的我就不说了。

802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

802.1X认证+LDAP认证典型配置案例产品版本：iMC UAM 7.2 (E0403)Copyright © 2014 -,2016 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 介绍 (1)2 特性使用指南 (1)2.1 使用场合 (1)2.2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置步骤 (2)3.2.1 配置UAM服务器 (2)3.2.2 配置接入设备 (16)3.2.3 LDAP服务器配置 (18)3.2.4 使用iNode客户端认证 (20)1 介绍在已使用LDAP服务器对用户进行管理的网络中，引入UAM认证系统。

UAM收到用户的认证请求后，将用户名和密码的校验转给LDAP服务器处理。

UAM根据LDAP服务器的验证结果允许或拒绝用户接入网络，并使用各种控制策略对接入网络的用户进行接入控制。

LDAP用户在LDAP服务器和UAM中各保存一份，LDAP服务器负责维护用户的各种信息，UAM定时从LDAP服务器中将用户信息同步到UAM中。

2 特性使用指南2.1 使用场合网络中已经存在统一管理用户的LDAP服务器，向此类比较成熟的网络中引入UAM认证系统，实现UAM与LDAP服务器联动认证。

2.2 配置前提接入设备支持802.1X协议，网络中存在基于Windows AD的LDAP服务器。

3 配置举例3.1 组网需求某公司计划在原有LDAP认证基础上引入UAM系统，用户接入网络时向UAM服务器发送认证请求，UAM将认证请求转发给LDAP服务器，由LDAP服务器来验证用户身份。

具体的组网如图1所示。

UAM服务器IP地址为192.168.3.202，LDAP服务器IP地址为192.168.40.200，接入设备IP地址为192.168.30.100。

1.1 组网图图3-1 典型企业网应用组网图1.2 配置步骤1.2.1 交换机上的配置＃设置RADIUS方案cams，设置主备服务器。

<H3C> system-view[H3C] radius scheme cams[H3C-radius-cams] primary authentication 192.168.1.19[H3C-radius-cams] primary accounting 192.168.1.19[H3C-radius-cams] secondary authentication 192.168.1.20[H3C-radius-cams] secondary accounting 192.168.1.20＃设置系统与认证Radius服务器交互报文时加密密码为expert，与计费Radius服务器交互报文的加密密码为expert。

[H3C-radius-cams] key authentication expert[H3C-radius-cams] key accounting expert＃设置用户名为带域名格式。

[H3C-radius-cams] user-name-format with-domain＃服务类型为extended。

[H3C-radius-cams] server-type extended＃配置设备重启用户再认证功能。

[H3C-radius-cams] accounting-on enable＃定义ISP域abc，并配置认证采用RADIUS方案cams。

[H3C] domain abc[H3C-isp-abc] radius-scheme cams[H3C-isp-abc] quit＃将ISP域abc设置为缺省ISP域。

[H3C] domain default enable abc＃动态VLAN下发模式[H3C-isp-abc] vlan-assignment-mode integer＃用户接入端口启用Guest VLAN功能[H3C] vlan 10[H3C-Ethernet1/0/3] dot1x port-method portbased[H3C-Ehternet1/0/3] dot1x guest-vlan 10＃启用802.1x[H3C] dot1x＃端口视图下启用dot1x[H3C-Ethernet1/0/3] dot1x＃使用display命令可以查看关于802.1x，AAA相关参数配置。

Ruckus Unleashed AP 802.1X认证 SSID配置示例1.组网需求某企业购买了几台Ruckus Unleashed AP、路由器和交换机等网络设备，路由器供出口Internet接入功能，交换机提供有线网络接入和AP接入功能，Unleashed AP 提供无线网络接入功能。

为保证无线网络安全，该企业WIFI用户采用802.1X认证方式接入网络。

2.配置思路1.Unleashed AP 初始化配置；2.配置802.1x认证方式SSID；3.配置本地802.1x用户。

3.配置步骤3.1Unleashed AP 初始化配置a)电脑有线网卡配置IP为：192.168.0.X（X为192.168.0.2~254任一地址）b)用非IE内核浏览器登录:https://192.168.0.1,c)Unleashed AP 支持中文，喜欢中文用户可选中文，国内用户可选国家代码为中文。

d)一般多AP场景，AP工作在非网关模式，DHCP由其它设备实现（如出口网关、路由器或者交换机），IP地址建议配置为手动模式，方便管理。

本文按非网关模式配置。

少量AP场景，AP可选网关模式，由Ap来实现出口路由器功能，WAN IP 地址可以根据出场景需要配置，可手动、DHCP或者PPPOE拨号e)配置无线信号名称即 SSID 和密码，密码不能有空格，最少8位最多64位字符。

f)配置Unleashed AP管理帐号和密码，可选密码恢复配置，如果密码恢复配置没选而且忘记密码，也可以直接按AP后面的Reset或者 Reset hard按钮恢复出厂设置。

g)点击“完成”，初始化配置结束，AP会重新启动。

不要断开电源或重启AP,不要刷新浏览器或点击浏览器的"回退"按钮h)配置完成后，其它AP只要接入到同一网段，都会自动接入到Unleashed系统里面，不需要做其它配置，建议在Unleashed系统里将Ap管理IP 配置为手动以方便以后登录管理。

802.1X认证配合Guest VLAN、VLAN下发配置举例1. 组网需求如图1-12所示，一台主机通过802.1X认证接入网络，认证服务器为RADIUS 服务器。

Host接入Device的端口GigabitEthernet1/0/2在VLAN 1内；认证服务器在VLAN 2内；Update Server是用于客户端软件下载和升级的服务器，在VLAN 10内；Device连接Internet网络的端口GigabitEthernet1/0/3在VLAN 5内。

现有如下组网需求：〃若一定的时间内端口上无客户端进行认证，则将该端口GigabitEthernet1/0/2加入Guest VLAN（VLAN 10）中，此时Host和Update Server都在VLAN 10内，Host可以访问Update Server并下载802.1X客户端。

〃用户认证成功上线后，认证服务器下发VLAN 5，此时Host和连接Internet网络的端口GigabitEthernet1/0/3都在VLAN 5内，Host可以访问Internet。

2. 组网图图1-12 Guest VLAN及VLAN下发组网图3. 配置步骤(1) 创建VLAN并将端口加入对应VLAN<Device> system-view[Device] vlan 1[Device-vlan1] port gigabitethernet 1/0/2 [Device-vlan1] quit[Device] vlan 10[Device-vlan10] port gigabitethernet 1/0/1 [Device-vlan10] quit[Device] vlan 2[Device-vlan2] port gigabitethernet 1/0/4 [Device-vlan2] quit[Device] vlan 5[Device-vlan5] port gigabitethernet 1/0/3[Device-vlan5] quit(2) 配置RADIUS方案# 创建RADIUS方案2000并进入其视图。

配置IEEE 802.1x 认证一下部分描述如何配置IEEE 802.1x 基于端口的认证：• IEEE 802.1x 认证的缺省配置• IEEE 802.1x 认证配置向导•配置IEEE 802.1x 认证(必须)•配置主机模式可选)•启用定期重认证 (可选l)•手动要求连接端口的客户端进行重新认证(可选) •改变静默周期 (可选l)•改变交换机到客户端的帧重传时间 (可选)•设定交换机到客户端的帧重传个数 (可选l)•配置访客VLAN (可选)•配置一个受限制的VLAN (可选l)•重置IEEE 802.1x 配置为缺省值 (可选)缺省情况下的 IEEE 802.1x 认证配置Table 9-2列出了缺省情况下的IEEE 802.1x 认证配置禁用 AAA, 使用no aaa new-model全局配置命令。

禁用IEEE 802.1x AAA 认证，使用 no aaa authentication dot1x default全局配置命令。

禁用IEEE 802.1x AAA 授权，使用no aaa authorization 全局配置命令。

禁用交换机的IEEE 802.1x 认证，使用no dot1x system-auth-control全局配置命令。

配置主机模式Mode进入特权模式，遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。

这个过程时可选的。

禁用多主机使用802.1x认证的端口，使用no dot1x host-mode multi-host端口配置命令例子：Switch(config)# interface fastethernet0/1Switch(config-if)# dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-host启用定期重认证你可以启用定期IEEE 802.1x 客户端重认证并指定多久发生一次。

802.1X典型配置举例-CAL-FENGHAI.-(YICAI)-Company One11.11 802.1X典型配置举例1.11.1 802.1X认证配置举例1. 组网需求用户通过Device的端口GigabitEthernet2/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。

端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。

所有接入用户都属于同一个ISP域bbb。

Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图图1-12 802.1X认证组网图3. 配置步骤(1) 配置各接口的IP地址（略）(2) 配置本地用户# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。

（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）<Device> system-view[Device] local-user localuser class network[Device-luser-network-localuser] password simple localpass# 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access[Device-luser-network-localuser] quit(3) 配置RADIUS方案# 创建RADIUS方案radius1并进入其视图。

802.1x认证的配置一组网需求：1．在交换机上启动802.1x认证，对PC1、PC2进行本地认证上网；2．远程RADIUS服务器开启802.1x认证，对PC1、PC2认证上网。

二组网图：1．进行本地认证2．服务器认证三配置步骤：1作本地认证时交换机相关配置1．创建（进入）VLAN10[H3C]vlan 102．将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[H3C]vlan 204．将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25．分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26．全局使能802.1X认证功能（缺省情况下，802.1X功能处于关闭状态）[H3C]dot1x7．添加本地802.1X用户，用户名为“dot1x”，密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8．补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式，缺省是接入控制方式为macbased。

两种方法的区别是：当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

例如，修改端口E1/0/1的接入控制方式为portbased方式：[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者：[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1．创建（进入）VLAN10[SwitchA]vlan 102．将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[SwitchA]vlan 204．将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25．创建（进入）VLAN100[SwitchA]vlan 1006．将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17．创建（进入）VLAN接口100，并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8．创建一个名为“cams”的RADIUS方案，并进入其视图[SwitchA]radius scheme cams9．配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310．配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11．配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12．创建用户域“huawei”，并进入其视图[SwitchA]domain huawei13．指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14．指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15．分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216．全局使能dot1x认证功能（缺省情况下，dot1x功能处于关闭状态）[SwitchA]dot1x17．补充说明如果RADIUS服务器不是与SwitchA直连，那么需要在SwitchA上增加路由的配置，来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

本地802.1X认证典型配置举例(V7)1 组网需求如图1所示,switch通过PoE方式给AP供电，switch做为DHCP server为AP、Client 分配IP地址,需要实现无线客户端Client通过AP连接到AC上。

图1 无线客户端进行802.1X认证组网图。

2 配置关键点2.1 配置AC(1)在AC上配置相关VLAN及对应虚接口地址，并放通对应接口。

(2)配置本地用户，用户名为localuser，密码为localpass。

[AC] local-user localuser class network[AC-luser-network-localuser] password simple localpass[AC-luser-network-localuser] service-type lan-access(3)配置ISP域，为802.1X用户配置AAA认证方法为本地认证、授权和计费。

[AC] domain bbb[AC-isp-bbb] authentication lan-access local[AC-isp-bbb] authorization lan-access local[AC-isp-bbb] accounting lan-access local(4)配置802.1X认证方式为CHAP。

[AC] dot1x authentication-method chap(5)配置无线服务。

[AC] wlan service-template service[AC-wlan-st-service] ssid service[AC-wlan-st-service] vlan 200[AC-wlan-st-service] client-security authentication-mode dot1x [AC-wlan-st-service] dot1x domain bbb[AC-wlan-st-service] service-template enable(6)配置AP。

EOU,802.1x配置范例802.1x 基本配置例1：aaa new-model//启用AAA，使用全局配置命令aaa authentication login default line none//创建缺省的登录认证方法列表，采用line password认证aaa authentication dot1x default group radius//aaa通过802.1x,使用RADIUS认证服务aaa authorization network default group radius//aaa通过radius授权给网络dot1x system-auth-control//全局启用802.1x认证（特权模式下配置）dot1x guest-vlan supplicant//配置允许安装了802.1x客户端的设备切换到guest-vlaninterface FastEthernet0/5 #在当前端口启动802.1xswitchport mode accessdot1x pae authenticatordot1x port-control autodot1x violation-mode protectdot1x timeout tx-period 1dot1x timeout supp-timeout 1spanning-tree portfast或int fa0/5switchport mode accessdot1x port-control auto 设置接口的802.1x状态dot1x guest-vlan 68 #配置端口的guest-vlan，未得到授权的进入VLAN68，radius-server host 192.168.1.222 auth-port 1812 acct-port 1813 key cisco//指定radius服务的IP地址、认证端口和授权端口以及安全字radius-server retry method reorder//如果当前服务器宕机，则标识其优先级最低radius-server retransmit 2//radius服务器重传次数radius-server deadtime 3//3分钟连不上服务器则认为服务器宕机radius-server vsa send authentication//radius发送VSA认证例2：全局：username admin secret password #加帐号enable secret password #加特权密码aaa authentication login default local#启用本地登陆万一radius挂了，也好进行登录交换机操作aaa authentication dot1x default group radiusaaa authorization network default group radiusdot1x system-auth-controldot1x guest-vlan supplicant端口：interface FastEthernet0/8switchport access vlan 99switchport mode accessauthentication event fail action authorize vlan 200#fail-vlan （dot1x max-req 3，客户端验证3次后，如失败加入到fail-vlan）authentication event no-response action authorize vlan 200 #guest-vlan (客户端开启802.1x，加入guest-vlan)authentication event server alive action reinitialize authentication host-mode multi-host#其实这条是鸡肋，在dot1x中是识别端口，hub只是转发流量，其实只是一个端口。

802.1x 目录目录第1章 802.1x功能介绍...........................................................................................................1-11.1 802.1x简介.........................................................................................................................1-11.2 产品特性支持情况..............................................................................................................1-11.2.1 全局配置..................................................................................................................1-11.2.2 端口视图下的配置....................................................................................................1-11.2.3 注意事项..................................................................................................................1-2第2章配置命令介绍..............................................................................................................2-12.1 802.1x相关功能配置命令...................................................................................................2-1第3章典型企业网络接入认证应用.........................................................................................3-13.1 网络应用分析.....................................................................................................................3-13.2 组网图................................................................................................................................3-23.3 配置步骤.............................................................................................................................3-23.3.1 交换机上的配置.......................................................................................................3-23.3.2 RADIUS Server上的配置（以CAMS 1.20标准版为例）........................................3-53.3.3 接入用户PC上的操作............................................................................................3-113.3.4 验证结果................................................................................................................3-163.3.5 故障诊断与排错.....................................................................................................3-16802.1x 摘要802.1x典型配置举例关键词：802.1x，AAA摘要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到的802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤。

1.11 802.1X典型配置举例1.11.1 802.1X认证配置举例1. 组网需求用户通过Device的端口GigabitEthernet2/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：∙由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。

∙端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

∙认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。

∙所有接入用户都属于同一个ISP域bbb。

∙ Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图图1-12 802.1X认证组网图3. 配置步骤(1) 配置各接口的IP地址（略）(2) 配置本地用户# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。

（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）<Device> system-view[Device] local-user localuser class network[Device-luser-network-localuser] password simple localpass# 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access[Device-luser-network-localuser] quit(3) 配置RADIUS方案# 创建RADIUS方案radius1并进入其视图。

05-802.1X与RADIUS-Offload功能组合认证典型配置举例一、前言随着网络威胁不断增加，企业网络安全已成为重中之重。

网络认证是实现网络安全的关键，而802.1X技术是目前最主流、最安全的认证方式。

802.1X技术利用了EAP协议对用户进行认证，需要配合Radius服务器完成认证工作。

然而，当电脑数量较多、流量较大时，Radius服务器容易出现性能问题。

为了解决这一问题，一种叫做RADIUS-Offload的技术应运而生。

它允许网络带宽更大、性能更强大的设备进行认证，卸载Radius认证服务器的相关功能。

本文将介绍802.1X和RADIUS-Offload的基本原理，并给出典型的配置举例。

二、 802.1X认证原理802.1X认证是一种基于端口的网络访问控制协议，主要思想是控制用户通过联网设备接入网络的权限。

用户需经过认证后，才能通过交换机接入网络，防止未授权的用户接入网络带来的网络风险。

802.1X认证利用EAP协议对用户进行认证，它将认证分为三个步骤：认证请求、认证响应和认证成功。

交换机通过与Radius服务器通信，将用户发送的认证请求转发给Radius服务器处理，Radius服务器在接收到客户端请求后，生成一条消息的摘要，并将此消息和一个密码请求一起发送回给客户端。

这个过程中需要注意的是，密码请求只包含导致Radius服务器生成的请求ID和一些随机数。

客户端在收到密码请求后，会根据服务器请求中传递的“密码输入位置”向用户询问密码，密码输入的位置由Radius服务器决定。

当客户端输入正确的密码或证书时，服务器将向交换机发送一个认证成功的消息，此时交换机会将端口切换到已认证的模式，用户就可以访问网络资源了。

三、 RADIUS-Offload的原理RADIUS-Offload是一种客户端无感知的Radius服务器卸载方案。

传统的Radius认证对服务器的性能要求比较高，容易出现性能问题。