华为交换机802.1X配置

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242. 交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243. 交换机vlan100包含端口G1/1接口地址192.168.0.1/244. RADIUS server地址为192.168.0.100/245. 本例中交换机为三层交换机『组网需求』1. PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入）vlan10[SwitchA]vlan 102. 将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103. 创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104. 给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05. 创建（进入）vlan20[SwitchA-vlan10]vlan 206. 将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09. 创建（进入）vlan100[SwitchA]vlan 10010. 将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111. 创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012. 给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0【802.1X本地认证缺省域相关配置】1. 在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2. 在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface 后面不加具体的端口，就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103. 这里采用缺省域system，并且缺省域引用缺省radius方案system。

交换机802.1x配置1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X 方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。

华为802.1X技术白皮书华为802.1X技术白皮书目录1概述 (1)2802.1X的基本原理 (1)2.1 体系结构 (1)2.1.1端口P AE (2)2.1.2受控端口 (2)2.1.3受控方向 (2)2.2 工作机制 (2)2.3 认证流程 (3)3华为802.1X的特点 (3)3.1 基于MAC的用户特征识别 (3)3.2 用户特征绑定 (4)3.3 认证触发方式 (4)3.3.1标准EAP触发方式 (4)3.3.2DHCP触发方式 (4)3.3.3华为专有触发方式 (4)3.4 T RUNK端口认证 (4)3.5 用户业务下发 (5)3.5.1VLAN业务 (5)3.5.2CAR业务 (5)3.6 P ROXY检测 (5)3.6.1Proxy典型应用方式 (5)3.6.2Proxy检测机制 (5)3.6.3Proxy检测结果处理 (6)3.7 IP地址管理 (6)3.7.1IP获取 (6)3.7.2IP释放 (6)3.7.3IP上传 (7)3.8 基于端口的用户容量限制 (7)3.9 支持多种认证方法 (7)3.9.1P AP方法 (7)3.9.2CHAP方法 (8)3.9.3EAP方法 (8)3.10 独特的握手机制 (8)3.11 对认证服务器的兼容 (8)3.11.1EAP终结方式 (8)3.11.2EAP中继方式 (9)3.12 内置认证服务器 (9)3.13 基于802.1X的受控组播 (9)3.14 完善的整体解决方案 (10)4典型组网 (10)4.1 集中认证方案 (10)4.2 边缘分布认证方案 (10)4.3 内置服务器认证方案 (11)5结论与展望 (11)摘要802.1X作为一种基于端口的用户访问控制安全机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，自从2001年6月正式成为IEEE 802系列标准开始，便迅速受到了包括华为在内的设备制造商、各大网络运营商和最终用户在内的广泛支持和肯定。

802.1X简介IEEE 802.1X标准（以下简称802.1X）是一种基于接口的网络接入控制（Port Based Network Access Control）协议。

“基于接口的网络接入控制”是指在局域网接入控制设备的接口对接入的设备进行认证和控制。

用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

802.1X系统为典型的Client/Server体系结构，包括三个实体：•Supplicant（客户端）客户端一般为用户终端设备，由设备端对其进行认证。

客户端需要安装802.1X的客户端软件，如Windows自带的802.1X客户端。

客户端必须支持局域网上的可扩展认证协议EAPoL（Extensible Authentication Protocol over LAN）。

•Authenticator（设备端）设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的接口。

•Authentication Server（认证服务器）认证服务器是为设备端提供认证服务的实体。

认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。

说明：在没有外部认证服务器的情况下，USG可以同时作为本地认证服务器和设备端。

USG的本地认证服务配置请参见配置本地认证。

在有外部认证服务器的情况下，USG作为设备端。

USG上对接RADIUS的配置请参见配置RADIUS认证。

认证实体的信息交换关系如图1所示。

设备端与认证服务器之间通过EAP帧交换信息。

客户端与设备端之间通过IEEE 802.1X所定义的EAPoL帧交换信息。

图1 802.1X认证系统的体系结构当客户端发起认证请求时，设备端作为中继与客户端和认证服务器交互，经过一系列的认证过程后，如果认证成功，设备的接口成为授权状态，允许客户端通过授权接口访问网络。

802.1x用户配置手册802.1x用户配置手册 (1)1 实现功能 (2)2 总体流程 (2)2.1 802.1X原理分析 (2)2.2 802.1X认证流程 (3)2.3 802.1X配置流程 (4)3 具体实现 (4)3.1 准备环境 (4)3.2管理平台配置 (4)3.2.1 建立策略 (4)3.2.2 策略说明 (5)3.2.3 策略下发 (6)3.3 Radius服务器配置 (7)3.4交换机配置 (16)各厂商交换机配置 (16)1. Cisco2950配置方法 (16)2. 华为3COM 3628配置 (17)1实现功能随着以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好的适应用户数量急剧增加和宽带业务多样性的要求，造成网络终端接入管理混乱，大量被植入木马、病毒的机器随便接入网络，给网络内部资料的保密，和终端安全的管理带来极大考验。

在此前提下IEEE推出 802.1x协议它是目前业界最新的标准认证协议。

802.1X的出现结束了非法用户未经授权进入内部网络，为企业内部安全架起一道强有力的基础安全保障。

2总体流程我们首先先了解下，802.1X协议的原来与认证过程，在与内网安全管理程序的结合中，如何设置802.1X协议，并方便了终端用户在接入方面的配置。

2.1802.1X原理分析802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备 (如LANS witch) ，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。

CAMS和H3C交换机进行802.1X EAD认证的典型配置以下配置均需要以系统管理员admin的权限登录CAMS配置台(%CAMSIP%/cams，如http://192.168.4.26/cams/ )，缺省密码为Admin。

1.安全级别：在安全管理—安全级别可以进行定义，针对每种不同的安全情况，系统都有四种对应的动作（下线，隔离，提醒，监控）来对应，此处可以根据客户的需求来定义各种安全级别。

2.设置防病毒软件管理此处可以设置防病毒软件的病毒库，杀毒引擎版本。

可根据实际要求设置3.软件补丁管理：EAD补丁检测有两种方式：WSUS自动监测和手工检测。

此处以手工检测为例。

此处可以定义EAD解决方案检测的补丁内容。

可根据事实际情况进行定制。

Windows系统软件补丁名称的定义方法：KB+补丁数字版本号，如：KB896422 （即取补丁文件名“Windows2000-KB896422-x86-CHS.EXE”中间的版本信息）。

4.配置“可控制软件管理”此处可定义EAD对客户端软件使用情况的检查。

5.配置安全策略安全级别，防病毒软件管理，软件补丁管理，可控软件管理都定义好后，将这些配置引入安全策略中，形成一个安全策略，以后可以被认证用户所申请。

同时在安全策略中也可进行其它功能项的设置。

6.配置“服务”配置服务，将事前定义好的安全策略引入7.账号开户，申请定义好的服务基本配置至此完毕，可以用eadtest的用户在客户端进行EAD测试了。

交换机配置此处只是以V3平台H3C交换机S3600-EI作为NAS接入设备做EAD特性相关配置介绍。

配置IP地址及路由IP、掩码、路由等需要根据实际情况修改配置，达到接入设备与CAMS、自助及管理代理服务器三层可达（即可以ping通）的目的。

配置Radius认证策略及域配置Radius认证策略：[H3C]radius scheme cams[H3C-radius-cams]server-type extended --认证协议（扩展）[H3C-radius-cams]primary authentication 192.168.4.26 1812 --CAMS认证IP、端口[H3C-radius-cams]primary accounting 192.168.4.26 1813 --CAMS计费IP、端口[H3C-radius-cams]key authentication expert --认证密钥[H3C-radius-cams]key accounting expert --计费密钥(必须与认证密钥相同)[H3C-radius-cams]user-name-format with-domain –用户名格式（有域名）配置认证域：[H3C]domain cams[H3C-isp-cams] radius-scheme cams --应用上面配置的Radius认证策略配置缺省域生效：[H3C]domain default enable cams --配置cams域为缺省认证域认证和计费密钥、端口如果需要修改，则两个密钥必须相同且与CAMS配置同步（注意：如果需要给用户申请使用具有不同后缀的多个服务，则需要在我司交换机上配置不同的域，如下：[H3C]domain huawei-3com[H3C-isp-huawei-3com] radius-scheme cams --应用Radius认证策略用户申请了带后缀的服务后，在客户端用该服务认证时必须输入格式如下：用户名@域名，如camsservice@huawei-3com）配置802.1x认证[H3C]dot1x --全局启动802.1x认证[H3C]dot1x port-method macbased --配置基于MAC的认证方式(缺省)[H3C]dot1x interface Ethernet 0/1 to Ethernet 0/10 --在端口0/1～0/10启动802.1x认证如果需要可以配置802.1x认证的认证方式，如与LDAP配合需要chap认证方式；而如果需要启用设备无关特性，需要配置为eap透传方式，如下：[H3C]dot1x authentication-method eap --配置EAP透传模式的认证方式如果需要限制客户端版本信息，可以使能802.1x认证的版本检测，如下：[H3C]dot1x --使能802.1x的版本检测功能如果需要使能客户端防代理功能，需要使能802.1x认证的防代理设置，如下：[H3C]dot1x supp-proxy-check logoff --使能全局下的防代理功能[H3C]dot1x supp-proxy-check logoff interface Ethernet 0/1 to Ethernet 0/10--使能每个端口的防代理功能配置ACLEAD方案对认证客户端的安全状态进行检测，然后根据实际认证上网用户PC的状态对其进行访问控制，则需要在设备上配置对应的隔离ACL（对应―隔离区‖）和安全上网ACL（对应―Internet‖安全区），即安全认证不通过的用户只能被限制在―隔离区‖访问，而只有安全认证通过的用户才能正常在安全区进行访问。

华为802.1x认证客户端使用说明新802.1X认证客户端使用方法1.卸载原有的802.1X客户端。

2.下载安装新的客户端。

3.安装完后重启计算机。

4.双击桌面的H3C802.1X图标进入如下界面，网络适配器选择你自己的网卡5.点击属性进入设置，默认设置如下图,把两个勾全部去掉，如果你要自动重拨，你可以把“握手超时后重认证”这个勾选上。

如下图：完成后点击确定，然后点连接出现下图，连接成功后最小化到屏幕右下角，与老客户端一样的小电脑标志。

6.断开连接方法：点击屏幕右下角的小电脑图标右键，点断开连接或者退出程序。

断开连接(£)用户配置©网塔配置(N)显示营理面口萸改用户密码升级程序&帮助.…遽出程序7.点击小电脑右键出现在菜单中，用户配置可以看自己的上网时间，可以累计, 也可以清零后重新计时。

网络配置则回到第5步进行配置。

确定 取消8 Client〔4K'H3C 802用户提示;般用户使用以上功能即可，还有更高级的功能就是打开管理窗口，如下图: 系统1S 知：^802. IX 用户设置r 陀藏蜀录宙口 r 显示管理留口广保存L0睹息 r记录网络報文 SG 丈件名；120050613. LOG| | 更卩「黒计上网时间:01 :⑴06 I 賢零默认设詈 网络®）配置©帮助® 2005-06-1315:56:49 2005-05-3315:56:49 2005-06-1316:05:46 2Q05-Q5-13 2005-06-132005-06-13 16;06：53 H3C S02. 1S 客户E&na ：323E Receivers ； OH 已成功通过网络验证16；06:邨 ttifteoz. ix 认证 已成功適过网塔验证 中斷602. IX 认证链押 用尸主动离线 fli^eoa. ix 认证 已成功通过网勰证Message ： Message ： Message ：Message ：。

华为802.1x客户端安装华为802.1x客户端安装文件名为H3C 8021XClient V220_0231.exe大小为2.57MB。

1.双击安装文件图标，出现以下窗口：2.单击下一步按钮：3.选择“我接受许可证协议中的条款”，单击下一步：4.填好用户名和公司名称（可以任意填写，不影响使用），单击下一步：选择“全部”，单击下一步：5.开始安装：6.安装完成：7.单击完成：8.重新启动计算机后便可以开始使用了。

华为802.1x客户端使用1.安装完毕以后先配置TCP/IP参数：单击开始菜单，单击控制面板，双击网络连接2.在本地连接图标上面单击右键，然后在弹出菜单选择属性3.出现如下窗口：4.双击Internet协议（TCP/IP），出现如下窗口：5.按上图显示配置后，单击确定按钮回到上一个窗口，单击验证选择卡，出现如下窗口：将“启用此网络的IEEE 802.1x验证”复选框的勾取消，单击确定。

6.双击桌面上出现的名为H3C802.1X的图标，出现如下窗口：7.在“选择网络适配器”一项中选择本机网卡（一般会默认选好，不必配置），单击属性按钮，出现如下窗口：按如上进行配置，单击确定。

8.回到上一窗口，填好您临到的用户名和密码：单击连接，连接成功以后便可以上网。

网络连通性测试1.单击开始菜单－运行，出现如下窗口：2.键入“cmd”，然后单击确定，出现如下窗口：注意要将其中打下划线的IP地址部分改为您领到的网关IP地址。

如果出现不是类似以下的画面（注意IP地址要为您领到的网关IP地址），则说明您的网络连通性出现问题，请与相关网络维护人员联系解决。

以上的画面说明网络已经连通。

华为交换机802.1X配置1 功能需求及组网说明『配置环境参数』 1. 交换机 vlan10 包含端口E0/1-E0/10 接口地址 10.10.1.1/24 2. 交换机 vlan20 包含端口E0/11-E0/20 接口地址 10.10.2.1/24 3. 交换机 vlan100 包含端口 G1/1 接口地址 192.168.0.1/24 4. RADIUS server 地址为 19『配置环境参数』1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUS server地址为192.168.0.100/245.本例中交换机为三层交换机『组网需求』1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1.创建（进入）vlan10[SwitchA]vlan 102.将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.05.创建（进入）vlan20[SwitchA-vlan10]vlan 206.将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207.创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208.给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.09.创建（进入）vlan100[SwitchA]vlan 10010.将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111.创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012.给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1 255.255.255.0 【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X [SwitchA]dot1x interface eth 0/1 to eth 0/103.这里采用缺省域system，并且缺省域引用缺省radius方案system。

802.1x认证的配置一组网需求：1．在交换机上启动802.1x认证，对PC1、PC2进行本地认证上网；2．远程RADIUS服务器开启802.1x认证，对PC1、PC2认证上网。

二组网图：1．进行本地认证2．服务器认证三配置步骤：1作本地认证时交换机相关配置1．创建（进入）VLAN10[H3C]vlan 102．将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[H3C]vlan 204．将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25．分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26．全局使能802.1X认证功能（缺省情况下，802.1X功能处于关闭状态）[H3C]dot1x7．添加本地802.1X用户，用户名为“dot1x”，密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8．补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式，缺省是接入控制方式为macbased。

两种方法的区别是：当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

例如，修改端口E1/0/1的接入控制方式为portbased方式：[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者：[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1．创建（进入）VLAN10[SwitchA]vlan 102．将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[SwitchA]vlan 204．将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25．创建（进入）VLAN100[SwitchA]vlan 1006．将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17．创建（进入）VLAN接口100，并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8．创建一个名为“cams”的RADIUS方案，并进入其视图[SwitchA]radius scheme cams9．配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310．配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11．配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12．创建用户域“huawei”，并进入其视图[SwitchA]domain huawei13．指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14．指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15．分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216．全局使能dot1x认证功能（缺省情况下，dot1x功能处于关闭状态）[SwitchA]dot1x17．补充说明如果RADIUS服务器不是与SwitchA直连，那么需要在SwitchA上增加路由的配置，来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

[001]dis versionHuawei Versatile Routing Platform Software.VRP Software, Version 3.10, Release 1602P10 //VRP版本号Copyright (c) 1998-2008 Huawei Technologies Co., Ltd. All rights reserved. Quidway S3928TP-SI uptime is 48 weeks, 5 days, 22 hours, 49 minutesQuidway S3928TP-SI with 1 Processor64M bytes DRAM8196K bytes Flash MemoryConfig Register points to FLASHHardware Version is REV.BCPLD Version is CPLD 003Bootrom Version is 514[Subslot 0] 24 FE Hardware Version is REV.B[Subslot 1] 4 GE Hardware Version is REV.B[001]dis cu#sysname 001#domain default enable //使能默认域为：，此域和微软的域是两个概念，不要混淆#dot1x //全局开启802.1x验证,如果不开启此项,802.1x将不会起作用dot1x dhcp-launch //使能dhcp触发验证,我的测试中是使用DHCP自动获取IP地址dot1x authentication-method eap //使用eap验证方法,还有其他的验证方法undo dot1x handshake enable //关闭802.1x握手功能,关闭的目的是为了防止XP sp3以上的操作系统无法通过验证的问题,早期的VRP版本中可能不包含此功能,请升级到最新VRP版本#radius scheme systemradius scheme testa //建立一个radius scheme:testa server-type standardprimary authentication 192.168.0.100 //指定radius服务器的地址,如果你是使用微软的IAS做为radius服务器,那么请将IAS所在的服务器ip地址写上accounting optional //打开计费可选项,记住:如果你不打算使用radius的计费选项,此命令一定需要写上,否则将不成功.key authentication 1234567 //radius客户端(即本3900交换机)和radius服务器(即IAS服务器)之间通讯所使用的密钥:1234567user-name-format without-domain //用户名中不带域名#domain //建立一个域叫: scheme radius-scheme testa //域使用上面建立的radius scheme:testavlan-assignment-mode string //VLAN匹配模式这里使用字符串:string,也可以使用整形:integerdomain system#vlan 1#vlan 10description Server-vlan#vlan 13name Guest-vlan#interface Vlan-interface1ip address 192.168.0.1 255.255.255.0#interface Aux1/0/0#interface Ethernet1/0/1dot1x//具体接口上启用802.1x验证功能. ......#interface GigabitEthernet1/1/1#interface GigabitEthernet1/1/2#interface GigabitEthernet1/1/3port link-type trunkport trunk permit vlan alldescription 001#interface GigabitEthernet1/1/4#undo irf-fabric authentication-mode#interface NULL0#voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 ##ip route-static 0.0.0.0 0.0.0.0 172.17.0.2 preference 60##user-interface aux 0 7user-interface vty 0 4#return。