AD+802.1X+RADIUS认证配置手册(可编辑修改word版)

802.1X与RADIUS Offload功能组合认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (2)3.4 配置步骤 (2)3.4.1 AC的配置： (2)3.4.2 RADIUS server的配置： (4)3.5 验证配置 (5)3.6 配置文件 (6)4 相关资料 (7)i1 简介本文档介绍当RADIUS服务器不支持EAP认证时，无线控制器采用802.1X的认证方式为EAP中继方式对无线客户端进行认证的典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、802.1X和WLAN特性。

3 配置举例3.1 组网需求如图1所示，Client和AP通过DHCP服务器分配IP地址，RADIUS服务器不支持EAP认证，要求：∙在AC上配置802.1X认证，以控制Client对网络资源的访问。

∙802.1X认证方式采用EAP中继方式。

∙对Client和AC之间传输的数据进行加密，加密套件采用AES-CCMP。

∙在强制认证域dm0进行认证。

图1802.1X与RADIUS Offload组合认证组网图3.2 配置思路∙由于需求中RADIUS服务器不支持EAP认证，要配置EAP中继方式的802.1X认证，需要使能RADIUS Offload功能。

802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

交换机802.1X配置1功能需求及组网说明802.1X配置『配置环境参数』1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUS server地址为192.168.0.100/245.本例中交换机为三层交换机『组网需求』1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1.创建（进入）vlan10[SwitchA]vlan 102.将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1255.255.255.05.创建（进入）vlan20[SwitchA-vlan10]vlan 206.将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207.创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208.给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1255.255.255.09.创建（进入）vlan100[SwitchA]vlan 10010.将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111.创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012.给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1255.255.255.0【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103.这里采用缺省域system，并且缺省域引用缺省radius方案system。

802.1X用户的RADIUS认证、授权和计费配置1. 组网需求在图1-26所示的组网环境中，需要实现使用RADIUS服务器对通过Switch接入的802.1X用户进行认证、授权和计费。

●在接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证，并采用基于MAC地址的接入控制方式，即该端口下的所有用户都需要单独认证；●Switch与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名；●用户认证时使用的用户名为dot1x@bbb。

●用户认证成功后，认证服务器授权下发VLAN 4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。

●对802.1X用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。

2. 组网图图1-26 802.1X用户RADIUS认证、授权和计费配置组网图3. 配置步骤●请按照组网图完成端口和VLAN的配置，并保证在用户通过认证后能够自动或者手动更新IP地址与授权VLAN中的资源互通。

●下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2606、iMC UAM3.60-E6206、iMC CAMS 3.60-E6206），说明RADIUS server的基本配置。

(1)配置RADIUS server# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

●设置与Switch交互报文时的认证、计费共享密钥为“expert”；●设置认证及计费的端口号分别为“1812”和“1813”；●选择业务类型为“LAN接入业务”；●选择接入设备类型为“H3C”；●选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备；●其它参数采用缺省值，并单击<确定>按钮完成操作。

AD+RADIUS+802.1X认证配置手册一、AD域安装（SERVER2008）1、命令提示符2、3、输入 dcpromo 打开AD服务器安装向导。

会弹出如下错误：然后一路下一步，中途会检查DNS设置大约5分钟左右然后重启一路下一步直到安装至此证书服务安装完成，然后给这台服务器申请证书，如下二、RADIUS安装与配置三、802.1x配置1.2960交换机配置交换机全局配置：Switch(config)#aaa new-model //开启AAA认证Switch(config)#aaa authentication dot1x default group radius //dot1x采用radius认证Switch(config)# radius-server host 192.168.6.200 auth-port 1812 acct-port 1813 key 123456 //指定radius服务器的IP地址、端口号及与radius服务器通讯的密钥为123456配置radius服务器时需要用到此密钥Switch(config)#dot1x system-auth-control //全局启用dot1x认证交换机接口配置：Switch(config)#interface FastEthernet0/1 //进入1号接口Switch(config-if)#switchport mode access //指定接口为access类型，只有此模式下的端口才支持802.1xSwitch(config-if)#authentication port-control auto //接口启用dot1x认证，并指定接口认证控制模式为自动Switch(config-if)#dot1x pae authenticator //设定这个接口为802.1x认证接口（即弹出提示用户输入用户密码的窗口，并负责将用户输入的用户密码传给radius服务器进行认证）Switch(config-if)#spanning-tree portfast //加快认证的速度，可选Switch(config-if)#authentication host-mode multi-auth //指定该接口的认证模式为多用户认证（即该接口下接交换机时要启用这个模式，可选）Switch(config-if)#authentication violation protect //当身份验证失败时将此端口至于受保护的模式（可选）Switch(config)#interface vlan 1 //进入vlan1虚拟接口Switch(config-if)#ip address 192.168.6.200 255.255.255.0 //配置交换机的管理地址（即和radius服务器通讯的IP地址）此地址在配置radius服务器时要用到2.华为5600交换机配置全局配置：[Quidway]dot1x //全局开启dot1x认证[Quidway] dot1x authentication-method eap md5-challenge //指定dot1x采用的认证方法[Quidway]radius scheme 802.1x//定义radius认证服务器802.1x的相关属性[Quidway-radius-802.1x]server-type standard //定义radius服务采用标准形式[Quidway-radius-802.1x] primary authentication 192.168.6.200 //指定认证服务器的地址[Quidway-radius-802.1x] key authentication 123456 //指定认证与认证服务器通讯的密钥[Quidway-radius-802.1x]user-name-format without-domain //定义登陆用户名的格式[Quidway]domain 802.1x //定义802.1x域的相关属性[Quidway-isp-802.1x]scheme radius-scheme 802.1x//应用上面定于的radius服务器802.1x [Quidway-isp-802.1x]accounting optional //设置审计为可选[Quidway]domain default enable 802.1x //设定默认域采用802.1x域接口配置：[Quidway]interface g 1/0/12 //进入12号接口[Quidway-GigabitEthernet1/0/12]port link-type access //指定端口模式为access[Quidway-GigabitEthernet1/0/12]dot1x //开启dot1x认证[Quidway-GigabitEthernet1/0/12]dot1x port-control auto //端口控制采用自动模式[Quidway-GigabitEthernet1/0/12]dot1x port-method macbased//采用基于mac地址的认证四、PC机配置（win7）重启在PC重启的过程中进入AD域服务器，将刚刚加入域的计算机与之前创建好的用户test绑定，意思是只有test用户可以登录刚刚加入域的计算机。

搭建802.1X接入认证环境配置教程搭建802.1X接入认证环境配置教程目录一、环境介绍 (2)二、Radius服务器安装步骤 (3)2.1、安装前准备 (3)2.2、默认域安全设置 (5)2.3、配置Active Directory 用户和计算机 (6)2.4、设置自动申请证书 (12)2.5、配置Internet验证服务（IAS） (14)2.5.1、配置Radius客户端 (15)2.5.2、配置远程访问记录 (16)2.5.3、配置远程访问策略 (17)2.5.4、配置连接请求策略 (22)2.6、配置Internet信息服务(IIS)管理器 (24)三、测试Radius服务器 (25)3.1、测试 (25)3.2、查看日志 (26)四、配置Radius认证客户端（交换机） (27)五、接入客户端配置 (28)一、环境介绍在真实环境下，802.1x认证的网络拓布结构如下图：为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用思科3550交换机：二、Radius服务器安装步骤2.1、安装前准备1、安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS）[步骤]：开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统（DNS）”。

2、配置活动目录[步骤]：（没有特别描述，默认单击“下一步”即可）第一步：开始→运行→输入活动目录安装命令“dcpromo”，进入活动目录安装向导。

第二步：设置新的域名，如本例“”。

第三步：活动目录安装程序会检测系统是否已经安装DNS，若DNS已经安装，请选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器”。

否则，请先安装DNS服务。

第四步：默认单击“下一步”后，系统开始安装并配置活动目录，这段时间比较长，请耐心等待。

802.1X+Radius+无线接入点认证完整配置帮助文档一、认证简介 (3)1、1身份认证介绍 (3)1、2身份认证的概念 (3)1、3认证、授权与审计 (3)1、4 IEEE 802.1x协议与RADIUD服务器 (4)1、5 RADIUS服务器 (4)1、6 基于IEEE 802.1x认证系统的组成 (5)二、配置RADIUS server步骤 (6)2、1 安装Active Directory活动目录； (6)2、2 安装IIS管理器和证书颁发机构CA (14)2、3 安装IAS（internet验证服务） (21)三、默认域安全设置 (23)四、配置Active Directory用户和计算机 (24)五、设置自动申请证书 (32)六、配置internet验证服务（IAS） (36)6、1 配置“RADIUS客户端” (36)6、2 配置“远程访问记录” (39)6、3 配置“远程访问策略” (40)6、4 配置“连接请求策略” (45)七、配置IIS（internet信息服务管理器） (48)八、查看记录 (49)九、认证者端配置 (50)十、无线客户端配置 (52)一、认证简介1、1身份认证介绍身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。

使用身份认证的主要目的是防止非授权用户进入系统，同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。

近年来，越来越多的单位和运营商等通过身份认证系统加密用户对网络资源的访问，在众多的解决方案中，Radius认证系统的使用最为广泛。

在大量的企业、政府机关、高校，通过Radius认证系统，实现对用户网络访问身份的认证，以决定某一用户是否具有上网权限，并记录相关的信息。

本讲在简要介绍身份认证的概念、IEEE 802.x协议、Radius认证系统等基础概念的基础上，以Windows Server 2003操作系统和安信网络的无线接入产品为例，详细介绍用户身份认证系统的安装、配置、使用和故障排除方法。

802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

802.1x认证的配置一组网需求：1．在交换机上启动802.1x认证，对PC1、PC2进行本地认证上网；2．远程RADIUS服务器开启802.1x认证，对PC1、PC2认证上网。

二组网图：1．进行本地认证2．服务器认证三配置步骤：1作本地认证时交换机相关配置1．创建（进入）VLAN10[H3C]vlan 102．将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[H3C]vlan 204．将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25．分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26．全局使能802.1X认证功能（缺省情况下，802.1X功能处于关闭状态）[H3C]dot1x7．添加本地802.1X用户，用户名为“dot1x”，密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8．补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式，缺省是接入控制方式为macbased。

两种方法的区别是：当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

例如，修改端口E1/0/1的接入控制方式为portbased方式：[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者：[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1．创建（进入）VLAN10[SwitchA]vlan 102．将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[SwitchA]vlan 204．将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25．创建（进入）VLAN100[SwitchA]vlan 1006．将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17．创建（进入）VLAN接口100，并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8．创建一个名为“cams”的RADIUS方案，并进入其视图[SwitchA]radius scheme cams9．配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310．配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11．配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12．创建用户域“huawei”，并进入其视图[SwitchA]domain huawei13．指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14．指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15．分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216．全局使能dot1x认证功能（缺省情况下，dot1x功能处于关闭状态）[SwitchA]dot1x17．补充说明如果RADIUS服务器不是与SwitchA直连，那么需要在SwitchA上增加路由的配置，来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

05-802.1X与RADIUS-Offload功能组合认证典型配置举例一、前言随着网络威胁不断增加，企业网络安全已成为重中之重。

网络认证是实现网络安全的关键，而802.1X技术是目前最主流、最安全的认证方式。

802.1X技术利用了EAP协议对用户进行认证，需要配合Radius服务器完成认证工作。

然而，当电脑数量较多、流量较大时，Radius服务器容易出现性能问题。

为了解决这一问题，一种叫做RADIUS-Offload的技术应运而生。

它允许网络带宽更大、性能更强大的设备进行认证，卸载Radius认证服务器的相关功能。

本文将介绍802.1X和RADIUS-Offload的基本原理，并给出典型的配置举例。

二、 802.1X认证原理802.1X认证是一种基于端口的网络访问控制协议，主要思想是控制用户通过联网设备接入网络的权限。

用户需经过认证后，才能通过交换机接入网络，防止未授权的用户接入网络带来的网络风险。

802.1X认证利用EAP协议对用户进行认证，它将认证分为三个步骤：认证请求、认证响应和认证成功。

交换机通过与Radius服务器通信，将用户发送的认证请求转发给Radius服务器处理，Radius服务器在接收到客户端请求后，生成一条消息的摘要，并将此消息和一个密码请求一起发送回给客户端。

这个过程中需要注意的是，密码请求只包含导致Radius服务器生成的请求ID和一些随机数。

客户端在收到密码请求后，会根据服务器请求中传递的“密码输入位置”向用户询问密码，密码输入的位置由Radius服务器决定。

当客户端输入正确的密码或证书时，服务器将向交换机发送一个认证成功的消息，此时交换机会将端口切换到已认证的模式，用户就可以访问网络资源了。

三、 RADIUS-Offload的原理RADIUS-Offload是一种客户端无感知的Radius服务器卸载方案。

传统的Radius认证对服务器的性能要求比较高，容易出现性能问题。