目  录

1 802.1X典型配置举例

1.1 简介

1.2 802.1X用户认证典型配置举例（Radius服务器为H3C交换机）

1.2.1 适用产品和版本

1.2.2 组网需求

1.2.3 配置思路

1.2.4 配置注意事项

1.2.5 配置步骤

1.2.6 验证配置

1.2.7 配置文件

1.3 802.1X用户认证典型配置举例（Radius服务器为iMC服务器）

1.3.1 适用产品和版本

1.3.2 组网需求

1.3.3 配置思路

1.3.4 配置注意事项

1.3.5 配置步骤

1.3.6 验证配置

1.3.7 配置文件

1.4 802.1X设备单播触发典型配置案例

1.4.1 适用产品和版本

1.4.2 组网需求

1.4.3 配置注意事项

1.4.4 配置步骤

1.4.5 验证配置

1.4.6 配置文件

1  802.1X典型配置举例

1.1  简介

本章介绍了使用802.1X功能实现用户安全接入的典型配置案例。

1.2  802.1X用户认证典型配置举例（Radius服务器为H3C交换机）

1.2.1  适用产品和版本

表1 配置适用的产品与软件版本关系

1.2.2  组网需求

如图1所示：

·     用户通过其与Switch相连的端口接入网络。

·     用户采用iNode客户端进行802.1X认证。

·     认证/授权服务器均采用我司设备做为RADIUS服务器（例如H3C S5500-HI系列交换机）。

通过配置802.1X认证功能实现：

·     对接入设备的安全认证，以控制其访问Internet。

·     用户与Switch相连的端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

图1 802.1X接入认证组网示意图

1.2.3  配置思路

为实现接入用户的单独认证，需配置802.1X用户的接入控制方式为基于MAC地址的接入控制方式。

1.2.4  配置注意事项

·     在标准的RADIUS协议中，RADIUS服务器的认证端口为UDP端口1812，我司设备作为RADIUS服务器时认证端口为UDP端口1645。因此，本举例中需要在SwitchA上配置RADIUS方案时，需要指定认证服务器的认证端口号为1645。

·     使能全局的802.1X认证功能一般放在最后，因为当相关参数未配置完成时，会造成合法用户无法访问网络。

·     只有同时开启全局和端口的802.1X特性后，802.1X的配置才能在端口上生效。

1.2.5  配置步骤

1. SwitchA上的配置

(1)     配置各接口的IP地址（略）

(2)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[SwitchA] radius scheme radius1

New Radius scheme

# 配置主认证/授权RADIUS服务器的IP地址。

[SwitchA-radius-radius1] primary authentication 10.1.1.1 1645 key simple abc

# 配置发送给RADIUS服务器的用户名不携带域名。

[SwitchA-radius-radius1] user-name-format without-domain

# 配置发送RADIUS报文的源接口IP。

[SwitchA-radius-radius1] nas-ip 10.1.1.2

[SwitchA-radius-radius1] quit

(3)     配置ISP域

# 创建域test并进入其视图。

[SwitchA] domain test

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权方法。

[SwitchA-isp-test] authentication lan-access radius-scheme radius1

[SwitchA-isp-test] authorization lan-access radius-scheme radius1

# 指定域test为缺省的ISP域。如果用户在登录时没有提供ISP域名，系统将把它归于该缺省的ISP域。

[SwitchA] domain default enable test

(4)     配置802.1X

# 开启指定端口Ten-GigabitEthernet1/0/1的802.1X特性。

[SwitchA] interface ten-gigabitethernet 1/0/1

[SwitchA-Ten-GigabitEthernet1/0/1] dot1x

# 配置基于MAC地址的接入控制方式（该配置可选，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[SwitchA-Ten-GigabitEthernet1/0/1] dot1x port-method macbased

[SwitchA-Ten-GigabitEthernet1/0/1] quit

# 开启全局802.1X特性。

[SwitchA] dot1x

2. RADIUS server上的配置

# 创建名称为“guest”的RADIUS用户，并进入该用户视图。

<Sysname> system-view

[Sysname] radius-server user guest

# 指定用户“guest”的密码为明文123456。

[Sysname-rdsuser-guest] password simple 123456

[Sysname-rdsuser-guest] quit

# 配置RADIUS客户端IP为10.1.1.2，共享密钥为明文abc。

[Sysname] radius-server client-ip 10.1.1.2 key simple abc

3. 接入用户上的配置

接入用户需要安装H3C 公司iNode客户端，然后进行如下操作：

(1)     启动客户端

图2 iNode客户端界面示意图

(2)     新建802.1X连接

点击<新建>按钮，接入新建连接向导对话框，并选择“802.1X协议”。

图3 新建802.1X连接示意图

(3)     输入用户名和密码

图4 802.1X用户名、密码配置示意图

需要注意：iNode认证连接的用户名，备用于认证的域，以及服务器的后缀三者密切相连，具体的配置关系参加下表。

表2 认证域配置关系表

(4)     设置连接属性

图5 802.1X连接属性配置示意图

需要注意的是：用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进行扩展，在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。如果不选此项，则采用标准的EAP报文进行身份认证。

如果配置的认证方式为RADIUS认证失败转本地认证，由于本地认证不能对客户端上传的版本号进行识别，请不要勾选“上传客户端版本号”选项。

(5)     创建新连接

图6 完成新建连接示意图

完成新建连接后，点击iNode客户端的<连接>按钮，发起802.1X连接。

1.2.6  验证配置

图7 802.1X启动连接示意图

输入正确的用户名和密码后，客户端认证成功，可以正常使用网络。

1.2.7  配置文件

·     接入设备：SwitchA

#

domain default enable test

#

 dot1x

#

radius scheme radius1

 primary authentication 10.1.1.1 1645 key cipher $c$3$I9rdLmT82kyz1eyzYDZv46s+V4r0Bw==

 user-name-format without-domain

 nas-ip 10.1.1.2

#

domain test

 authentication lan-access radius-scheme radius1

 authorization lan-access radius-scheme radius1

#

interface Vlan-interface1

 ip address 192.168.0.59 255.255.255.0

#

interface Vlan-interface11

 ip address 10.1.1.2 255.255.255.0

#

interface Ten-GigabitEthernet1/0/1

 dot1x

#

interface Ten-GigabitEthernet1/0/2

 port access vlan 11

#

·     Radius server：SwitchB

#

 radius-server client-ip 10.1.1.2 key cipher $c$3$EEKWoSNy6Om3tZ0PhUbTPLuWMY2+aw==

#

radius-server user guest

 password cipher $c$3$4rJuGA/vjrZHO+o33+/NPkcVZWuY8nnDzw==

#

interface Vlan-interface11

 ip address 10.1.1.1 255.255.255.0

#

interface Ten-GigabitEthernet1/1/2

 port access vlan 11

#

1.3  802.1X用户认证典型配置举例（Radius服务器为iMC服务器）

1.3.1  适用产品和版本

表3 配置适用的产品与软件版本关系

1.3.2  组网需求

如图8所示：

·     802.1X用户通过其与Switch相连的端口接入网络。

·     用户采用iNode客户端进行802.1X认证。

·     认证/授权服务器均采用iMC服务器做为RADIUS服务器。

通过对802.1X用户在iMC服务器认证实现：

·     802.1X用户的RADIUS认证/授权，认证成功的用户允许其访问Internet。

·     用户与Switch相连的端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

图8 802.1X用户通过iMC服务器认证组网示意图

1.3.3  配置思路

为实现接入用户的单独认证，需配置802.1X用户的接入控制方式为基于MAC地址的接入控制方式。

1.3.4  配置注意事项

由于iMC安装的版本、组件不同或设置的系统参数不同，可能导致配置界面有所差异，本举例中的iMC配置界面仅供参考。有关iMC配置的更多详细介绍请参见《iMC UAM管理员指导书》。

1.3.5  配置步骤

1. RADIUS服务器上的配置

(1)     增加接入设备

登录进入iMC管理平台，选择“业务”页签，单击左侧导航树中的[接入设备管理/接入设备配置]菜单项，进入“接入设备配置”页面；在该页面中单击“增加”按钮，进入“增加接入设备”页面。

·     设置认证端口和计费端口分别为“1812”和“1813”；

·     设置与Switch交互报文时的共享密钥为“aabbcc”，并确认该共享密钥；

·     选择业务类型为“LAN接入业务”；

·     选择接入设备类型为“H3C（General）”；

·     选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备。

·     其它参数采用缺省值，单击<确定>按钮完成操作。

图9 增加接入设备

(2)     增加接入规则

选择“业务”页签，单击导航树中的[用户接入管理/接入规则管理]菜单项，进入“接入规则管理”页面，在该页面中单击“增加”按钮，进入“增加接入规则”页面。

·     输入接入规则名“default”；

·     其它参数采用缺省值；

·     点击<确定>按钮完成操作。

图10 增加接入规则

(3)     增加服务

选择“业务”页签，单击导航树中的[用户接入管理/服务配置管理]菜单项，进入“服务配置管理”页面，在该页面中单击“增加”按钮，进入“增加服务配置”页面。

·     输入服务名“service1”，服务后缀“test”（关于服务后缀的设置规则请参考1.2.5  3. (3)图4表2）；

·     缺省接入规则选择“default”；

·     其它参数采用缺省值；

·     点击<确定>按钮。

图11 增加服务配置

(4)     增加接入用户

选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户]菜单项，进入“所有接入用户”列表页面，在该页面中单击<增加>按钮，进入“增加接入用户”页面。

·     单击<增加用户>按钮，添加用户信息；

·     输入帐号名“guest”（该帐号为用户接入网络时使用的标识），密码“123456”；

·     在接入服务部分选中“service1”；

·     其它参数采用缺省值；

·     点击<确定>按钮。

图12 增加接入用户

2. 接入设备上的配置

# 配置各接口的IP地址（略）。

# 创建RADIUS方案radius1并进入其视图。

<Switch> system-view

[Switch] radius scheme radius1

# 设置主认证/授权RADIUS服务器的IP地址。

[Switch-radius-radius1] primary authentication 10.1.1.1

# 设置系统与RADIUS服务器交互报文时的共享密钥。

[Switch-radius-radius1] key authentication simple aabbcc

# 设置系统向RADIUS服务器重发报文的时间间隔与次数。

[Switch-radius-radius1] timer response-timeout 5

[Switch-radius-radius1] retry 5

[Switch-radius-radius1] quit

# 创建域test并进入其视图。

[Switch] domain test

# 指定radius1为该域用户的RADIUS方案。

[Switch-isp-test] authentication lan-access radius-scheme radius1

[Switch-isp-test] authorization lan-access radius-scheme radius1

# 配置域test为缺省用户域。

[Switch] domain default enable test

# 开启指定端口Ten-GigabitEthernet1/0/1的802.1X功能。

[Switch] interface gigabitthernet 1/0/1

[Switch-Ten-GigabitEthernet1/0/1] dot1x

# 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[Switch-Ten-GigabitEthernet1/0/1] dot1x port-method macbased

[Switch-Ten-GigabitEthernet1/0/1] quit

# 开启全局802.1 X功能。

[Switch] dot1x

3. 接入用户上的配置

接入用户需要安装H3C 公司iNode客户端，客户端上的配置与上例相同，具体请参见1.2.5  3. 接入用户上的配置。

1.3.6  验证配置

在802.1X客户端上输入用户名“guest@test”和密码“123456”后，点击<连接>按钮，客户端发起认证，认证成功后可以正常使用网络。

1.3.7  配置文件

#

 domain default enable test

#

 dot1x

#

vlan 1

#

radius scheme radius1

primary authentication 10.1.1.1

 key authentication cipher $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

 timer response-timeout 5

 retry 5

#

domain test

 authentication lan-access radius-scheme radius1

 authorization lan-access radius-scheme radius1

#

interface Vlan-interface10

 ip address 10.1.1.2 255.255.255.0

#

interface Ten-GigabitEthernet1/0/1

 dot1x

#

interface Ten-GigabitEthernet1/0/2

 port access vlan 10

#

1.4  802.1X设备单播触发典型配置案例

1.4.1  适用产品和版本

表4 配置适用的产品与软件版本关系

1.4.2  组网需求

如图13所示，用户Host通过其与Switch的相连端口接入网络。用户采用Windows XP自带的802.1X客户端软件进行认证。认证/授权服务器均采用iMC服务器。为了提高网络的安全性，对于不能主动发送EAPOL-Start报文的客户端（例如Windows XP自带的802.1X客户端软件），且用户网络内不希望出现过多的认证触发报文。可通过配置802.1X设备单播触发功能来触发接入设备进行802.1X认证，以控制其访问Internet。802.1X用户的接入控制方式是基于MAC地址的接入控制方式，认证时，采用进行RADIUS认证/授权方式。

图13 802.1X接入认证组网示意图

1.4.3  配置注意事项

开启单播触发功能时，建议关闭组播触发功能，以免认证报文重复发送。

1.4.4  配置步骤

1. RADIUS服务器上的配置（同上例）

2. 接入设备的配置

# 创建VLAN和VLAN接口，并配置各接口的IP地址（略）。

# 创建RADIUS方案radius1并进入其视图。

<Switch> system-view

[Switch] radius scheme radius1

# 设置主认证/授权RADIUS服务器的IP地址。

[Switch-radius-radius1] primary authentication 10.1.1.1

# 设置系统与认证RADIUS服务器交互报文时的共享密钥。

[Switch-radius-radius1] key authentication simple aabbcc

# 创建域test并进入其视图。

[Switch] domain test

# 指定radius1为该域用户的RADIUS方案。

[Switch-isp-test] authentication lan-access radius-scheme radius1

[Switch-isp-test] authorization lan-access radius-scheme radius1

[Switch-isp-test] quit

# 配置域test为缺省用户域。

[Switch] domain default enable test

# 关闭端口Ten-GigabitEthernet 1/0/1的802.1X的组播触发功能。

[Switch] interface ten-gigabitethernet 1/0/1

[Switch-Ten-GigabitEthernet1/0/1] undo dot1x multicast-trigger

# 开启端口Ten-GigabitEthernet 1/0/1的802.1X的单播触发功能。

[Switch-Ten-GigabitEthernet 1/0/1] dot1x unicast-trigger

# 开启端口Ten-GigabitEthernet 1/0/1的802.1X功能。

[Switch-Ten-GigabitEthernet1/0/1] dot1x

# 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[Switch-Ten-GigabitEthernet1/0/1] dot1x port-method macbased

[Switch-Ten-GigabitEthernet1/0/1] quit

# 开启全局802.1 X功能。

[Switch] dot1x

3. 接入用户上的配置

接入用户以Windows XP 自带客户端为例，如图14所示，启动802.1X认证功能。

图14 启动Windows XP的802.1X认证功能

1.4.5  验证配置

启动802.1X验证功能以后，如果用户需要访问Internet，接入设备的端口Ten-GigabitEthernet1/0/1会收到源MAC地址不在设备当前的MAC地址表中的数据帧，该端口将发送EAP单播报文来触发802.1X认证。因此，Host的状态栏会收到提示信息“单击此处输入您的网络用户名和密码”，用户输入正确的用户名“guest@test”和密码“123456”，即可正常访问Internet。

1.4.6  配置文件

#

 domain default enable test

#

 dot1x

#

radius scheme radius1

 primary authentication 10.1.1.1

 key authentication $c$3$LAV0oGNaM9Z/CuVcWONBH4xezu48Agh5aQ==

#

domain test

 authentication default radius-scheme radius1

 authorization default radius-scheme radius1

#

interface Ten-GigabitEthernet1/0/1

 undo dot1x multicast-trigger

 dot1x

 dot1x unicast-trigger

#