欢迎user
18-端口安全
本章节下载 (605.45 KB)
用户通过Switch的端口GigabitEthernet1/0/1接入网络,Switch对该端口接入的用户进行端口安全认证以控制其访问Internet,具体要求如下:
· RADIUS服务器作为认证/授权/计费服务器与Switch相连,其IP地址为10.1.1.1/24。
· 端口GigabitEthernet1/0/1上同时允许一个802.1X用户以及一个与指定OUI值匹配的设备接入。
· Switch对802.1X用户进行认证时,采用RADIUS认证方式,认证ISP域为portsec。
· Switch与RADIUS认证/授权和计费服务器交互报文时的共享密钥均为name,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名不携带域名。
· 添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。系统会自动取输入的前24位作为OUI值,忽略后24位。
图1 端口安全用户的RADIUS认证配置组网图
OUI值只在端口安全模式为userLoginWithOUI时生效。在userLoginWithOUI模式下,端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC地址的OUI与设备上配置的某个OUI值相符。
(1) 配置RADIUS方案
选择页面左侧导航栏[安全/认证/RADIUS],进入“RADIUS方案”配置页面,进行如下配置:
¡ 点击右上角“”按钮,添加RADIUS方案。
¡ 配置方案名称为“portsec”。
¡ 指定主认证服务器IP地址为“10.1.1.1”,端口号为“1812”,共享密钥为“name”。设置主认证服务器状态为“活动”,点击右侧的“”按钮完成添加。
¡ 指定主计费服务器IP地址为“10.1.1.1”,端口号为“1813”,共享密钥为“name”。设置主计费服务器状态为“活动”,点击右侧的“”按钮完成添加。
图2 添加RADIUS方案
¡ 点击“显示高级设置”。
¡ 指定发送给RADIUS服务器的用户名格式为“不携带域名”。
¡ 单击<确定>按钮,提示设置成功,完成RADIUS方案的添加。
图3 添加RADIUS方案
(2) 在Switch上配置ISP域
选择页面左侧导航栏[安全/认证/ISP域],进入“ISP域”配置页面,进行如下配置:
¡ 点击右上角“”按钮,添加ISP域
¡ 配置域名为“portsec”,并将该ISP域的状态设置为活动。
¡ 指定接入方式为“LAN接入”。
¡ 指定LAN接入AAA方案的认证、授权和计费的方法均为“RADIUS”,方案都选择“portsec”。
¡ 单击<确定>按钮,提示设置成功,完成ISP域的添加。
图4 添加ISP域
(3) 在Switch上配置端口安全
选择页面左侧导航栏[安全/接入/端口安全],进入“端口安全”配置页面,进行如下配置:
¡ 点击“开启端口安全”按钮,开启Switch的端口安全认证功能。
¡ 点击端口GigabitEthernet1/0/1右侧的“高级设置”按钮,进入“端口高级设置”配置页面,指定认证模式为“userLoginWithOUI”。
¡ 在端口GigabitEthernet1/0/1的“高级设置”配置页面上的802.1X标签下,指定802.1X用户使用的端口的强制认证ISP域为“portsec”。
¡ 单击<确定>按钮,提示设置成功,完成端口GE1/0/1的高级设置。
图5 端口高级设置
¡ 点击“端口安全”配置页面右上角的“”按钮,进入端口安全的“高级设置”页面,在认证OUIMAC中添加5个OUI值,分别为:1234-0100-1111、1234-0200-1111、1234-0300-1111、1234-0400-1111和1234-0500-1111。
图6 端口安全高级设置
(4) 保存配置
在RADIUS服务器上添加用户帐户,保证用户的认证/授权/计费功能正常运行。具体配置方法请参考关于RADIUS服务器的配置说明。
(1) 在[安全/认证/RADIUS]页面上,可以看到已添加成功的RADIUS方案portsec的概要信息。
(2) 在[安全/认证/ISP域]页面上,可以看到已添加成功的ISP域的portsec的概要信息。
(3) 802.1X用户上线后,在[安全/接入/端口安全]页面中,可以查看接口GigabitEthernet1/0/1的当前用户数为1。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!