用户接入与认证

配置802.1x本地认证,以识别用户身份的示例

规格

适用于所有版本、所有形态的AR路由器。

组网需求

PC1(10.10.10.2/30)直接连接到RouterA的Eth2/0/1端口,RouterA的VLANIF10接口IP地址10.10.10.1/30(为PC1上的网关IP地址),配置802.1x协议进行访问控制,认证方式采用本地认证。

图1 802.1x本地认证组网图

操作步骤
  1. RouterA的配置

    复制代码
    #                                                                               
    vlan batch 10
    #
    authentication-profile name p1
     dot1x-access-profile d1    //在认证模板p1上绑定802.1x接入模板d1
    #
    aaa
     local-user huawei password cipher %^%#G"!M:/faAYTy,Z/ybp^0/"9i,tFOpPe4Lq!c"pn=%^%#  //添加本地用户密码为“YsHsjx_202206” 
     local-user huawei privilege level 0   
     local-user huawei service-type 8021x  //添加本地接入用户                                   
    #                                                                                    
    interface Ethernet2/0/1                                                  
     port link-type access                                                          
     port default vlan 10                                                           
     authentication-profile p1  //接口下绑定认证模板p1
    #
    interface Vlanif10
     ip address 10.10.10.1 255.255.255.252
    #
    dot1x-access-profile name d1
     dot1x authentication-method pap
    #
  2. 验证配置结果

    客户端认证软件输入用户名"huawei",密码"YsHsjx_202206"可以成功上线,执行display access-user可以查看上线用户的信息。

配置注意事项

缺省情况下,接口下接入用户的认证方式为基于MAC,该接口下的所有用户上线时均需要单独认证。配置认证方式为基于接口时,只要该接口下的第一个用户认证成功后,其他802.1x用户无须认证。

配置802.1x远端认证,由Radius服务器识别用户身份的示例

规格

适用于所有版本、所有形态的AR路由器。

组网需求

用户通过RouterA访问网络。RouterA与RADIUS服务器之间路由可达。为了保证网络的安全性,要求在用户接入网络时进行认证。认证成功后可以正常访问网络。

图2 802.1x远端认证组网图

操作步骤
  1. RouterA的配置

    复制代码
    #                                                                               
    vlan batch 10
    #
    authentication-profile name p1
     dot1x-access-profile d1    //在认证模板p1上绑定802.1x接入模板d1
    #
    radius-server template radius1  //配置RADIUS服务器模板
     radius-server shared-key cipher %^%#G"!M:/faAYTy,Z/ybp^0/"9i,tFOpPe4Lq!c"pn=%^%#  //配置路由器和RADIUS服务器之间的共享密钥为YsHsjx_202206
     radius-server authentication 10.11.1.1 1645  //配置RADIUS认证服务器
     radius-server accounting 10.11.1.1 1646  //配置RADIUS计费服务器
    #
    aaa
     authentication-scheme radius1  //配置认证方案                                      
      authentication-mode radius  //指定认证方式为RADIUS认证
     accounting-scheme radius1  //配置计费方案
      accounting-mode radius  //指定计费模式为RADIUS模式
     domain huawei  //创建用户域
      authentication-scheme radius1  //指定该域用户的RADIUS认证方案
      accounting-scheme radius1  //指定该域用户的RADIUS计费方案
      radius-server  radius1  //指定该域用户的RADIUS服务器模板                                   
    #                                                                                    
    interface Ethernet2/0/1                                                  
     port link-type access                                                          
     port default vlan 10                                                           
     authentication-profile p1  //接口下绑定认证模板p1
    #
    interface Vlanif10
     ip address 10.10.10.1 255.255.255.252
    #
    dot1x-access-profile name d1
    #
  2. 验证配置结果

    RADIUS服务器添加用户user1@huawei ,密码YsHsjx_202206 ,共享密钥与路由器保持一致配置为YsHsjx_202206 。客户端认证成功后,执行display access-user 可以查看Username 字段里有用户名为user1@huawei ,并且相应Status 字段显示为Success

配置注意事项
  • RADIUS服务器认证端口缺省为1645或者1812,计费端口缺省为1646或者1813。路由器与RADIUS服务器上认证、计费端口的值需要保持一致。

  • 路由器和RADIUS服务器上共享密钥需要保持一致。

  • 路由器与RADIUS服务器间需要路由可达。

相关信息
相关推荐
7哥♡ۣۖᝰꫛꫀꪝۣℋ1 小时前
网络层--数据链路层
网络·tcp/ip·智能路由器
_清浅1 小时前
计算机网络【第四章-网络层】
网络·计算机网络·智能路由器
沐浴露z1 小时前
【深入理解计算机网络08】网络层之IPv4
网络·计算机网络·网络编程·信息与通信·408
敢敢J的憨憨L1 小时前
GPTL(General Purpose Timing Library)使用教程
java·服务器·前端·c++·轻量级计时工具库
Bug退退退1233 小时前
Java 网络流式编程
java·服务器·spring·sse
QotomPC3 小时前
软件定义的理想硬件平台:Qotom Q30900SE/UE系列在AIO服务器与边缘网关中的实践
运维·服务器
望获linux3 小时前
【实时Linux实战系列】实时系统的可观测性:Prometheus 与 Grafana 集成
大数据·linux·服务器·开发语言·网络·操作系统
捷智算云服务3 小时前
H200服务器维修服务体系构建:捷智算的全链条保障方案
运维·服务器
hweiyu003 小时前
Linux 命令:mount
linux·运维·服务器
AI视觉网奇3 小时前
redis 配置学习笔记
linux·服务器