用户接入与认证

配置802.1x本地认证,以识别用户身份的示例

规格

适用于所有版本、所有形态的AR路由器。

组网需求

PC1(10.10.10.2/30)直接连接到RouterA的Eth2/0/1端口,RouterA的VLANIF10接口IP地址10.10.10.1/30(为PC1上的网关IP地址),配置802.1x协议进行访问控制,认证方式采用本地认证。

图1 802.1x本地认证组网图

操作步骤
  1. RouterA的配置

    复制代码
    #                                                                               
    vlan batch 10
    #
    authentication-profile name p1
     dot1x-access-profile d1    //在认证模板p1上绑定802.1x接入模板d1
    #
    aaa
     local-user huawei password cipher %^%#G"!M:/faAYTy,Z/ybp^0/"9i,tFOpPe4Lq!c"pn=%^%#  //添加本地用户密码为“YsHsjx_202206” 
     local-user huawei privilege level 0   
     local-user huawei service-type 8021x  //添加本地接入用户                                   
    #                                                                                    
    interface Ethernet2/0/1                                                  
     port link-type access                                                          
     port default vlan 10                                                           
     authentication-profile p1  //接口下绑定认证模板p1
    #
    interface Vlanif10
     ip address 10.10.10.1 255.255.255.252
    #
    dot1x-access-profile name d1
     dot1x authentication-method pap
    #
  2. 验证配置结果

    客户端认证软件输入用户名"huawei",密码"YsHsjx_202206"可以成功上线,执行display access-user可以查看上线用户的信息。

配置注意事项

缺省情况下,接口下接入用户的认证方式为基于MAC,该接口下的所有用户上线时均需要单独认证。配置认证方式为基于接口时,只要该接口下的第一个用户认证成功后,其他802.1x用户无须认证。

配置802.1x远端认证,由Radius服务器识别用户身份的示例

规格

适用于所有版本、所有形态的AR路由器。

组网需求

用户通过RouterA访问网络。RouterA与RADIUS服务器之间路由可达。为了保证网络的安全性,要求在用户接入网络时进行认证。认证成功后可以正常访问网络。

图2 802.1x远端认证组网图

操作步骤
  1. RouterA的配置

    复制代码
    #                                                                               
    vlan batch 10
    #
    authentication-profile name p1
     dot1x-access-profile d1    //在认证模板p1上绑定802.1x接入模板d1
    #
    radius-server template radius1  //配置RADIUS服务器模板
     radius-server shared-key cipher %^%#G"!M:/faAYTy,Z/ybp^0/"9i,tFOpPe4Lq!c"pn=%^%#  //配置路由器和RADIUS服务器之间的共享密钥为YsHsjx_202206
     radius-server authentication 10.11.1.1 1645  //配置RADIUS认证服务器
     radius-server accounting 10.11.1.1 1646  //配置RADIUS计费服务器
    #
    aaa
     authentication-scheme radius1  //配置认证方案                                      
      authentication-mode radius  //指定认证方式为RADIUS认证
     accounting-scheme radius1  //配置计费方案
      accounting-mode radius  //指定计费模式为RADIUS模式
     domain huawei  //创建用户域
      authentication-scheme radius1  //指定该域用户的RADIUS认证方案
      accounting-scheme radius1  //指定该域用户的RADIUS计费方案
      radius-server  radius1  //指定该域用户的RADIUS服务器模板                                   
    #                                                                                    
    interface Ethernet2/0/1                                                  
     port link-type access                                                          
     port default vlan 10                                                           
     authentication-profile p1  //接口下绑定认证模板p1
    #
    interface Vlanif10
     ip address 10.10.10.1 255.255.255.252
    #
    dot1x-access-profile name d1
    #
  2. 验证配置结果

    RADIUS服务器添加用户user1@huawei ,密码YsHsjx_202206 ,共享密钥与路由器保持一致配置为YsHsjx_202206 。客户端认证成功后,执行display access-user 可以查看Username 字段里有用户名为user1@huawei ,并且相应Status 字段显示为Success

配置注意事项
  • RADIUS服务器认证端口缺省为1645或者1812,计费端口缺省为1646或者1813。路由器与RADIUS服务器上认证、计费端口的值需要保持一致。

  • 路由器和RADIUS服务器上共享密钥需要保持一致。

  • 路由器与RADIUS服务器间需要路由可达。

相关信息
相关推荐
岚天start15 分钟前
Linux内核coredump分析方案
linux·运维·服务器·gdb·coredump·堆栈·内存快照
mzhan01718 分钟前
Linux: network: wireshark:tcp 0.5 秒‘息停’发数据数据图表
网络·测试工具·wireshark
屁股割了还要学36 分钟前
【Linux入门】常用工具:yum、vim
linux·运维·服务器·c语言·c++·学习·考研
云计算练习生37 分钟前
linux shell编程实战 03 数组:批量处理数据
linux·运维·服务器·数组·shell编程
LRX_19892744 分钟前
网络管理员教程(初级)第六版--第4章 Web网站建设
网络·计算机网络
鹓于1 小时前
滥用 CDN 缓存功能(传播恶意内容)
网络
王道长服务器 | 亚马逊云1 小时前
AWS Elemental MediaConvert:视频转码不再难
linux·服务器·网络·云计算·音视频·aws
qq_479875431 小时前
TCP网络编程本质
服务器·网络·tcp/ip
国科安芯2 小时前
ASP3605A电源芯片在高速ADC子卡中的适配性研究
网络·人工智能·单片机·嵌入式硬件·安全
要加油哦~2 小时前
前端八股文 | HTTP - 实时通信方式/前后端通信方式
网络·网络协议·http