用户接入与认证

配置802.1x本地认证，以识别用户身份的示例

规格

适用于所有版本、所有形态的AR路由器。

组网需求

PC1(10.10.10.2/30)直接连接到RouterA的Eth2/0/1端口，RouterA的VLANIF10接口IP地址10.10.10.1/30（为PC1上的网关IP地址），配置802.1x协议进行访问控制，认证方式采用本地认证。

图1 802.1x本地认证组网图

操作步骤

RouterA的配置

复制代码

#                                                                               
vlan batch 10
#
authentication-profile name p1
 dot1x-access-profile d1    //在认证模板p1上绑定802.1x接入模板d1
#
aaa
 local-user huawei password cipher %^%#G"!M:/faAYTy,Z/ybp^0/"9i,tFOpPe4Lq!c"pn=%^%#  //添加本地用户密码为“YsHsjx_202206” 
 local-user huawei privilege level 0   
 local-user huawei service-type 8021x  //添加本地接入用户                                   
#                                                                                    
interface Ethernet2/0/1                                                  
 port link-type access                                                          
 port default vlan 10                                                           
 authentication-profile p1  //接口下绑定认证模板p1
#
interface Vlanif10
 ip address 10.10.10.1 255.255.255.252
#
dot1x-access-profile name d1
 dot1x authentication-method pap
#

验证配置结果

客户端认证软件输入用户名"huawei"，密码"YsHsjx_202206"可以成功上线，执行display access-user可以查看上线用户的信息。

配置注意事项

缺省情况下，接口下接入用户的认证方式为基于MAC，该接口下的所有用户上线时均需要单独认证。配置认证方式为基于接口时，只要该接口下的第一个用户认证成功后，其他802.1x用户无须认证。

配置802.1x远端认证，由Radius服务器识别用户身份的示例

规格

适用于所有版本、所有形态的AR路由器。

组网需求

用户通过RouterA访问网络。RouterA与RADIUS服务器之间路由可达。为了保证网络的安全性，要求在用户接入网络时进行认证。认证成功后可以正常访问网络。

图2 802.1x远端认证组网图

操作步骤

RouterA的配置

复制代码

#                                                                               
vlan batch 10
#
authentication-profile name p1
 dot1x-access-profile d1    //在认证模板p1上绑定802.1x接入模板d1
#
radius-server template radius1  //配置RADIUS服务器模板
 radius-server shared-key cipher %^%#G"!M:/faAYTy,Z/ybp^0/"9i,tFOpPe4Lq!c"pn=%^%#  //配置路由器和RADIUS服务器之间的共享密钥为YsHsjx_202206
 radius-server authentication 10.11.1.1 1645  //配置RADIUS认证服务器
 radius-server accounting 10.11.1.1 1646  //配置RADIUS计费服务器
#
aaa
 authentication-scheme radius1  //配置认证方案                                      
  authentication-mode radius  //指定认证方式为RADIUS认证
 accounting-scheme radius1  //配置计费方案
  accounting-mode radius  //指定计费模式为RADIUS模式
 domain huawei  //创建用户域
  authentication-scheme radius1  //指定该域用户的RADIUS认证方案
  accounting-scheme radius1  //指定该域用户的RADIUS计费方案
  radius-server  radius1  //指定该域用户的RADIUS服务器模板                                   
#                                                                                    
interface Ethernet2/0/1                                                  
 port link-type access                                                          
 port default vlan 10                                                           
 authentication-profile p1  //接口下绑定认证模板p1
#
interface Vlanif10
 ip address 10.10.10.1 255.255.255.252
#
dot1x-access-profile name d1
#

验证配置结果

RADIUS服务器添加用户user1@huawei ，密码YsHsjx_202206 ，共享密钥与路由器保持一致配置为YsHsjx_202206 。客户端认证成功后，执行display access-user 可以查看Username 字段里有用户名为user1@huawei ，并且相应Status 字段显示为Success。

配置注意事项

RADIUS服务器认证端口缺省为1645或者1812，计费端口缺省为1646或者1813。路由器与RADIUS服务器上认证、计费端口的值需要保持一致。
路由器和RADIUS服务器上共享密钥需要保持一致。
路由器与RADIUS服务器间需要路由可达。

用户接入与认证

配置802.1x本地认证，以识别用户身份的示例

规格

组网需求

操作步骤

配置注意事项

配置802.1x远端认证，由Radius服务器识别用户身份的示例

规格

组网需求

操作步骤

配置注意事项

相关信息