【选配】802.1X认证
一、原理介绍:
认证角色如下:
l 客户端:使用锐捷Su客户端或开源客户端;
l NAS:根据客户端当前的认证状态控制其与网络的连接状态。在客户端与服务器之间,该设备扮演着中介者的角色:从客户端要求用户名,核实从服务器端的认证信息,并且转发给客户端;
l Radius
Server:对应锐捷的SAM认证计费系统,该系统为用户提供认证服务。
认证流程如下:
二、配置命令:
aaa
new-model//启用AAA
aaa
accounting network (list name) start-stop group (group name) // AAA 参考配置,以实际业务部署为准
aaa
authentication dot1x (list name) group (group name)// AAA 的dot1x模板参考配置,以实际业务部署为准
aaa
authentication login default local // AAA 的设备登入采用本地username/password
aaa group
server radius (group name) //配置aaa
server组,多radius场景适用
server (radius
ip)//配置aaa server组,多radius场景适用
radius-server
host (radius ip) key 7
(radius key) //配置aaa server IP和key,单radius场景适用
aaa
accounting update periodic 30 //配置aaa记帐更新周期30分钟
aaa
accounting update //配置aaa记帐更新
aaa authorization ip-auth-mode mixed //配置dot1x上传sam的IP方式为混合模式,会通过多种方式轮询获取IP(su客户端/dhcp/radius等)
no aaa log enable //关闭aaa
log
dot1x valid-ip-acct enable//必配,通过记帐更新报文上传用户IP通告给SAM,如果发现1x认证模块没有终端用户的IP表项,5分钟后就会将用户踢下线。防止SAM出现0.0.0.0地址的用户。注意该命令配置后会导致已有用户掉线,不建议在业务高峰期开启。
dot1x accounting (list name) //选配,当aaa自定义list
name时,需要匹配
dot1x authentication (list name) //选配,当aaa自定义list
name时,需要匹配
interface range GigabitEthernet 0/2-3 //接口启用802.1X认证
dot1x port-control auto//接口使能
snmp-server host x.x.x.x(服务器IP地址) informs
version 2c xx(团体字)
snmp-server community xx(团体字) rw
三、注意事项:
l aaa的方法列表和802.1x的方法类须一致
| 接口下只开启802.1x认证的情况下,必须使用安全通道来放通 dhcp报文否则用户无法获取地址,具体配置请查看安全通道环节配置;
四、配置举例: