华为交换机802.1X有线配置

华为交换机

1. 华为交换机配置AAA

1. # 创建Radius服务器模板controller。
2. [SwitchA] radius-server template controller
4. # 配置RADIUS认证密钥、主备用RADIUS服务器和计费服务器的IP地址、端口和主备运算法则。
5. [SwitchA-radius-controller] radius-server authentication 10.7.66.66 1812 weight 80
6. [SwitchA-radius-controller] radius-server accounting 10.7.66.66 1813 weight 80
7. [SwitchA-radius-controller] radius-server authentication 10.7.66.67 1812 weight 40
8. [SwitchA-radius-controller] radius-server accounting 10.7.66.67 1813 weight 40
9. [SwitchA-radius-controller] radius-server algorithm master-backup
10. [SwitchA-radius-controller] radius-server shared-key cipher Example@123
12. # 配置自动探测功能。
13. [SwitchA-radius-controller] radius-server testuser username test1 password cipher abc@123
15. # 配置对状态为Down的RADIUS服务器的自动探测周期和探测报文的超时等待时间。（取值为缺省值）
16. [SwitchA-radius-controller] radius-server detect-server interval 60
17. [SwitchA-radius-controller] radius-server detect-server timeout 3
19. # 配置RADIUS认证请求报文的重传次数和周期。（取值为缺省值）
20. [SwitchA-radius-controller] radius-server retransmit 3 timeout 5
21. [SwitchA-radius-controller] quit
23. # 配置将RADIUS服务器标记为Down的条件。（取值为缺省值）
24. [SwitchA] radius-server dead-interval 5
25. [SwitchA] radius-server dead-count 2
26. [SwitchA] radius-server detect-cycle 2
27. [SwitchA] radius-server max-unresponsive-interval 300
28. # 配置认证方案auth，认证模式为RADIUS认证。
30. [SwitchA] aaa
31. [SwitchA-aaa] authentication-scheme auth
32. [SwitchA-aaa-authen-auth] authentication-mode radius
33. [SwitchA-aaa-authen-auth] quit
35. # 配置计费方案acc，计费模式为RADIUS计费。
36. [SwitchA-aaa] accounting-scheme acc
37. [SwitchA-aaa-accounting-acc] accounting-mode radius
38. [SwitchA-aaa-accounting-acc] quit
40. # 配置example域，在域下应用认证方案auth、计费方案acc、RADIUS服务器模板controller。
41. [SwitchA-aaa] domain example
42. [SwitchA-aaa-domain-example] authentication-scheme auth
43. [SwitchA-aaa-domain-example] accounting-scheme acc
44. [SwitchA-aaa-domain-example] radius-server controller
45. [SwitchA-aaa-domain-example] quit
46. [SwitchA-aaa] quit

2. 华为交换机配置802.1X认证。

1. # 将NAC配置模式切换成统一模式。设备默认为统一模式。传统模式与统一模式相互切换后，设备会自动重启。
2. [SwitchA] authentication unified-mode
4. # 配置802.1X接入模板d1、配置客户端认证超时时间为30秒。
5. [SwitchA] dot1x-access-profile name d1
6. [SwitchA-dot1x-access-profile-d1] dot1x authentication-method eap
7. [SwitchA-dot1x-access-profile-d1] dot1x timer client-timeout 30
8. [SwitchA-dot1x-access-profile-d1] quit
10. # 配置认证模板绑定802.1X接入模板d1、指定认证模板下用户的强制域为example。认证模板下配置强制域之后，使用该认证模板的用户，无论用户名是否携带域名或携带何种域名，均在该域下进行认证。
11. [SwitchA] authentication-profile name p1
12. [SwitchA-authen-profile-p1] dot1x-access-profile d1
13. [SwitchA-authen-profile-p1] access-domain example force
14. [SwitchA-authen-profile-p1] quit
16. # 配置RADIUS服务器故障时的逃生权限和RADIUS服务器恢复后的重认证功能。以用户逃生时授权VLAN为例，其他授权信息的配置可参考（可选）配置认证事件授权信息。
17. [SwitchA] authentication-profile name p1
18. [SwitchA-authen-profile-p1] authentication event authen-server-down action authorize vlan 20
19. [SwitchA-authen-profile-p1] authentication event authen-server-up action re-authen
20. [SwitchA-authen-profile-p1] quit
22. # 去使能预连接功能。
23. [SwitchA] undo authentication pre-authen-access enable
25. # 在接口GE1/0/2到GE1/0/n上绑定认证模板p1，使能802.1X认证。以接口GE1/0/2为例。
26. [SwitchA] interface gigabitethernet 1/0/2
27. [SwitchA-GigabitEthernet1/0/2] authentication-profile p1
28. [SwitchA-GigabitEthernet1/0/2] quit