华三交换机802.1X有线配置
华三交换机
- 全局配置
复制代码
# 配置radius
radius scheme testc
primary authentication 192.168.99.155
primary accounting 192.168.99.155
key authentication simple 123456
key accounting simple 123456
user-name-format without-domain
# 配置domain
domain testc
authentication default radius-scheme testc
authorization default radius-scheme testc
accounting default radius-scheme testc
domain default enable testc
# 全局使能1x
dot1x
dot1x authentication-method eap
- 接口配置
复制代码
# 连接终端接口
interface Ethernet1/0/22
port link-mode bridge
undo dot1x handshake -----关闭握手,根据需求决定是否开启
undo dot1x multicast-trigger -----关闭组播触发报文,根据需求决定是否开启
dot1x mandatory-domain testc
dot1x
- 配置逃生(二选一)
复制代码
# 认证接口配置逃生
## 连接终端接口
interface Ethernet1/0/22
port link-type hybrid ---配置接口类型为hybrid接口
port hybrid vlan 1 123 untagged
mac-vlan enable ---使能MAC VLAN功能
dot1x critical vlan 123 ---配置逃生vlan(接入控制方式为MAC-based的端口上,必须使能MAC VLAN功能,Critical VLAN功能才能生效)
dot1x critical eapol --- 配置发送EAP-Success报文(用户逃生恢复重认证)
dot1x mandatory-domain testc
dot1x
# 说明:
# · 在接入控制方式为Port-based的端口上,保证802.1X的组播触发功能处于开启状态,默认为开启。
# · 在接入控制方式为MAC-based的端口上,保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Critical VLAN修改为携带Tag的方式。
# · 若同时配置Guest VLAN或Auth-Fail VLAN,如果端口已经位于802.1X的Guest VLAN或Auth-Fail VLAN,则当所有认证服务器都不可达时,端口并不会离开当前的VLAN而加入Critical VLAN,具体请查看官方文档。
# 认证域配置备选不认证
## 配置domain
domain testc
authentication default radius-scheme testc none
authorization default radius-scheme testc none
accounting default radius-scheme testc none
- 可选配置——1x认证配置重认证:
端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(由命令dot1x timer reauth-period设置)定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN)。
配置步骤 | 命令 | 说明 |
---|---|---|
进入系统视图 | system-view | - |
(可选)配置周期性重认证定时器 | dot1x timer reauth-period reauth-period-value | 缺省情况下,周期性重认证定时器的值为3600秒 |
进入二层以太网接口视图 | interface interface-type interface-number | - |
开启周期性重认证功能 | dot1x re-authenticate | 缺省情况下,周期性重认证功能处于关闭状态 |
(可选)配置重认证服务器不可达时 端口上的802.1X用户保持在线状态 | dot1x re-authenticate server-unreachable keep-online | 缺省情况下,端口上的802.1X在线用户重认证时,若认证服务器不可达,则会被强制下线 |
- 可选配置,交换机全局使能EAD快速部署功能且配置Free IP之后,未通过认证的802.1X终端用户可以访问该IP地址段中的网络资源。
配置步骤 | 命令 | 说明 |
---|---|---|
进入系统视图 | system-view | - |
全局使能EAD快速部署功能 | dot1x ead-assistant enable | 缺省情况下,未使能EAD快速部署功能 |
配置Free IP | dot1x ead-assistant free-ip ip-address { mask-length | mask-address } | 缺省情况下,未定义Free IP |
版权声明:
作者:SE_Gao
链接:https://www.cnesa.cn/2190.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
打赏
海报
华三交换机802.1X有线配置
华三交换机
全局配置
复制代码
# 配置radius
radius scheme testc
primary authentication 192.168.99.155
primary accounting 192.168.99.155
key authent……
共有 0 条评论