华三交换机802.1X有线配置

SE_Gao 2024-10-28 交换机 13 阅读

华三交换机

  1. 全局配置
复制代码
  1. # 配置radius
  2. radius scheme testc
  3. primary authentication 192.168.99.155
  4. primary accounting 192.168.99.155
  5. key authentication simple 123456
  6. key accounting simple 123456
  7. user-name-format without-domain
  9. # 配置domain
  10. domain testc
  11. authentication default radius-scheme testc
  12. authorization default radius-scheme testc
  13. accounting default radius-scheme testc
  14. domain default enable testc
  16. # 全局使能1x
  17. dot1x
  18. dot1x authentication-method eap
  1. 接口配置
复制代码
  1. # 连接终端接口
  2. interface Ethernet1/0/22
  3. port link-mode bridge
  4. undo dot1x handshake -----关闭握手,根据需求决定是否开启
  5. undo dot1x multicast-trigger -----关闭组播触发报文,根据需求决定是否开启
  6. dot1x mandatory-domain testc
  7. dot1x
  1. 配置逃生(二选一)
复制代码
  1. # 认证接口配置逃生
  2. ## 连接终端接口
  3. interface Ethernet1/0/22
  4. port link-type hybrid ---配置接口类型为hybrid接口
  5. port hybrid vlan 1 123 untagged
  6. mac-vlan enable ---使能MAC VLAN功能
  7. dot1x critical vlan 123 ---配置逃生vlan(接入控制方式为MAC-based的端口上,必须使能MAC VLAN功能,Critical VLAN功能才能生效)
  8. dot1x critical eapol --- 配置发送EAP-Success报文(用户逃生恢复重认证)
  9. dot1x mandatory-domain testc
  10. dot1x
  12. # 说明:
  13. # · 在接入控制方式为Port-based的端口上,保证802.1X的组播触发功能处于开启状态,默认为开启。
  14. # · 在接入控制方式为MAC-based的端口上,保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Critical VLAN修改为携带Tag的方式。
  15. # · 若同时配置Guest VLAN或Auth-Fail VLAN,如果端口已经位于802.1X的Guest VLAN或Auth-Fail VLAN,则当所有认证服务器都不可达时,端口并不会离开当前的VLAN而加入Critical VLAN,具体请查看官方文档。
  17. # 认证域配置备选不认证
  18. ## 配置domain
  19. domain testc
  20. authentication default radius-scheme testc none
  21. authorization default radius-scheme testc none
  22. accounting default radius-scheme testc none
  1. 可选配置——1x认证配置重认证:
    端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(由命令dot1x timer reauth-period设置)定期向该端口在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN)。
配置步骤 命令 说明
进入系统视图 system-view -
(可选)配置周期性重认证定时器 dot1x timer reauth-period reauth-period-value 缺省情况下,周期性重认证定时器的值为3600秒
进入二层以太网接口视图 interface interface-type interface-number -
开启周期性重认证功能 dot1x re-authenticate 缺省情况下,周期性重认证功能处于关闭状态
(可选)配置重认证服务器不可达时 端口上的802.1X用户保持在线状态 dot1x re-authenticate server-unreachable keep-online 缺省情况下,端口上的802.1X在线用户重认证时,若认证服务器不可达,则会被强制下线
  1. 可选配置,交换机全局使能EAD快速部署功能且配置Free IP之后,未通过认证的802.1X终端用户可以访问该IP地址段中的网络资源。
配置步骤 命令 说明
进入系统视图 system-view -
全局使能EAD快速部署功能 dot1x ead-assistant enable 缺省情况下,未使能EAD快速部署功能
配置Free IP dot1x ead-assistant free-ip ip-address { mask-length | mask-address } 缺省情况下,未定义Free IP

 

版权声明:
作者:SE_Gao
链接:https://www.cnesa.cn/2190.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
华三交换机802.1X有线配置
华三交换机 全局配置 复制代码 # 配置radius radius scheme testc primary authentication 192.168.99.155 primary accounting 192.168.99.155 key authent……
<<上一篇
下一篇>>