H3C交換機802.1x使用者AAA配置例項

h3c交換機怎麼配置?下面跟yjbys小編一起來看看最新H3C交換機802.1x使用者AAA配置例項，一起來看看吧!

本示例拓撲如圖20-6所示。現需要實現使用RADIUS伺服器對通過交換機接入的8021x使用者進行認證、授權和計費。具體要求如下：

l 在接入埠GigabitEthernet1/0/1上對接入使用者進行8021x認證，同時採用基於MAC地址的接入控制方式;

l 交換機與RADIUS伺服器互動報文時使用的共享金鑰為expert，認證/授權、計費的埠號分別為1812和1813，向RADIUS伺服器傳送的使用者名稱攜帶域名;

l 使用者認證時使用的使用者名稱為dot1x@bbb。

l 使用者認證成功後，認證伺服器授權下發VLAN 4，將使用者所在埠加入該VLAN，允許使用者訪問該VLAN中的網路資源。

l 對8021x使用者進行包月方式計費，費用為120元/月，以月為週期對使用者上網服務的使用量按時長進行統計，允許每月最大上網使用量為120個小時。

圖20-6 8021x使用者RADIUS認證、授權和計費配置示例

對比上一節的示例可以看出，本示例的要求明顯高於上節示例，儘管它們都是使用iMC RADIUS伺服器。另外，本示例相對上節的示例還多了兩項要求，那就是基於MAC地址接入控制的IEEE 802.1x認證和RADIUS計費，特別是RADIUS計費功能的配置比較複雜，要配置計費策略。有關H3C乙太網交換機的IEEE 802.1x認證具體配置方法將在本書第21章介紹。

綜合分析本示例的要求，可以得出它的基本配置思路。總體來說包括以下四個方面：在交換機和對應的埠上啟用IEEE 802.1x認證和基於MAC地址的接入控制;配置iMC RADIUS認證/授權、計費伺服器功能;配置RADIUS方案;配置IEEE 802.1x使用者ISP域AAA方案。下面分別予以介紹。

　　1.交換機上8021x認證配置

[Switch] dot1x !---開啟全域性8021x認證

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] dot1x !---開啟埠GigabitEthernet1/0/1的8021x認證

[Switch-GigabitEthernet1/0/1] quit

[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---設定接入控制方式(該命令可以不配置，因為埠的接入控制在預設情況下就是基於MAC地址的)

　　2. 配置iMC RADIUS伺服器

本示例中的'iMC伺服器配置與上節示例中的iMC伺服器配置主要多了計費功能的配置。下面以iMC為例(使用iMC版本為：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206)，說明本示例的RADIUS 伺服器的基本配置。

(1)登入進入iMC管理平臺，選擇“業務”標籤頁，單擊導航欄中的[接入業務/接入裝置配置]菜單項，進入“接入裝置配置”頁面，然後單擊【增加】按鈕，進入“增加接入裝置”頁面，如圖20-7所示。然後進行如下配置：

l 在“共享金鑰”文字框中設定與交換機互動報文時使用的認證、計費共享金鑰為“expert”;

l 在“認證埠”和“計費埠”兩文字框中設定RADIUS認證及計費的埠號分別為“1812”和“1813”;

l 在“業務型別”下拉列表中選擇業務型別為“LAN接入業務”選項;

l 在“接入設定型別”下拉列表中選擇接入裝置型別為“H3C”選項;

l 在“組網方式”下拉列表中選擇“不啟用混合組網”選項;

l 在“裝置列表”欄中單擊【選擇】或【手工增加】按鈕新增IP地址為的接入裝置;

其它引數採用預設值，然後單擊【確定】按鈕完成操作。

圖20-7 iMC增加接入裝置頁面

(2)新增計費策略。選擇“業務”標籤頁，單擊導航欄中的[計費業務/計費策略管理]選單項，進入“計費策略管理”頁面，單擊【增加】按鈕，進入“計費策略配置”頁面，如圖20-8所示。然後進行如下配置：

l 在“策略名稱”文字框中輸入計費策略名稱“UserAcct”;

l 在“計費策略模板”下拉列表中選擇計費策略模板為“包月型別”選項;

l 在“包月基本資訊”欄中設定：計費方式為“按時長”、計費週期為“月”、週期內固定費用為“120元”;

l 在“包月使用量限制”欄中設定：允許每月最大上網使用量為120個小時。

其它引數採用預設值，然後單擊頁面底部的【確定】按鈕完成操作。

圖20-8 iMC增加計費策略頁面

(3)配置LAN接入業務型別和使用者。選擇“業務”標籤頁，單擊導航欄中的[接入業務/服務配置管理]選單項，進入“伺服器配置管理”頁面，單擊【增加】按鈕，進入“增加服務配置”頁面，如圖20-9所示。然後進行如下配置：

圖20-9 iMC增加服務配置頁面

l 在“服務名”文字框中輸入服務名為“Dot1x auth”、在“服務字尾”文字框中輸入“bbb”(ISP域名)。指定服務字尾的情況下，RADIUS方案中必須指定向伺服器傳送的使用者名稱中攜帶域名;

l 在“計費策略”下拉列表中選擇為“UserAcct”，這是上一步配置的計費策略;

l 在“下發VLAN”文字框中配置授權下發的VLAN ID為“4”(這是根據本示例要求而定的);

其他選項根據需要配置，然後單擊頁面底部的【確定】按鈕(圖中未顯示)完成操作。

(4)新增802.1x使用者。選擇“使用者”標籤頁，單擊導航欄中的[接入使用者檢視/所有接入使用者]選單項，進入“接入使用者列表”頁面，單擊【增加】按鈕，進入“增加接入使用者”頁面，如圖20-10所示。 然後進行如下配置：

l 在“使用者姓名”欄中單擊【選擇】或者【增加使用者】按鈕新增使用者姓名為“test”;

l 在“帳號名”和“密碼”兩文字框中依次輸入“dot1x”和密碼;

l 在“接入服務”欄中選擇該使用者所關聯的接入服務為“Dot1x auth”(這是上一步配置的服務名);

其他選項可根據需要配置，然後在頁面底部單擊【確定】按鈕完成操作。

圖20-10 iMC增加接入使用者頁面

通過以上配置，本示例中的iMC伺服器配置就全部完成了。

　　3.配置RADIUS方案

system-view

[Switch] radius scheme rad

[Switch-radius-rad] server-type extended

[Switch-radius-rad] primary authentication

[Switch-radius-rad] primary accounting

[Switch-radius-rad] key authentication expert

[Switch-radius-rad] key accounting expert

[Switch-radius-rad] user-name-format with-domain

[Switch-radius-rad] quit

　　4. 配置802.1x使用者ISP域AAA方案。

[Switch] domain bbb

[Switch-isp-bbb] authentication lan-access radius-scheme rad

[Switch-isp-bbb] authorization lan-access radius-scheme rad

[Switch-isp-bbb] accounting lan-access radius-scheme rad

[Switch-isp-bbb] quit

以上就是本示例的全部配置。