一 组网需求:
用S3600系列交换机与windows2000配合做internet认证服务,PC用h3c客户端进行认证。
二 组网图:
三 配置步骤:
1 交换机上的配置
1)设置交换机地址:
[Quidway]interface Vlan-interface 1
[Quidway-Vlan-interface1]ip address 192.168.0.1 255.255.255.0
2)配置radius方案:
[Quidway]radius scheme test
[Quidway-radius-test]primary authentication 192.168.0.15
[Quidway-radius-test]primary accounting 192.168.0.15
[Quidway-radius-test]key authentication test
[Quidway-radius-test]key accounting test
[Quidway-radius-test]user-name-format without-domain
3)配置域方案:
[Quidway]domain h3c.com
[Quidway-isp-h3c.com]radius-scheme test
4)配置为默认域
[Quidway]domain default enable h3c.com
5)端口开启802.1x认证
[Quidway-Ethernet1/0/1]dot1x
6)全局开启802.1x认证
[Quidway]dot1x
2 Server上的配置
1)设置静态地址为192.168.0.15
2)在windows 2000上开Internet 认证服务:“控制面板”-“管理工具”-“Internet认证服务”
3)在Internet 认证服务上设置客户端,共享的机密设置为test,与交换机相同:
4)远程访问策略设置
策略条件必须选择:NAS-Port-Type匹配“Ethernet”项;
身份验证选项中选择CHAP验证与交换机默认设置相同,如果选择EAP类型,则需在交换机中设置dot1x认证方式为EAP认证:
[Quidway]dot1x authentication-method eap
并且EAP认证在Server端存在两种认证方式,MD5-challenge方式与PEAP(受保护EAP)方式,PEAP方式需要下载证书进行认证。
5)在本地“用户和组”下新建用户并设置密码,打开“控制面板”-“管理工具”-“计算机管理”新建用户密码。
3 PC用h3c客户端认证
设置PC地址为192.168.0.20,开启h3c客户端,设置用户名与密码同Server,认证上线。注意使用V2.40-0143客户端时需去掉“上传客户端版本”这一项。
四 配置关键点:
无。
一 组网需求:
配置802.1X用户通过远端RADIUS认证。远端Radius服务器的地址为61.0.0.100,交换机LSWA与认证RADIUS服务器交互报文时的加密密码为“expert”,设置交换机从用户名中去除用户域名后再将之传给RADIUS服务器。
二 组网图:
三 配置步骤:
S7500系列交换机上配置802.1X及Radius认证需要按以下步骤来配置:
1 配置Radius方案
[LSWA]radius scheme test
New Radius scheme
[LSWA-radius-test]primary authentication 61.0.0.100
[LSWA-radius-test]primary accounting 61.0.0.100
[LSWA-radius-test]key authentication expert
[LSWA-radius-test]key accounting expert
[LSWA-radius-test]user-name-format without-domain
2 配置域
[LSWA]domain test
New Domain added.
3 配置域和Radius的关联
[LSWA-isp-test]scheme radius-scheme test
四 配置关键点:
配置好以后,如果客户端认证时,没有加后缀名认证(用户名不带“@XXXX”),则交换机会将此认证报文按照系统默认的域对radius服务器发起认证请求。
系统默认域可以通过命令行修改:domain default enable XXXX
