华为 Controller-Campus之802.1X有线认证

Controller-Campus配置步骤第二步、配置Controller-Campus第三步、配置交换机1、在汇聚交换机配置与agile controller对接参数并启用802.1X认证2、在接入

.

 Controller-Campus配置步骤

第二步、配置Controller-Campus

第三步、配置交换机

1、在汇聚交换机配置与agile controller对接参数并启用802.1X认证

2、在接入交换机配置允许802.1X认证报文通过

3、在Agile Controller添加汇聚交换机、并配置认证授权

4、PC通过认证访问内网资源

 

802.1X 接入设备配置包括以下步骤

1、配置radius服务器模板

2、配置认证计费方案

3、域内引用radius服务器模板和认证计费方案

4、交换机所有接口，启用802.1X

5、定义用户权限（支持ACL或VLAN）

第一步、配置服务器模板（指定agile controller服务器地址和端口）

radius-server template HW_office 

radius-server authentication 10.10.40.1 1812

radius-server accounting 10.10.40.1 1813

radius-server shared-key cipher admin@123 #设置共享密钥（与agile controller配置一致）

radius-server user-name original #设备向RADIUS服务器发送的用户名为用户原始输入的用户名 

quit

radius-server authorization 10.10.40.1 shared-key cipher Dehuai@123 

aaa 

authentication-scheme HW_office #认证方案

authentication-mode radius #采用radius认证方式

quit

accounting-scheme HW_office #计费方案

accounting-mode radius  #采用radius计费方式

accounting realtime 15 #计费周期与Agile controller配置一致（用于与agile controller发送定期计费报文，保持两端账号状态计费一致）

quit

quit

domain default #在域内引用认证方案，计费方案和radius服务器模板

authentication-scheme HW_office

accounting-scheme HW_office

radius-server HW_office

第二步、在汇聚交换机与接入交换机接口启用802.1X认证

acl 3001 #定义隔离权限，ACL号与controller配置一致

rule 5 permit ip destionation 192.168.2.1 0

rule 10 deny ip

dot1x-access-profile name d1 #802.1X全局配置
quit
authentication-profile name p1 #创建认证模板
dot1x-access-profile d1 #绑定dotlx访问模板
access-domain default force #指定强制认证域
authentication mode multi-authen max-user 100 #指定单用户认证数量
quit
interface GigabitEthernet0/0/12 #调用802.1X
port default vlan 20
authentication-profile p1
[Switch]test-aaa ma 1234Qwer radius-template rd1 #测试用户ma 密码1234Qwer

第三步、接入交换机配置

system

l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002

interface g0/0/1

l2protocol-tunnel user-defined-protocol 802.1x enable

bpdu enable

interface g0/0/2

l2protocol-tunnel user-defined-protocol 802.1x enable

bpdu enable

第四步、配置agile controller 添加汇聚交换机

资源——>增加——>汇聚交换机参数

第五步、验证配置是否正确（在汇聚交换机上）

system

test-aaa 账号 admin@123  HW_office pap

 

第六步、

策略——>认证规则——>默认认证规则适用于认证批量导入

 

第七步、授权访问权限

授权结果——>增加授权结果——>与汇聚交换机定义访问权限的ACL-ID一致/ACL号/AAA用户组

第八步、授权规则

对应具体用户做相应的授权规则

PC设置

.