×

H3C S5560S-EI&S5560S-SI系列以太网交换机 使用RADIUS服务器进行MAC地址认证配置举例

hqy hqy 发表于2021-04-24 10:55:54 浏览1947 评论0

抢沙发发表评论

http://www.h3c.com/cn/d_201810/1119253_30005_0.htm#_Toc527715190



mssqlexpress和tekradius安装设置

mssqlexpress,免费版本,一路下一步安装无悬念

tekradius 的setting三步操作

image.png

image.png

image.png


接着建立用户


建组(方便区分),

image.png

建用户(1个交换机认证用户br,接着其他都为mac地址),

image.png

建客户端(交换机和radius互联的密码)

image.png




交换机参考H3C官网的,基本很详细, 由于H3C S5560S没有这一条命令mac-authentication authentication-method chap ,如果搜索不到S5560的配置,参考了H3C其他型号的配置时,可以忽略这一条。

mportant">使用RADIUS服务器进行MAC地址认证配置举例

1. 组网需求

图1-4所示,用户主机Host通过端口GigabitEthernet1/0/1连接到设备上,设备通过RADIUS服务器对用户进行认证、授权和计费。

·              设备的管理者希望在端口GigabitEthernet1/0/1上对用户接入进行MAC地址认证,以控制其对Internet的访问。

·              要求设备每隔180秒就对用户是否下线进行检测;并且当用户认证失败时,需等待180秒后才能对用户再次发起认证。

·              所有用户都属于域2000,认证时采用固定用户名帐号,用户名为aaa,密码为123456。

2. 组网图

图1-4 启动MAC地址认证对接入用户进行RADIUS认证

3. 配置步骤

(1)      配置RADIUS服务器,添加接入用户帐户:用户名为aaa,密码为123456,并保证用户的认证/授权/计费功能正常运行

(2)      配置使用RADIUS服务器进行MAC地址认证

# 配置RADIUS方案。

<Device> system-view

[Device] radius scheme 2000

[Device-radius-2000] primary authentication 10.1.1.1 1812

[Device-radius-2000] primary accounting 10.1.1.2 1813

[Device-radius-2000] key authentication simple bxxxx       //(交换机和radius互联的密码)

[Device-radius-2000] key accounting simple bxxxx      //(交换机和radius互联的密码)

[Device-radius-2000] user-name-format without-domain

[Device-radius-2000] quit

# 配置ISP域的AAA方法。

[Device] domain bbb

[Device-isp-bbb] authentication default radius-scheme 2000

[Device-isp-bbb] authorization default radius-scheme 2000

[Device-isp-bbb] accounting default radius-scheme 2000

[Device-isp-bbb] quit

# 开启端口GigabitEthernet1/0/1的MAC地址认证。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] mac-authentication

[Device-GigabitEthernet1/0/1] quit

# 配置MAC地址认证用户所使用的ISP域。

[Device] mac-authentication domain bbb

# 配置MAC地址认证的定时器。

[Device] mac-authentication timer offline-detect 180

[Device] mac-authentication timer quiet 180

# 配置MAC地址认证使用固定用户名帐号:用户名为aaa,密码为明文123456。

[Device] mac-authentication user-name-format fixed account br password simple br  //认证用户br

# 开启全局MAC地址认证。

[Device] mac-authentication

4. 验证配置

# 显示MAC地址认证配置信息。

<Device> display mac-authentication

Global MAC authentication parameters:

   MAC authentication     : Enabled

   Username format        : Fixed account

           Username       : aaa

           Password       : ******

   Offline detect period  : 180 s

   Quiet period           : 180 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Authentication domain  : bbb

 Online MAC-auth users    : 1

 

 Silent MAC users:

          MAC address       VLAN ID  From port               Port index

 

 GigabitEthernet1/0/1  is link-up

   MAC authentication         : Enabled

   Carry User-IP              : Disabled

   Authentication domain      : Not configured

   Auth-delay timer           : Disabled

   Periodic reauth            : Disabled

   Re-auth server-unreachable : Logoff

   Guest VLAN                 : Not configured

   Guest VLAN auth-period     : 30 s

   Critical VLAN              : Not configured

   Critical voice VLAN        : Disabled

   Host mode                  : Single VLAN

   Offline detection          : Enabled

   Authentication order       : Default

 

   Guest VSI                  : Not configured

   Guest VSI auth-period      : 30 s

   Critical VSI               : Not configured

   Max online users           : 4294967295

   Auto-tag feature           : Disabled

   VLAN tag configuration ignoring : Disabled

   Authentication attempts    : successful 1, failed 0

   Current online users       : 1

          MAC address       Auth state

          00e0-fc12-3456    Authenticated


打赏

本文链接:https://www.kinber.cn/post/1676.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客