03-802.1X认证典型配置举例

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

802.1 x 认证配置交换机上的用户到CAMS上来认证和计费，通常需要进行以下一些配置：1、配置VLAN和VLAN虚接口[S3526E]vlan 2[S3526E-vlan2]port ethernet 0/24[S3526E]interface vlan 2[S3526E-Vlan-interface2]ip address 10.110.81.30 255.255.255.0[S3526E]interface vlan 1[S3526E-Vlan-interface1]ip address 10.110.82.1 255.255.255.0[S3526E-Vlan-interface1]ip address 10.110.83.1 255.255.255.0 sub2、配置RADIUS方案[S3526E]radius scheme cams[S3526E-radius-cams]primary authentication 10.110.81.90 1812[S3526E-radius-cams]primary accounting 10.110.81.90 1813[S3526E-radius-cams]server-type huawei[S3526E-radius-cams]key authentication expert[S3526E-radius-cams]key accounting expert[S3526E-radius-cams]user-name-format without-domain[S3526E-radius-cams]data-flow-format data byte packet one-packet3、配置域名和缺省域名[S3526E]domain cams[S3526E-isp-cams]radius-scheme cams[S3526E-isp-cams]access-limit disable[S3526E-isp-cams]state active[S3526E-isp-cams]idle-cut disable[S3526E]domain default enable cams4、启动和设置802.1X认证[S3526E]dot1x[S3526E]interface Ethernet 0/2[S3526E-Ethernet0/2]dot1x[S3526E-Ethernet0/2]dot1x port-method macbased配置MA上的用户到CAMS上来认证和计费，通常需要进行以下一些配置：1、配置认证、计费方案[MA5200E]aaa[MA5200E-aaa]authentication-scheme cams[MA5200E-aaa-authen-cams]authentication-mode radius[MA5200E-aaa]accounting-scheme cams[MA5200E-aaa-accounting-cams]accounting-mode radius[MA5200E-aaa-accounting-cams]accounting realtime 3[MA5200E-aaa-accounting-cams]accounting interim-fail online[MA5200E-aaa-accounting-cams]accounting start-fail offline2、配置RADIUS服务器[MA5200E]radius-server group cams[MA5200E-radius-cams]radius-server authentication 10.110.81.90 1812 [MA5200E-radius-cams]radius-server accounting 10.110.81.90 1813[MA5200E-radius-cams]radius-server key expert[MA5200E-radius-cams]radius-server type portal[MA5200E-radius-cams]undo radius-server user-name domain-included [MA5200E-radius-cams]radius-server traffic-unit byte3、配置域名和缺省域名[MA5200E]aaa[MA5200E-aaa]domain cams[MA5200E-aaa-domain-cams]authentication-scheme cams[MA5200E-aaa-domain-cams]accounting-scheme cams[MA5200E-aaa-domain-cams]radius-server group cams[MA5200E-aaa-domain-cams]eap-sim-parameter[MA5200E-aaa-domain-cams]eap-end chap[MA5200E-aaa-domain-cams]ip-pool first cams[MA5200E]aaa[MA5200E-aaa]domain default[MA5200E-aaa-domain-default]authentication-scheme defaut0[MA5200E-aaa-domain- default]accounting-scheme default0[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90 [MA5200E-aaa-domain- default] web-authentication-server urlhttp://10.110.81.90/portal[MA5200E-aaa-domain- default]ucl-group 1[MA5200E-aaa-domain- default]ip-pool first default4、配置上行端口[MA5200E]interface Ethernet 24[MA5200E-Ethernet24]negotiation auto[MA5200E]interface Ethernet 24.0[MA5200E-Ethernet24.0]ip address 10.110.81.12 255.255.255.0[MA5200E]portvlan ethernet 24 0[MA5200E-ethernet-24-vlan0-0]access-type interface5、配置接入端口[MA5200E]portvlan ethernet 2 0 4095[MA5200E-ethernet-2-vlan0-4094]access-typelayer2-subscriber[MA5200E-ethernet-2-vlan0-4094]authentication-method web[MA5200E-ethernet-2-vlan0-4094]default-domainpre-authentication default[MA5200E-ethernet-2-vlan0-4094]default-domainauthentication cams如果是采用Portal方式认证，还需要进行如下配置：6、配置Portal认证[MA5200E]web-auth-server version v2[MA5200E]web-auth-server 10.110.81.90 key expert[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90[MA5200E-aaa-domain- default] web-authentication-serverurl http://10.110.81.90/portal7、配置ACL[MA5200E]acl number 101[MA5200E-acl-adv-101]rule net-user permit ip destination 1source 10.110.81.90 0 [MA5200E-acl-adv-101]rule user-net permit ipdestination 10.110.81.90 0 source 1 [MA5200E-acl-adv-101]rule user-net deny ip source 1[MA5200E]access-group 101。

交换机802.1x配置1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X 方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。

802.1X认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (1)3.4 配置步骤 (2)3.4.1 AC的配置 (2)3.4.2 RADIUS服务器的配置 (4)3.5 验证配置 (6)3.6 配置文件 (10)4 相关资料 (12)1 简介本文档介绍无线控制器802.1X 认证典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA 、802.1X 、WLAN 特性。

3 配置举例3.1 组网需求如图1所示组网，采用iMC 作为RADIUS 服务器，要求：∙在AC 上启用802.1X 远程认证，实现对Client 的接入控制。

∙802.1X 认证方式采用EAP 中继方式。

∙ 采用加密类型的服务模板，加密套件采用TKIP 。

图1 802.1X 远程认证组网图3.2 配置思路∙由于部分802.1X 客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

∙ 对于无线局域网来说，802.1X 认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X 组播报文的方式来触发。

同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X 组播触发功能。

802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

S7500系列交换机802.1x认证功能的典型配置一、组网需求：1、要求在各端口上对用户接入进行认证，以控制其访问Internet；接入控制模式要求是基于MAC地址的接入控制。

2、所有接入用户都属于一个缺省的域：，该域最多可容纳30个用户；认证时，采用先RADIUS再LOCAL的方式；计费时，如果RADIUS计费失败则切断用户连接使其下线；接入时在用户名后不添加域名，正常连接时如果用户有超过20分钟流量持续小于2000Bytes的情况则切断其连接。

3、系统与认证RADIUS服务器交互报文时的加密密码为“cams”系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，重复发送报文的次数总共为5次，设置系统每15分钟就向RADIUS服务器发送一次实时计费报文，指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。

4、本地802.1x接入用户的用户名为h3cuser，密码为localpass，使用明文输入，闲置切断功能处于打开状态。

二、组网图：图1. 组网图1)PC属于VLAN1，IP地址为10.10.1.10/24；2)两台RADIUS服务器组成的服务器组与交换机相连，其IP地址分别为10.11.1.1和10.11.1.2，前者作为主认证/备份计费服务器，后者作为备份认证/主计费服务器。

三、配置步骤：1) 开启全局802.1x特性。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] dot1x2) 开启指定端口Ethernet 1/0/1的802.1x特性。

[H3C] dot1x interface Ethernet 1/0/13) 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[H3C] dot1x port-method macbased interface Ethernet 1/0/14) 创建RADIUS方案radius1并进入其视图。

Ruckus Unleashed AP 802.1X认证 SSID配置示例1.组网需求某企业购买了几台Ruckus Unleashed AP、路由器和交换机等网络设备，路由器供出口Internet接入功能，交换机提供有线网络接入和AP接入功能，Unleashed AP 提供无线网络接入功能。

为保证无线网络安全，该企业WIFI用户采用802.1X认证方式接入网络。

2.配置思路1.Unleashed AP 初始化配置；2.配置802.1x认证方式SSID；3.配置本地802.1x用户。

3.配置步骤3.1Unleashed AP 初始化配置a)电脑有线网卡配置IP为：192.168.0.X（X为192.168.0.2~254任一地址）b)用非IE内核浏览器登录:https://192.168.0.1,c)Unleashed AP 支持中文，喜欢中文用户可选中文，国内用户可选国家代码为中文。

d)一般多AP场景，AP工作在非网关模式，DHCP由其它设备实现（如出口网关、路由器或者交换机），IP地址建议配置为手动模式，方便管理。

本文按非网关模式配置。

少量AP场景，AP可选网关模式，由Ap来实现出口路由器功能，WAN IP 地址可以根据出场景需要配置，可手动、DHCP或者PPPOE拨号e)配置无线信号名称即 SSID 和密码，密码不能有空格，最少8位最多64位字符。

f)配置Unleashed AP管理帐号和密码，可选密码恢复配置，如果密码恢复配置没选而且忘记密码，也可以直接按AP后面的Reset或者 Reset hard按钮恢复出厂设置。

g)点击“完成”，初始化配置结束，AP会重新启动。

不要断开电源或重启AP,不要刷新浏览器或点击浏览器的"回退"按钮h)配置完成后，其它AP只要接入到同一网段，都会自动接入到Unleashed系统里面，不需要做其它配置，建议在Unleashed系统里将Ap管理IP 配置为手动以方便以后登录管理。

802.1X认证配合Guest VLAN、VLAN下发配置举例1. 组网需求如图1-12所示，一台主机通过802.1X认证接入网络，认证服务器为RADIUS 服务器。

Host接入Device的端口GigabitEthernet1/0/2在VLAN 1内；认证服务器在VLAN 2内；Update Server是用于客户端软件下载和升级的服务器，在VLAN 10内；Device连接Internet网络的端口GigabitEthernet1/0/3在VLAN 5内。

现有如下组网需求：〃若一定的时间内端口上无客户端进行认证，则将该端口GigabitEthernet1/0/2加入Guest VLAN（VLAN 10）中，此时Host和Update Server都在VLAN 10内，Host可以访问Update Server并下载802.1X客户端。

〃用户认证成功上线后，认证服务器下发VLAN 5，此时Host和连接Internet网络的端口GigabitEthernet1/0/3都在VLAN 5内，Host可以访问Internet。

2. 组网图图1-12 Guest VLAN及VLAN下发组网图3. 配置步骤(1) 创建VLAN并将端口加入对应VLAN<Device> system-view[Device] vlan 1[Device-vlan1] port gigabitethernet 1/0/2 [Device-vlan1] quit[Device] vlan 10[Device-vlan10] port gigabitethernet 1/0/1 [Device-vlan10] quit[Device] vlan 2[Device-vlan2] port gigabitethernet 1/0/4 [Device-vlan2] quit[Device] vlan 5[Device-vlan5] port gigabitethernet 1/0/3[Device-vlan5] quit(2) 配置RADIUS方案# 创建RADIUS方案2000并进入其视图。

一、在活动目录中新建用户按照下图所示在活动目录中创建用户。

输入用户名，建立这里以groupX。

为了实验的方便性，密码统一设置为“procurve”，选中“密码永不过期”选项。

创建完成后，用户信息如下：点击完成，完成创建。

为了使后面实验中的基于WEB方式的身份认证，我们还需要修改用户的帐户属性，如下图所示，选中“使用可逆的加密保存密码”。

二、DHCP服务器的配置我们需要在DHCP服务器上建立我们所需要创建的VLAN,下面是一个新的DHCP作用域的创建过程。

您可以参考以下的创建方法创建您所需要的作用域，注意您创建的地址和下面例子的不一样，请按照需要创建，这里只是给出一个创建的例子。

按照安装向导的提示来进行作用域的建立：输入起始的地址，以及子网掩码，这里建议大家在创建的时候，使用不同的组号来代替IP地址中的第二个字节。

在下图所示界面中，填入该作用域的路由器IP地址，也就是该网段的网关，并点击“添加”按钮：如果有用到DNS服务器，请在这里填入服务器的IP地址：10.X.10.10，并点击“添加”按钮，没有的话，则不需要可以直接跳过这一步。

这里保持默认即可。

如果您还需要创建其他的VLAN，请使用类似的方法进行创建。

DHCP服务器配置完成后，一定要对其进行授权，否则无法提供DHCP服务，在授权后请刷新DHCP服务器，然后即可正常给客户端分发IP地址。

三、Radius服务器的配置1、创建Radius客户端下面我们开始创建RADIUS客户端的，在“开始”->“管理工具”中选择“Internet验证服务”。

在创建RADIUS客户前，将IAS注册到域服务器中。

如果IAS已经被注册过，将出现如下对话框按下面的步骤来创建RADIUS客户端，点击“新建RADIUS客户端”，弹出如下对话框，按照下面的步骤来创建MSM 710的RADIUS客户端。

共享的机密统一使用“procurve”，点击确定完成创建，用同样的方法为其他的设备创建RADIUS客户端。

802.1X典型配置举例-CAL-FENGHAI.-(YICAI)-Company One11.11 802.1X典型配置举例1.11.1 802.1X认证配置举例1. 组网需求用户通过Device的端口GigabitEthernet2/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。

端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。

所有接入用户都属于同一个ISP域bbb。

Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图图1-12 802.1X认证组网图3. 配置步骤(1) 配置各接口的IP地址（略）(2) 配置本地用户# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。

（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）<Device> system-view[Device] local-user localuser class network[Device-luser-network-localuser] password simple localpass# 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access[Device-luser-network-localuser] quit(3) 配置RADIUS方案# 创建RADIUS方案radius1并进入其视图。

cisco交换机802.1x配置思科交换机802.1X认证环境配置1.1.1.1 ：配置IP地址configure terminal 进入全局的配置模式配置命令：ip address举例：ip address 192.168.1.253 255.255.255.01.1.1.2 ：配置Radius认证服务器地址configure terminal 进入全局的配置模式配置命令：radius-server host <0.0.0.0> auth-port acct-port key 举例：radius-server host 192.168.1.254 auth-port 1812 acct-port 1813 key test radius-server retransmit 3 和Radius默认重传3次。

1.1.1.3 ：配置Dot1X认证configure terminal 进入全局的配置模式aaa new-model 运行AAA模式。

aaa authentication dot1x default group radius 创建一个802.1X认证的方式列表dot1x system-auth-control 在交换机上全局允许802.1X认证nterface 在指定的端口上启用802.1X认证举例：interface fastethernet0/1说明：1：例子中的是第一个端口，端口的书写必须是:0/<端口号> 2：当端口启用802.1X认证之后应该显示是桔红色，而没有启用的显示的是绿色。

switchport mode accessdot1x port-control auto 以上两个命令是允许在端口上启用802.1X认证。

End 配置结束Show dot1x 查看您的dot1x认证配置copy running-config startup-config 保存您的配置到配置文件中。

NETGEAR WG302 802.1x无线认证配置案例-----作者:广州明创网络科技有限公司焦健目录1.用户需求与方案 (2)2.注意事项： (9)3.产品清单： (10)1. 用户需求与方案基于保密性质,用户要求对于所有的无线用户认证使用802.1x无线认证,结合用户当前的网络环境,我们推荐使用了NETGEAR的WG302作为无线用户的8021.x接入端AP,使用了WINRADIUS作为Radius服务器,使用了安腾公司的802.1x无线客户端。

客户原有核心交换机为h3c 7506r,共8层楼，现要求每层楼布放4个AP，各配线间交换机为H3C 3100交换机,为便于管理，我们将每层楼的AP均统一拉线至5楼的配线间的最下面一台H3C 3100交换机，现我已在核心交换机上增加了相应的无线VLAN，（192.168.101.x），并在交换机做了相应的设置，而各AP在默认的情况下也是不需要配置即可实现无线上网，针对客户提出的外来人员需要验证方能连入外网的要求，我们决定采用802.1x认证来实现，拓扑简易图如下：具体配置如下radius服务器设置：1，设置---数据库---自动配置ODBC2，设置-系统-设置密码，认证和计费端口为默认3，操作--添加帐号只设用户名和密码即可，这里设为user/userwg302设置：五楼配线间的从下往下数第五台H3C 3100交换机24个百兆口连接各楼层的AP，对于每个AP，其默认地址为192.168.0.228，需要首先将配置电脑改为与AP同段并且同接在第五台交换机上（处于同一个VLAN）配置如下：1，在IE中输入192.168.0.228 回车，出现登陆界面，输入默认用户名和密码admin/password.2，进入basic setting,设置IP地址为192.168.101.4(从4开始，以后每个AP的设置这里不同，这是每个AP的设置不同点之一，如第二个AP要设成192.168.101.5,第三个AP要设成192.168.101.6),掩码255.255.255.0,网关192.168.101.1,DNS服务器202.96.128.86 61.144.56.100,区域选为亚洲。

本地802.1X认证典型配置举例(V7)1 组网需求如图1所示,switch通过PoE方式给AP供电，switch做为DHCP server为AP、Client 分配IP地址,需要实现无线客户端Client通过AP连接到AC上。

图1 无线客户端进行802.1X认证组网图。

2 配置关键点2.1 配置AC(1)在AC上配置相关VLAN及对应虚接口地址，并放通对应接口。

(2)配置本地用户，用户名为localuser，密码为localpass。

[AC] local-user localuser class network[AC-luser-network-localuser] password simple localpass[AC-luser-network-localuser] service-type lan-access(3)配置ISP域，为802.1X用户配置AAA认证方法为本地认证、授权和计费。

[AC] domain bbb[AC-isp-bbb] authentication lan-access local[AC-isp-bbb] authorization lan-access local[AC-isp-bbb] accounting lan-access local(4)配置802.1X认证方式为CHAP。

[AC] dot1x authentication-method chap(5)配置无线服务。

[AC] wlan service-template service[AC-wlan-st-service] ssid service[AC-wlan-st-service] vlan 200[AC-wlan-st-service] client-security authentication-mode dot1x [AC-wlan-st-service] dot1x domain bbb[AC-wlan-st-service] service-template enable(6)配置AP。

EOU,802.1x配置范例802.1x 基本配置例1：aaa new-model//启用AAA，使用全局配置命令aaa authentication login default line none//创建缺省的登录认证方法列表，采用line password认证aaa authentication dot1x default group radius//aaa通过802.1x,使用RADIUS认证服务aaa authorization network default group radius//aaa通过radius授权给网络dot1x system-auth-control//全局启用802.1x认证（特权模式下配置）dot1x guest-vlan supplicant//配置允许安装了802.1x客户端的设备切换到guest-vlaninterface FastEthernet0/5 #在当前端口启动802.1xswitchport mode accessdot1x pae authenticatordot1x port-control autodot1x violation-mode protectdot1x timeout tx-period 1dot1x timeout supp-timeout 1spanning-tree portfast或int fa0/5switchport mode accessdot1x port-control auto 设置接口的802.1x状态dot1x guest-vlan 68 #配置端口的guest-vlan，未得到授权的进入VLAN68，radius-server host 192.168.1.222 auth-port 1812 acct-port 1813 key cisco//指定radius服务的IP地址、认证端口和授权端口以及安全字radius-server retry method reorder//如果当前服务器宕机，则标识其优先级最低radius-server retransmit 2//radius服务器重传次数radius-server deadtime 3//3分钟连不上服务器则认为服务器宕机radius-server vsa send authentication//radius发送VSA认证例2：全局：username admin secret password #加帐号enable secret password #加特权密码aaa authentication login default local#启用本地登陆万一radius挂了，也好进行登录交换机操作aaa authentication dot1x default group radiusaaa authorization network default group radiusdot1x system-auth-controldot1x guest-vlan supplicant端口：interface FastEthernet0/8switchport access vlan 99switchport mode accessauthentication event fail action authorize vlan 200#fail-vlan （dot1x max-req 3，客户端验证3次后，如失败加入到fail-vlan）authentication event no-response action authorize vlan 200 #guest-vlan (客户端开启802.1x，加入guest-vlan)authentication event server alive action reinitialize authentication host-mode multi-host#其实这条是鸡肋，在dot1x中是识别端口，hub只是转发流量，其实只是一个端口。

802.1x 目录目录第1章 802.1x功能介绍...........................................................................................................1-11.1 802.1x简介.........................................................................................................................1-11.2 产品特性支持情况..............................................................................................................1-11.2.1 全局配置..................................................................................................................1-11.2.2 端口视图下的配置....................................................................................................1-11.2.3 注意事项..................................................................................................................1-2第2章配置命令介绍..............................................................................................................2-12.1 802.1x相关功能配置命令...................................................................................................2-1第3章典型企业网络接入认证应用.........................................................................................3-13.1 网络应用分析.....................................................................................................................3-13.2 组网图................................................................................................................................3-23.3 配置步骤.............................................................................................................................3-23.3.1 交换机上的配置.......................................................................................................3-23.3.2 RADIUS Server上的配置（以CAMS 1.20标准版为例）........................................3-53.3.3 接入用户PC上的操作............................................................................................3-113.3.4 验证结果................................................................................................................3-163.3.5 故障诊断与排错.....................................................................................................3-16802.1x 摘要802.1x典型配置举例关键词：802.1x，AAA摘要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到的802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤。

1.11 802.1X典型配置举例1.11.1 802.1X认证配置举例1. 组网需求用户通过Device的端口GigabitEthernet2/0/1接入网络，设备对该端口接入的用户进行802.1X认证以控制其访问Internet，具体要求如下：∙由两台RADIUS服务器组成的服务器组与Device相连，其IP地址分别为10.1.1.1/24和10.1.1.2/24，使用前者作为主认证/计费服务器，使用后者作为备份认证/计费服务器。

∙端口GigabitEthernet2/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

∙认证时，首先进行RADIUS认证，如果RADIUS服务器没有响应则进行本地认证。

∙所有接入用户都属于同一个ISP域bbb。

∙ Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。

2. 组网图图1-12 802.1X认证组网图3. 配置步骤(1) 配置各接口的IP地址（略）(2) 配置本地用户# 添加网络接入类本地用户，用户名为localuser，密码为明文输入的localpass。

（此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的localuser仅为示例，请根据实际情况配置）<Device> system-view[Device] local-user localuser class network[Device-luser-network-localuser] password simple localpass# 配置本地用户的服务类型为lan-access。

[Device-luser-network-localuser] service-type lan-access[Device-luser-network-localuser] quit(3) 配置RADIUS方案# 创建RADIUS方案radius1并进入其视图。

802.1x客户端实现版本限制及自动升级配置案例802.1X客户端实现版本限制及自动升级配置案例1 概述1.1 功能描述1．版本限制：该参数用于限制最终用户使用802.1X认证客户端的最低版本号，如果在用户服务配置中选择了“屏蔽非华为客户端”，则在用户认证时检测用户使用的客户端版本，对于客户端版本号低于该参数值的所有用户CAMS将拒绝其登录请求。

2．自动升级：为了支持用户认证客户端的可控性，CAMS产品支持802.1X认证客户端的自动升级功能。

当最终用户使用802.1X认证客户端进行上网认证时，如果CAMS服务器发现用户主机上的认证客户端需要升级，则将通知客户端进行自动升级。

此时客户端将自动从CAMS服务器上下载需要升级的程序，并执行升级操作。

升级完成后，用户需要重新执行上网认证操作。

1.2 使用限制1．必须使用支持802.1X协议信息透传功能的以太网交换机（目前仅我司以太网交换机支持此项功能）2． H3C 802.1X客户端的版本：V2.20-0210及以上版本3． CAMS的版本为：V1.20-0340及以上版本4．交换机的版本：由交换机设备自行说明，平台的版本为：R003B21D0022 典型组网及配置2.1 组网图3 组网环境：3.1 版本检查配置过程及步骤检查项检查项说明CAMS设定屏蔽非华为客户端在服务配置中设置此项，非华为客户端无法通过认证。

CAMS设定最低H3C 802.1X 客户端版本 CAMS 管理员设定最低的H3C 802.1X客户端版本，低于此版本的客户端无法通过用户验证交换机设置端口认证用户版本检查交换机上的客户端版本检查按端口进行操作3.1.1 步骤一：屏蔽非华为客户端在CAMS的服务管理 >> 服务配置 >> 修改服务中设置，红线圈定的部分。

3.1.2 步骤二：设定最低版本在CAMS的服务管理 >> 系统配置 >> 业务参数配置，红线圈定的部分。