1. 组网需求
用户通过Device的端口Ethernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· 由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。
· 端口Ethernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
· 认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线。
· 所有接入用户都属于同一个ISP域aabbcc.net,该域中最多可容纳30个用户。
· Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。
2. 配置步骤
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。
· 完成802.1X客户端的配置。若使用H3C iNode 802.1X客户端,为保证备选的本地认证可成功进行,请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。
· 完成RADIUS服务器的配置,添加用户帐户,保证用户的认证/授权/计费功能正常运行。
(1) 配置各接口的IP地址(略)
(2) 配置本地用户
# 添加本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)
<Device> system-view
[Device] local-user localuser
[Device-luser-localuser] service-type lan-access
[Device-luser-localuser] password simple localpass
# 启动闲置切断功能,并指定正常连接时用户空闲时间超过20分钟,则切断其连接。
[Device-luser-localuser] authorization-attribute idle-cut 20
[Device-luser-localuser] quit
(3) 配置RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[Device] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] primary authentication 10.1.1.1
[Device-radius-radius1] primary accounting 10.1.1.1
# 配置备份认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] secondary authentication 10.1.1.2
[Device-radius-radius1] secondary accounting 10.1.1.2
# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。
[Device-radius-radius1] key authentication name
[Device-radius-radius1] key accounting money
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
