当前位置: 首页 > 各厂家 > 华为 > Agile Controller
cjhcjh Agile Controller   此文章访问量   824

5.1 华为敏捷控制器:准入控制:802.1x认证配置示例(eve模拟器)(Agile Controller中,只有普通帐号才支持chap认证)、华为交换机旧raidus配置方式

5.1 华为敏捷控制器:准入控制:802.1x认证配置示例(eve模拟器)(Agile Controller中,只有普通帐号才支持chap认证)、华为交换机旧raidus配置方式

1)拓扑图

1.png

2)基础配置

sw1:

vlan 2

interface Vlanif2

 ip address 192.168.2.254 255.255.255.0

vlan 3

interface Vlanif3

 ip address 192.168.3.254 255.255.255.0

interface GE1/0/0

 undo portswitch

 undo shutdown

 ip address 10.12.3.3 255.255.0.0

#

interface GE1/0/1

 undo shutdown

 port default vlan 3

#

interface GE1/0/2

 undo shutdown

 port default vlan 2

sw2:

interface GE1/0/2

 undo portswitch

 undo shutdown

 ip address 192.168.2.100 255.255.255.0

#

ip route-static 0.0.0.0 0.0.0.0 192.168.2.254

 

3.1)交换机配置RADIUS认证

# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。

radius server group 1

   radius server shared-key www.zh-cjh.com

   radius server authentication 10.12.160.41 1812

   radius server user-name domain-excluded   

 #默认是开启的

 [sw1]radius enable

 

# 配置AAA认证方案,指定认证方式为RADIUS+Local。

aaa

    authentication-scheme sch1

        authentication-mode radius

 

# 在域下引用AAA认证方案、RADIUS服务器模板。

aaa

   domain  default

       authentication-scheme sch1

       radius server group 1

3.2)在Switch上配置802.1X报文透传功能

由于Switch与用户之前存在透传交换机LAN Switch,为保证用户能够通过802.1x认证,务必保证LAN Switch能够透传EAP报文。

Switch作为二层交换机,为保证用户能够通过802.1X认证,需在Switch上配置802.1X报文透传功能。

l2protocol-tunnel user-defined-protocol dot1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002

 

3.3)启用802.1x认证

[sw1]dot1x enable

 

interface GE1/0/1

 undo shutdown

 l2protocol-tunnel user-defined-protocol dot1x enable

 dot1x enable

 

4.1)添加AD服务器

1.png

2.png

4.2)添加交换机

【Agile Controller-Campus】添加认证控制设备,与认证控制设备实现RADIUS对接。

选择“资源 > 设备 > 设备管理”,添加交换机。

1.png

2.png

4.3)配置认证规则

【Agile Controller-Campus】配置认证授权,终端用户根据条件匹配认证授权规则。

    选择“策略 > 准入控制 > 认证授权 > 认证规则”,修改缺省认证规则或新建认证规则

    将AD服务器加入“数据源”。缺省认证规则只针对本地数据源,如不将AD服务器加入,AD帐号认证失败。

1.png

2.png

3.png

4.png

5.png

6.png

7.png

4.4)配置授权结果

使用默认的。

 

4.5)配置授权规则

选择“策略 > 准入控制 > 认证授权 > 授权规则”,关联授权结果,指定用户认证通过后允许访问的资源。

1.png

2.png

3.png

把优先级调到第1.

1.png

2.png

5.1)测试

1.png

失败的原因:Agile Controller中,只有普通帐号才支持chap认证。

1.png

解决:

[sw1]dot1x authentication-method pap

1.png

再测试:认证成功后就可以ping通了

1.png

查看日志:

1.png


相关实验:

EVE模拟器802.1x实验:用户名密码认证,配置通过802.1x认证控制电脑网络示例(win7)
http://www.zh-cjh.com/wangluoanquan/2862.html



NAC网络准入控制、radius、802.1X(列表、list、全)radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html

Huawei Agile Controller(列表、list、全)华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 5.1 华为敏捷控制器:准入控制:802.1x认证配置示例(eve模拟器)(Agile Controller中,只有普通帐号才支持chap认证)、华为交换机旧raidus配置方式

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!