8021X认证.docx

20.6.3 802.1x用户的RADIUS认证、授权和计费配置实例 本示例拓扑如图20-6所示。现需要实现使用RADIUS服务器对通过交换机接入的8021x用户进行认证、授权和计费。具体要求如下：?l 在接入端口GigabitEthernet1/0/1上对接入用户进行8021x认证，同时采用基于MAC地址的接入控制方式；?l 交换机与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名； l 用户认证时使用的用户名为dot1x@bbb。 l 用户认证成功后，认证服务器授权下发VLAN 4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。 l 对8021x用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。图20-6 8021x用户RADIUS认证、授权和计费配置示例 对比上一节的示例可以看出，本示例的要求明显高于上节示例，尽管它们都是使用iMC RADIUS服务器。另外，本示例相对上节的示例还多了两项要求，那就是基于MAC地址接入控制的IEEE 802.1x认证和RADIUS计费，特别是RADIUS计费功能的配置比较复杂，要配置计费策略。有关H3C以太网交换机的IEEE 802.1x认证具体配置方法将在本书第21章介绍。?综合分析本示例的要求，可以得出它的基本配置思路。总体来说包括以下四个方面：在交换机和对应的端口上启用IEEE 802.1x认证和基于MAC地址的接入控制；配置iMC RADIUS认证/授权、计费服务器功能；配置RADIUS方案；配置IEEE 802.1x用户ISP域AAA方案。下面分别予以介绍。 1．交换机上8021x认证配置[Switch] dot1x !---开启全局8021x认证[Switch] interface gigabitethernet 1/0/1[Switch-GigabitEthernet1/0/1] dot1x !---开启端口GigabitEthernet1/0/1的8021x认证[Switch-GigabitEthernet1/0/1] quit[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---设置接入控制方式（该命令可以不配置，因为端口的接入控制在默认情况下就是基于MAC地址的） 2. 配置iMC RADIUS服务器 本示例中的iMC服务器配置与上节示例中的iMC服务器配置主要多了计费功能的配置。下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206），说明本示例的RADIUS 服务器的基本配置。?（1）登录进入iMC管理平台，选择“业务”标签页，单击导航栏中的[接入业务/接入设备配置]菜单项，进入“接入设备配置”页面，然后单击【增加】按钮，进入“增加接入设备”页面，如图20-7所示。然后进行如下配置：l 在“共享密钥”文本框中设置与交换机交互报文时使用的认证、计费共享密钥为“expert”；l 在“认证端口”和“计费端口”两文本框中设置RADIUS认证及计费的端口号分别为“1812”和“1813”；l 在“业务类型”下拉列表中选择业务类型为“LAN接入业务”选项；l 在“接入设置类型”下拉列表中选择接入设备类型为“H3C”选项；l 在“组网方式”下拉列表中选择“不启用混合组网”选项；l 在“设备列表”栏中单击【选择】或【手工增加】按钮添加IP地址为10.1.1.2的接入设备；其它参数采用默认值，然后单击【确定】按钮完成操作。图20-7 iMC增加接入设备页面?（2）添加计费策略。选择“业务”标签页，单击导航栏中的[计费业务/计费策略管理]菜单项，进入“计费策略管理”页面，单击【增加】按钮，进入“计费策略配置”页面，如图20-8所示。然后进行如下配置：l 在“策略名称”文本框中输入计费策略名称“UserAcct”；l 在“计费策略模板”下拉列表中选择计费策略模板为“包月类型”选项；l 在“包月基本信息”栏中设置：计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”；l 在“包月使用量限制”栏中设置：允许每月最大上网使用量为120个小时。其它参数采用默认值，然后单击页面底部的【确定】按钮完成操作。图20-8 iMC增加计费策略页面 （3）配置LAN接入业务类型和用户。选择“业务”标签页，单击导航栏中的[接入业务/服务配置管理]菜单项，进入“服务器配置管理”页面，单击【增加】按钮，进入“增加服