8021X典型配置指导.doc

02-802.1X典型配置指导 目 录 1 802.1X典型配置指导...1-1 1.1 802.1X简介..1-1 1.2 802.1X典型配置指导..1-1 1.2.1应用需求..1-1 1.2.2配置思路..1-1 1.2.3适用产品、版本..1-2 1.2.4配置过程和解释..1-3 1.2.5完整配置..1-11 1.2.6配置注意事项..1-12 1.3 802.1X设备单播触发典型配置案例..1-12 1.3.1应用需求..1-12 1.3.2配置思路..1-13 1.3.3适用产品、版本..1-13 1.3.4配置过程和解释..1-13 1.3.5完整配置..1-16 1.3.6配置注意事项..1-16 1.4 802.1X的Guest VLAN、动态VLAN下发典型配置举例..1-16 1.4.1应用需求..1-16 1.4.2配置思路..1-17 1.4.3适用产品、版本..1-18 1.4.4配置过程和解释..1-19 1.4.5完整配置..1-22 1.4.6配置注意事项..1-22 1.5下发ACL和802.1X重认证应用典型配置指导..1-23 1.5.1应用需求..1-23 1.5.2配置思路..1-23 1.5.3适用产品、版本..1-24 1.5.4配置过程和解释..1-24 1.5.5完整配置..1-25 1.5.6配置注意事项..1-26 1.6 802.1X客户端EAD方案典型配置指导..1-26 1.6.1应用需求..1-26 1.6.2配置思路..1-27 1.6.3适用产品、版本..1-27 1.6.4配置过程和解释..1-28 1.6.5 完整配置..1-29 1.6.6配置注意事项..1-29 1802.1X典型配置指导 1.1 802.1X简介 IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。 802.1X协议是一种基于端口的网络接入控制协议（Port Based Network Access Control）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。 1.2 802.1X典型配置指导 1.2.1 应用需求 用户通过Switch的端口GE1/0/1接入网络。要求通过对接入设备的配置实现用户的802.1X认证，以控制其访问Internet。具体需求： l 用户采用iNode客户端进行802.1X认证。 l 认证、授权、计费服务器均采用iMC服务器。 l Switch的端口GE1/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。 l 认证时，先进行RADIUS认证，如果RADIUS服务器没有响应再转而进行本地认证；计费时，采用包月计费方式，每月30小时，20元。 图1-1802.1X接入认证组网示意图 1.2.2 配置思路 (1) 配置Radius服务器（本例以iMC服务器配置为例） l 增加接入设备：建立iMC服务器和接入设备Switch之间的联动关系。 l 增加计费策略：建立iMC CAMS的计费策略。 l 增加服务：用户进行认证、授权、计费的各种策略的集合。 l 增加接入用户：包含帐号名、密码等信息。 (2) 配置接入设备Switch l 创建本地用户，用户名为guest，密码为123456。 l 配置RADIUS方案radius1，指定RADIUS认证/授权/计费服务器IP地址为；Switch与RADIUS服务器交互报文时的共享密钥为expert。 l 设置交换机在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5次，设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。 l 创建ISP域test，并在该域下配置所有802.1X用户登录时采用的认证方案为radius1，并采用local作为备选方案。 l 开启全局和端口GE1/0/1下的802.1X功能，802.1X用户的接入控制方式是基于MAC地址的接入控制方式。 (3)