论坛 › 华为/H3C › 华为S3900交换机有关802.1x配置详解

nidr 发表于 2018-7-25 10:11:08

华为S3900交换机有关802.1x配置详解

dis version　　Huawei Versatile Routing Platform Software.

　　VRP Software, Version 3.10,>　　Copyright (c) 1998-2008 Huawei Technologies Co., Ltd. All rights reserved.
　　Quidway S3928TP-SI uptime is 48 weeks, 5 days, 22 hours, 49 minutes
　　Quidway S3928TP-SI with 1 Processor
　　64M   bytes DRAM
　　8196K   bytes Flash Memory
　　Config Register points to FLASH
　　Hardware Version is REV.B
　　CPLD Version is CPLD 003
　　Bootrom Version is 514
　　 24 FE Hardware Version is REV.B
　　 4 GEHardware Version is REV.B
　　dis cu
　　#
　　sysname 001
　　#
　　domain default enable testb.com      //使能默认域为：testb.com，此域和微软的域是两个概念，不要混淆
　　#
　　dot1x                                 //全局开启802.1x验证,如果不开启此项,802.1x将不会起作用
　　dot1x dhcp-launch                     //使能dhcp触发验证,我的测试中是使用DHCP自动获取IP地址
　　dot1x authentication-method eap       //使用eap验证方法,还有其他的验证方法
　　undo dot1x handshake enable         //关闭802.1x握手功能,关闭的目的是为了防止XP sp3以上的操作系统无法通过验证的问题,早期的VRP版本中可能不包含此功能,请升级
　　到最新VRP版本
　　#
　　radius scheme system
　　radius scheme testa                   //建立一个radius scheme:testa
　　server-type standard
　　primary authentication 192.168.0.100   //指定radius服务器的地址,如果你是使用微软的IAS做为radius服务器,那么请将IAS所在的服务器ip地址写上
　　accounting optional                  //打开计费可选项,记住:如果你不打算使用radius的计费选项,此命令一定需要写上,否则将不成功.
　　key authentication 1234567             //radius客户端(即本3900交换机)和radius服务器(即IAS服务器)之间通讯所使用的密钥:1234567
　　user-name-format without-domain      //用户名中不带域名
　　#
　　domain testb.com                     //建立一个域叫:testb.com
　　scheme radius-scheme testa            //testb.com域使用上面建立的radius scheme:testa
　　vlan-assignment-mode string         //VLAN匹配模式这里使用字符串:string,也可以使用整形:integer
　　domain system
　　#
　　vlan 1
　　#
　　vlan 10
　　description Server-vlan
　　#
　　vlan 13
　　name Guest-vlan
　　#
　　interface Vlan-interface1
　　ip address 192.168.0.1 255.255.255.0
　　#
　　interface Aux1/0/0
　　#
　　interface Ethernet1/0/1
　　dot1x
　　//具体接口上启用802.1x验证功能.
　　......
　　#
　　interface GigabitEthernet1/1/1
　　#
　　interface GigabitEthernet1/1/2
　　#
　　interface GigabitEthernet1/1/3
　　port link-type trunk
　　port trunk permit vlan all
　　description 001
　　#
　　interface GigabitEthernet1/1/4
　　#
　　undo irf-fabric authentication-mode
　　#
　　interface NULL0
　　#
　　voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000
　　#
　　#
　　ip route-static 0.0.0.0 0.0.0.0 172.17.0.2 preference 60
　　#
　　#
　　user-interface aux 0 7
　　user-interface vty 0 4
　　#
　　return

查看完整版本: 华为S3900交换机有关802.1x配置详解