H3C交换机802.1x用户的RADIUS AAA方案配置示例

vzhmfwzmcn

以下内容摘自刚刚上市的四本网络设备新书之一《H3C交换机配置与管理完全手册》（第二版），其它三本分别是：《Cisco交换机配置与管理完全手册》（第二版）、《Cisco路由器配置与管理完全手册》（第二版）和《H3C路由器配置与管理完全手册》（第二版）。目前在当当网上同时购买这四本新书，可直减30元，点击查看：http://book.dangdang.com/20130730_aife；


在互动出版网上同时购买这四本新书，可赠送一个8G云U盘（另送15G云空间），点击查看：http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801
  另外，目前这四本新书正在进行有奖试读活动，详情点击：http://blog.iyunv.com/uid-24789255-id-3826290.html

​
18.6.3802.1x用户的RADIUS认证、授权和计费配置示例

在802.1x认证中，采用远程RADIUS服务器是最常用的AAA访问控制方式，而且RADIUS服务器不仅可以实现802.1x用户所需的认证，还可对他们进行授权和计费。本示例拓扑如图18-6所示，所采用的RADIUS服务器是广泛应用，由H3C公司开发的iMC系统。现需要实现使用RADIUS服务器对通过交换机接入的802.1x用户进行认证、授权和计费。具体要求如下：
l在接入端口GigabitEthernet1/0/1上对接入用户进行802.1x认证，同时采用基于MAC地址的接入控制方式。
l交换机与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名。
l用户认证时使用的用户名为dot1x@bbb。
l用户认证成功后，认证服务器授权下发VLAN4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。
l对802.1x用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。
  对比上一节的示例可以看出，本示例的要求明显高于上节示例，尽管它们都是使用iMCRADIUS服务器。另外，本示例相对上节的示例还多了两项要求，那就是基于MAC地址接入控制的IEEE802.1x认证和RADIUS计费，特别是RADIUS计费功能的配置比较复杂，要配置计费策略。有关H3C以太网交换机的IEEE802.1x认证具体配置方法将在本书第19章介绍。
  综合分析本示例的要求，可以得出它的基本配置思路。总体来说包括以下四个方面：在交换机和对应的端口上启用IEEE802.1x认证和基于MAC地址的接入控制；配置iMCRADIUS认证/授权、计费服务器功能；配置RADIUS认证、授权和计费方案；配置IEEE802.1x用户ISP域AAA方案，调用前面配置的RADIUS服务器方案。下面分别予以介绍。


图18-6802.1x用户RADIUS认证、授权和计费配置示例
1．交换机上的802.1x认证配置
[Switch]dot1x!---开启全局802.1x认证
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]dot1x!---开启端口GigabitEthernet1/0/1的802.1x认证
[Switch-GigabitEthernet1/0/1]quit
[Switch]dot1xport-methodmacbasedinterfacegigabitethernet1/0/1!---设置接入控制方式（该命令可以不配置，因为端口的接入控制在默认情况下就是基于MAC地址的）
2．配置iMCRADIUS服务器
下面以iMC为例（使用iMC版本为：iMCPLAT3.20-R2606、iMCUAM3.60-E6206、iMCCAMS3.60-E6206）说明本示例的RADIUS服务器的基本配置。
（1）登录进入iMC管理平台，选择“业务”标签页，单击导航栏中的“接入业务/接入设备配置”菜单项，进入“接入设备配置”页面，然后单击“增加”按钮，进入“增加接入设备”页面，如图18-7所示。然后进行如下配置：
l在“共享密钥”文本框中设置与交换机交互报文时使用的认证、计费共享密钥为“expert”。
l在“认证端口”和“计费端口”两个文本框中设置RADIUS认证及计费的端口号分别为“1812”和“1813”。
l在“业务类型”下拉列表中选择业务类型为“LAN接入业务”选项。
l在“接入设置类型”下拉列表中选择接入设备类型为“H3C”选项。
l在“组网方式”下拉列表中选择“不启用混合组网”选项。
l在“设备列表”栏中单击“选择”或“手工增加”按钮添加IP地址为10.1.1.2的接入设备；
其他参数采用默认值，然后单击“确定”按钮完成操作。
（2）添加计费策略。选择“业务”标签页，单击导航栏中的“计费业务/计费策略管理”菜单项，进入“计费策略管理”页面，单击“增加”按钮，进入“计费策略配置”页面，如图18-8所示。然后进行如下配置：
l在“策略名称”文本框中输入计费策略名称“UserAcct”。
l在“计费策略模板”下拉列表中选择计费策略模板为“包月类型计费”选项。
l在“包月基本信息”栏中设置：计费方式为“按时长”、计费周期类型为“月”、周期内固定费用为“120元”。
l在“包月使用量限制设置”栏中设置：允许每月最大上网使用量为120个小时。

图18-7iMC增加接入设备页面

图18-8iMC增加计费策略页面
其他参数采用默认值，然后单击页面底部的“确定”按钮完成操作。
（3）配置LAN接入业务类型和用户。选择“业务”标签页，单击导航栏中的“接入业务/服务配置管理”菜单项，进入“服务配置管理”页面，单击“增加”按钮，进入“增加服务配置”页面，如图18-9所示。然后进行如下配置：
l在“服务名”文本框中输入服务名为“Dot1xauth”，在“服务后缀”文本框中输入“bbb”（ISP域名）。指定服务后缀的情况下，RADIUS方案中必须指定向服务器发送的用户名中携带域名。
l在“计费策略”下拉列表中选择“UserAcct”，这是上一步配置的计费策略。
l在“下发VLAN”文本框中配置授权下发的VLANID为“4”（这是根据本示例要求而定的）。
其他选项根据需要配置，然后单击页面底部的“确定”按钮（图中未显示）完成操作。
（4）添加802.1x用户。选择“用户”标签页，单击导航栏中的“接入用户视图/所有接入用户”菜单项，进入“接入用户列表”页面，单击“增加”按钮，进入“增加接入用户”页面，如图18-10所示。然后进行如下配置：
l在“用户姓名”栏中单击“选择”或者“增加用户”按钮添加用户姓名为“test”。

图18-9iMC增加服务配置页面
l在“账号名”和“密码”两个文本框中依次输入“dot1x”和密码。
l在“接入服务”栏中选择该用户所关联的接入服务为“Dot1xauth”（这是上一步配置的服务名）。
其他选项可根据需要配置，然后在页面底部单击“确定”按钮完成操作。

图18-10iMC增加接入用户页面
通过以上配置，本示例中的iMC服务器配置就全部完成了。
3．配置RADIUS方案
<Switch>system-view
[Switch]radiusschemerad
[Switch-radius-rad]server-typeextended
[Switch-radius-rad]primaryauthentication10.1.1.1
[Switch-radius-rad]primaryaccounting10.1.1.1
[Switch-radius-rad]keyauthenticationexpert
[Switch-radius-rad]keyaccountingexpert
[Switch-radius-rad]user-name-formatwith-domain
[Switch-radius-rad]quit
4．配置802.1x用户的ISP域AAA方案
[Switch]domainbbb
[Switch-isp-bbb]authenticationlan-accessradius-schemerad
[Switch-isp-bbb]authorizationlan-accessradius-schemerad
[Switch-isp-bbb]accountinglan-accessradius-schemerad
[Switch-isp-bbb]quit
以上就是本示例的全部配置。