华为S3900交换机有关802.1x配置详解

nidr

[001]dis version　　Huawei Versatile Routing Platform Software.

　　VRP Software, Version 3.10,>　　Copyright (c) 1998-2008 Huawei Technologies Co., Ltd. All rights reserved.
　　Quidway S3928TP-SI uptime is 48 weeks, 5 days, 22 hours, 49 minutes
　　Quidway S3928TP-SI with 1 Processor
　　64M     bytes DRAM
　　8196K   bytes Flash Memory
　　Config Register points to FLASH
　　Hardware Version is REV.B
　　CPLD Version is CPLD 003
　　Bootrom Version is 514
　　[Subslot 0] 24 FE Hardware Version is REV.B
　　[Subslot 1] 4 GE  Hardware Version is REV.B
　　[001]dis cu
　　#
　　sysname 001
　　#
　　domain default enable testb.com        //使能默认域为：testb.com，此域和微软的域是两个概念，不要混淆
　　#
　　dot1x                                 //全局开启802.1x验证,如果不开启此项,802.1x将不会起作用
　　dot1x dhcp-launch                     //使能dhcp触发验证,我的测试中是使用DHCP自动获取IP地址
　　dot1x authentication-method eap       //使用eap验证方法,还有其他的验证方法
　　undo dot1x handshake enable           //关闭802.1x握手功能,关闭的目的是为了防止XP sp3以上的操作系统无法通过验证的问题,早期的VRP版本中可能不包含此功能,请升级
　　到最新VRP版本
　　#
　　radius scheme system
　　radius scheme testa                   //建立一个radius scheme:testa
　　server-type standard
　　primary authentication 192.168.0.100   //指定radius服务器的地址,如果你是使用微软的IAS做为radius服务器,那么请将IAS所在的服务器ip地址写上
　　accounting optional                    //打开计费可选项,记住:如果你不打算使用radius的计费选项,此命令一定需要写上,否则将不成功.
　　key authentication 1234567             //radius客户端(即本3900交换机)和radius服务器(即IAS服务器)之间通讯所使用的密钥:1234567
　　user-name-format without-domain        //用户名中不带域名
　　#
　　domain testb.com                       //建立一个域叫:testb.com
　　scheme radius-scheme testa            //testb.com域使用上面建立的radius scheme:testa
　　vlan-assignment-mode string           //VLAN匹配模式这里使用字符串:string,也可以使用整形:integer
　　domain system
　　#
　　vlan 1
　　#
　　vlan 10
　　description Server-vlan
　　#
　　vlan 13
　　name Guest-vlan
　　#
　　interface Vlan-interface1
　　ip address 192.168.0.1 255.255.255.0
　　#
　　interface Aux1/0/0
　　#
　　interface Ethernet1/0/1
　　dot1x
　　//具体接口上启用802.1x验证功能.
　　......
　　#
　　interface GigabitEthernet1/1/1
　　#
　　interface GigabitEthernet1/1/2
　　#
　　interface GigabitEthernet1/1/3
　　port link-type trunk
　　port trunk permit vlan all
　　description 001
　　#
　　interface GigabitEthernet1/1/4
　　#
　　undo irf-fabric authentication-mode
　　#
　　interface NULL0
　　#
　　voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000
　　#
　　#
　　ip route-static 0.0.0.0 0.0.0.0 172.17.0.2 preference 60
　　#
　　#
　　user-interface aux 0 7
　　user-interface vty 0 4
　　#
　　return