20.6.3 802.1x使用者的RADIUS認證、授權和計費配置執行個體
本示例拓撲如圖20-6所示。現需要實作使用RADIUS伺服器對通過交換機接入的8021x使用者進行認證、授權和計費。具體要求如下:
l 在接入端口GigabitEthernet1/0/1上對接入使用者進行8021x認證,同時采用基于MAC位址的接入控制方式;
l 交換機與RADIUS伺服器互動封包時使用的共享密鑰為expert,認證/授權、計費的端口号分别為1812和1813,向RADIUS伺服器發送的使用者名攜帶域名;
l 使用者認證時使用的使用者名為[email protected]。
l 使用者認證成功後,認證伺服器授權下發VLAN 4,将使用者所在端口加入該VLAN,允許使用者通路該VLAN中的網絡資源。
l 對8021x使用者進行包月方式計費,費用為120元/月,以月為周期對使用者上網服務的使用量按時長進行統計,允許每月最大上網使用量為120個小時。
圖20-6 8021x使用者RADIUS認證、授權和計費配置示例
對比上一節的示例可以看出,本示例的要求明顯高于上節示例,盡管它們都是使用iMC RADIUS伺服器。另外,本示例相對上節的示例還多了兩項要求,那就是基于MAC位址接入控制的IEEE 802.1x認證和RADIUS計費,特别是RADIUS計費功能的配置比較複雜,要配置計費政策。有關H3C以太網交換機的IEEE 802.1x認證具體配置方法将在本書第21章介紹。
綜合分析本示例的要求,可以得出它的基本配置思路。總體來說包括以下四個方面:在交換機和對應的端口上啟用IEEE 802.1x認證和基于MAC位址的接入控制;配置iMC RADIUS認證/授權、計費伺服器功能;配置RADIUS方案;配置IEEE 802.1x使用者ISP域AAA方案。下面分别予以介紹。
1.交換機上8021x認證配置
[Switch] dot1x !---開啟全局8021x認證
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x !---開啟端口GigabitEthernet1/0/1的8021x認證
[Switch-GigabitEthernet1/0/1] quit
[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---設定接入控制方式(該指令可以不配置,因為端口的接入控制在預設情況下就是基于MAC位址的)
2. 配置iMC RADIUS伺服器
本示例中的iMC伺服器配置與上節示例中的iMC伺服器配置主要多了計費功能的配置。下面以iMC為例(使用iMC版本為:iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206),說明本示例的RADIUS 伺服器的基本配置。
(1)登入進入iMC管理平台,選擇“業務”标簽頁,單擊導航欄中的[接入業務/接入裝置配置]菜單項,進入“接入裝置配置”頁面,然後單擊【增加】按鈕,進入“增加接入裝置”頁面,如圖20-7所示。然後進行如下配置:
l 在“共享密鑰”文本框中設定與交換機互動封包時使用的認證、計費共享密鑰為“expert”;
l 在“認證端口”和“計費端口”兩文本框中設定RADIUS認證及計費的端口号分别為“1812”和“1813”;
l 在“業務類型”下拉清單中選擇業務類型為“LAN接入業務”選項;
l 在“接入設定類型”下拉清單中選擇接入裝置類型為“H3C”選項;
l 在“組網方式”下拉清單中選擇“不啟用混合組網”選項;
l 在“裝置清單”欄中單擊【選擇】或【手工增加】按鈕添加IP位址為10.1.1.2的接入裝置;
其它參數采用預設值,然後單擊【确定】按鈕完成操作。
圖20-7 iMC增加接入裝置頁面
(2)添加計費政策。選擇“業務”标簽頁,單擊導航欄中的[計費業務/計費政策管理]菜單項,進入“計費政策管理”頁面,單擊【增加】按鈕,進入“計費政策配置”頁面,如圖20-8所示。然後進行如下配置:
l 在“政策名稱”文本框中輸入計費政策名稱“UserAcct”;
l 在“計費政策模闆”下拉清單中選擇計費政策模闆為“包月類型”選項;
l 在“包月基本資訊”欄中設定:計費方式為“按時長”、計費周期為“月”、周期内固定費用為“120元”;
l 在“包月使用量限制”欄中設定:允許每月最大上網使用量為120個小時。
其它參數采用預設值,然後單擊頁面底部的【确定】按鈕完成操作。
圖20-8 iMC增加計費政策頁面
(3)配置LAN接入業務類型和使用者。選擇“業務”标簽頁,單擊導航欄中的[接入業務/服務配置管理]菜單項,進入“伺服器配置管理”頁面,單擊【增加】按鈕,進入“增加服務配置”頁面,如圖20-9所示。然後進行如下配置:
圖20-9 iMC增加服務配置頁面
l 在“服務名”文本框中輸入服務名為“Dot1x auth”、在“服務字尾”文本框中輸入“bbb”(ISP域名)。指定服務字尾的情況下,RADIUS方案中必須指定向伺服器發送的使用者名中攜帶域名;
l 在“計費政策”下拉清單中選擇為“UserAcct”,這是上一步配置的計費政策;
l 在“下發VLAN”文本框中配置授權下發的VLAN ID為“4”(這是根據本示例要求而定的);
其他選項根據需要配置,然後單擊頁面底部的【确定】按鈕(圖中未顯示)完成操作。
(4)添加802.1x使用者。選擇“使用者”标簽頁,單擊導航欄中的[接入使用者視圖/所有接入使用者]菜單項,進入“接入使用者清單”頁面,單擊【增加】按鈕,進入“增加接入使用者”頁面,如圖20-10所示。 然後進行如下配置:
l 在“使用者姓名”欄中單擊【選擇】或者【增加使用者】按鈕添加使用者姓名為“test”;
l 在“帳号名”和“密碼”兩文本框中依次輸入“dot1x”和密碼;
l 在“接入服務”欄中選擇該使用者所關聯的接入服務為“Dot1x auth”(這是上一步配置的服務名);
其他選項可根據需要配置,然後在頁面底部單擊【确定】按鈕完成操作。
圖20-10 iMC增加接入使用者頁面
通過以上配置,本示例中的iMC伺服器配置就全部完成了。
3.配置RADIUS方案
<Switch> system-view
[Switch] radius scheme rad
[Switch-radius-rad] server-type extended
[Switch-radius-rad] primary authentication 10.1.1.1
[Switch-radius-rad] primary accounting 10.1.1.1
[Switch-radius-rad] key authentication expert
[Switch-radius-rad] key accounting expert
[Switch-radius-rad] user-name-format with-domain
[Switch-radius-rad] quit
4. 配置802.1x使用者ISP域AAA方案。
[Switch] domain bbb
[Switch-isp-bbb] authentication lan-access radius-scheme rad
[Switch-isp-bbb] authorization lan-access radius-scheme rad
[Switch-isp-bbb] accounting lan-access radius-scheme rad
[Switch-isp-bbb] quit
以上就是本示例的全部配置。
【說明】以上内容摘自筆者編著的,剛剛上市的《Cisco/H3C交換機進階配置與管理技術手冊》一書,它與全面熱銷《Cisco/H3C交換機配置與管理完全手冊》(第二版)圖書構成目前國内系統、最全面的大型Cisco和H3C交換機配置手冊(共1700多頁)。目前當當網和卓越網最低僅需63折。