文档密级:内部公开
radius-server huawei
3. 配置Cisco交换机
1.3.1 建立配置任务
1. 应用环境
Secospace系统主要应用于企业内网, 控制用户的访问权限。 通过802.1X认证控制仅有合法身份的用户才能够接入企业内网;并通过与SACG设备联动,拒绝不安全终端接入企业安全区域,且可以通过策略控制不同级别用户访问不同的授权区域。 2. 前置任务
在配置Secospace系统802.1X认证网络设备之前,需完成以下任务:
?
安装SQL数据库,eD,并在Win2003Server上安装Secospace Server, 并进行正确的用户、策略配置。
?
安装Secospace Agent端,并正确设置服务器的IP地址。 3. 数据准备
在配置交换机和Secospace联动的基本功能之前,需准备以下数据:
序号 1 2 3
数据 Secospace SC服务器的IP地址,端口,认证关键字 在Secospace服务器注册合法用户账号。
在Secospace SC服务器上配置Radius客户端信息
4. 配置过程
序号 1 2 3 4
过程 在接口上启用802.1X认证 配置Radius服务器 在全局启用802.1X认证 配置交互地址
华为机密,未经许可不得扩散 第7页,共57页Page 7 , Total57
文档密级:内部公开
1.3.2 在接口启动802.1X认证
步骤 1 2 3 4
操作 进入交换机配置视图 进入接口视图 设置接口模式
在接口上启用802.1X认证
命令 Config terminal
interface FastEthernet0/1 switchport mode access dot1x port-control auto
1.3.3 配置Radius服务器
步骤 1 2 3
操作 进入aaa视图
创建RADIUS服务器组
配置RADIUS服务器的IP地址、端口号、以及共享密钥
命令 aaa new-model
aaa authentication dot1x default group radius radius-server host {Server ip} key {shared key}
1.3.4 在全局启用802.1X特性
步骤 1 2
操作 进入交换机配置视图 在全局启用802.1X特性
命令 Config terminal
dot1x system-auth-control
特别注意:
1、 当出现代理1x认证时,802.1x认证通过,提示“连接服务器中断”情况下,尝试将思科交换机上的快速生成树关闭;
2、 同时需检查spanning-tree portfast是否已经配置。
华为机密,未经许可不得扩散 第8页,共57页Page 8 , Total57
文档密级:内部公开
4. 配置举例
1.4.1 配置Secospace系统与Huawei交换机联动功能示例
1. 组网需求
图1-1 Secospace与Huawei交换机联动组网示例
环境参数说明 :
Secospace系统版本:V100R001C30B02G/B03D以上版本 Secospace SC服务器地址:172.18.10.251 交换机与服务器通信地址:172.18.100.201 交换机与服务器的共享密钥:test
终端接入交换机Vlan100,并在认证通过后通过DHCP服务器动态获取IP地址,IP 地址段为:172.18.100.1-172.18.100.250
华为机密,未经许可不得扩散 第9页,共57页Page 9 , Total57
文档密级:内部公开
2. 业务需求
用户端在进行身份认证前,交换机接入端口关闭,终端用户无法访问任何网络资源。
用户身份认证通过后,交换机端口开启,终端用户通过DHCP服务器动态获取IP地址,可以访问交换机上行网络。 3. 服务器端业务配置
(1) 管理员登录Secospace SM Server,进入终端管理界面,创建终端用户
名test,所属的组huawei,密码huawei123。
(2) 管理员登录Secospace SM Server,进入[终端管理/接入设备管理]页面,
选择[Radius认证]项,增加Radius认证客户端。如下图:
图1-2 配置Radius认证
参数说明:
参数 认证方式 说明 目前Secospace客户端仅支持EAP-MD5认证方式,选择PAP方式需要采用第三方客户端进行认证。 Radius客户端IP Secospace系统管理的,启用802.1X认证的交换机IP 与交换机的共享密钥。此处配置为:test。 共享密钥
(3) 增加计费Radius认证客户端,如图:
华为机密,未经许可不得扩散 第10页,共57页Page 10 , Total57
相关推荐:
loading