【eportal】eportal+ace+sam联动环境——接入认证交换机配置

发布时间: 2013-09-23 点击量:1256 打印 字体:

一、功能需求
配置接入认证交换机,使之能正常与SAM、ePortal等设备进行通讯,且具备认证功能
二、配置要点
认证交换机参数需要与SAM、ePortal上一致,且密码符合安全要求
三、配置步骤
1、使用认证交换机控制线连接并登陆设备
2、进行关键参数的配置
1)配置通信地址
interface vlan 1                                         \\设置NAS设备IP地址,使之网络通讯正常
ip address 10.10.1.2 255.255.255.0
ip default-gateway 10.10.1.1
2)配置交换机与ePortal的通信
snmp-server host 192.168.123.30 informs version 2c ruijie        \\ WEB认证下线相关配置,设置允许发送WEB相关的snmp报文
snmp-server enable traps web-auth
snmp-server community ruijie rw             \\设置snmp团体访问字符,必须与SAM/ePortal服务器一致
3)配置web认证功能
web-auth portal key          \\配置与ePortal服务器的通信密钥          
http redirect direct-site 10.10.1.1 arp  \\放通网关ARP
http redirect homepage http://192.168.123.30/eportal/index.jsp           \\设置重定向页面的主面
http redirect 192.168.123.30        \\放通ePortal服务器地址
4)配置接口认证功能
interface FastEthernet 0/1
web-auth port-control            \\端口使能web认证
5)配置802.1x认证功能
aaa new-model                            \\开启aaa认证
aaa accounting update                  \\开启记账更新
aaa accounting network default start-stop group radius             \\配置记账功能
aaa authentication dot1x default group radius              \\配置dot1x认证方法
radius-server host 192.168.123.100               \\定义认证服务器IP
radius-server key ruijie                 \\配置Radius key
dot1x accounting default                \\ 开启dot1x记账功能
dot1x authentication default            \\ 开启dot1x认证功能
dot1x client-probe enable               \\ 配置hello功能
6)配置接口认证功能
interface FastEthernet 0/1
dot1x port-control auto               \\端口使能dot1x认证
7)在dot1x认证环境下,客户端如果采用认证前获取地址的方式,需要在交换机上配置安全通道放行DHCP报文
expert access-list extended test    //配置放通DHCP报文的ACL
 10 permit udp any any any any eq bootps
security global access-group test   //应用于安全通道
四、配置验证
1、在认证交换机上使用ping命令可以正常ping通SAM、ePortal服务器等关键设备。
2、确认需要接入认证的端口均已配置认证功能。
 

00 分享 纠错
相关条目