发布时间:2013-09-23
点击量:4536
一、功能需求
配置接入认证交换机,使之能正常与SAM、ePortal等设备进行通讯,且具备认证功能
二、配置要点
认证交换机参数需要与SAM、ePortal上一致,且密码符合安全要求
三、配置步骤
1、使用认证交换机控制线连接并登陆设备
2、进行关键参数的配置
1)配置通信地址
interface vlan 1 \\设置NAS设备IP地址,使之网络通讯正常
ip address 10.10.1.2 255.255.255.0
ip default-gateway 10.10.1.1
2)配置交换机与ePortal的通信
snmp-server host 192.168.123.30 informs version 2c ruijie \\ WEB认证下线相关配置,设置允许发送WEB相关的snmp报文
snmp-server enable traps web-auth
snmp-server community ruijie rw \\设置snmp团体访问字符,必须与SAM/ePortal服务器一致
3)配置web认证功能
web-auth portal key \\配置与ePortal服务器的通信密钥
http redirect direct-site 10.10.1.1 arp \\放通网关ARP
http redirect homepage http://192.168.123.30/eportal/index.jsp \\设置重定向页面的主面
http redirect 192.168.123.30 \\放通ePortal服务器地址
4)配置接口认证功能
interface FastEthernet 0/1
web-auth port-control \\端口使能web认证
5)配置802.1x认证功能
aaa new-model \\开启aaa认证
aaa accounting update \\开启记账更新
aaa accounting network default start-stop group radius \\配置记账功能
aaa authentication dot1x default group radius \\配置dot1x认证方法
radius-server host 192.168.123.100 \\定义认证服务器IP
radius-server key ruijie \\配置Radius key
dot1x accounting default \\ 开启dot1x记账功能
dot1x authentication default \\ 开启dot1x认证功能
dot1x client-probe enable \\ 配置hello功能
6)配置接口认证功能
interface FastEthernet 0/1
dot1x port-control auto \\端口使能dot1x认证
7)在dot1x认证环境下,客户端如果采用认证前获取地址的方式,需要在交换机上配置安全通道放行DHCP报文
expert access-list extended test //配置放通DHCP报文的ACL
10 permit udp any any any any eq bootps
security global access-group test //应用于安全通道
四、配置验证
1、在认证交换机上使用ping命令可以正常ping通SAM、ePortal服务器等关键设备。
2、确认需要接入认证的端口均已配置认证功能。
