【RSR】RSR20 10.3(5t86)&10.3(5b6)p3版本如何配置802.1X认证

发布时间：2013-09-11

点击量：5668

功能介绍

与10.3(5b7)版本不同，10.3(5t86)&10.3(5b6)p3版本支持在路由器界面进行完整的802.1X配置，而不再需要登陆到交换卡上进行802.1X配置。

在10.3（5b7）基础上，10.3(5t86)&10.3(5b6)p3版本新增了如下功能&命令：

1、支持在路由器上直接对交换卡的软件版本进行升级（之前版本需要到设备现场对交换卡进行软件版本升级）

（在路由器上对交换卡进行软件版本升级方法参考“日常维护--->软件版本升级--->NMX-24ESW交换卡升级”）

2、支持在路由器上配置交换卡的radius服务器信息（配置命令不变）。

3、支持在路由器上配置交换卡的dot1x相关功能（配置命令不变）。

4、支持在路由器上配置交换卡的接口IP、默认网关IP、radius报文的源IP地址。新增如下命令：

Ruijie(config)#interface loopback 0

Ruijie(config-if)#esw-slot assign 5 ip-addr 10.0.0.2 255.255.255.0 //指定交换卡上loopback接口的IP地址

Ruijie(config)#interface vlan 10

Ruijie(config-if)#esw-slot assign 5 ip-addr 192.168.0.2 255.255.255.0 //指定交换卡上SVI接口的IP地址

Ruijie(config)#esw-slot 5 ip default-gateway 192.168.0.1 //指定交换卡的默认网关IP地址

Ruijie(config)#esw-slot 5 ip radius source-interface vlan 1000 //指定交换卡radius报文的源IP地址

注意：

1、10.3(5t86)&10.3(5b6)p3版本802.1X功能的部署全部在路由器界面完成，禁止登陆到交换卡进行配置，避免路由器与交换卡上的配置不一致引发功能异常。

2、如果交换卡上已存在相关配置，请将交换卡上的配置移到路由器界面进行配置，并删除交换卡上的配置文件：

Ruijie#del config.text

应用场景

企业对网络的安全性要求比较高，用户电脑在接入网络的时候，需要通过用户名、密码的方式验证用户是否合法，只有拥有正确的用户名、密码的用户才能上网，那么可以在路由器上启用802.1X功能。

一、组网需求：

某银行通过RSR20上插入NMX-24ESW交换卡用于网点下的生产、办公终端接入；F5/1~F5/8用于生产终端接入，不启用802.1X认证；F5/9~F5/24用于办公终端接入，需启用802.1X认证；分行中部署赛门铁克服务器用于radius认证及安全策略的下发。

该场景可能存在如下需求，项目实施时根据客户实际需求进行功能选择：

802.1X基本认证（必选）：PC使用使用赛门铁克客户端完成802.1X认证。
radius服务器冗余（推荐）：使用双radius服务器，主服务器故障后能够在4S后完成主备radius服务器的切换；主服务器恢复后能够在5分钟后完成回切。
802.1X主动认证（推荐）：由于802.1X认证端口下可能还再接了HUB，需要启用802.1X主动认证功能，每间隔90S对末认证的用户发起认证请求。
MAC迁移（推荐）：由于802.1X认证端口下可能还再接了HUB，因此需要开启MAC迁移功能。
安全通道（必选）：办公终端包括一些VOIP电话、网络广告屏、考勤机等无法进行802.1X认证的设备，因此需要将这些设备的流量放入安全通道进行免认证，以保证这些设备的正常工作。

二、组网拓扑：

三、配置要点：

注意：

该配置只适用于老RSR20系列路由器10.3（5T86）、10.3（5B6）P3及之后的版本（RSR10-02E、RSR20-04E、RSR20-14E/F除外）

1、完成网点路由器的基本配置，保证网络连通性（必选）

2、配置NMX-24ESW交换卡的网管IP和与RSR20通信的IP网段（必选）

3、配置radius及冗余参数（推荐）

4、配置802.1X认证参数（必选）

5、配置主动认证和MAC迁移功能（推荐）

6、配置安全通道（必选）

7、打开办公终端对应端口的802.1X认证功能（必选）

四、配置步骤

1、完成网点路由器的基本配置，保证网络连通性（必选）

完成网点路由器的基本配置，保证生产终端、办公终端业务正常。

注意：请务必确认在所有三层接口上已经配置了ip ref，否则可能导致业务异常。

2、配置NMX-24ESW交换卡和RSR20间通信的IP网段（必选）

方案1：为交换卡分配的IP为30位网段（如10.0.0.0/30）

交换卡与路由器间使用在内网可路由的网段进行通信，交换卡上的互联IP直接作为radius报文源地址。

Ruijie(config)#interface FastEthernet 5/0 //进入路由器与交换卡互联的接口

Ruijie(config-if)#ip ref //配置ip ref

Ruijie(config)#interface FastEthernet 5/0.1000 //配置路由器上与交换卡通信的接口f5/0.1000

Ruijie(config-if)#encapsulation dot1Q 1000 //使用dot1q 1000封装

Ruijie(config-if)#ip address 10.0.0.1 255.255.255.252 //配置路由器端IP为10.0.0.1/30

Ruijie(config)#vlan 1000 //配置vlan 1000

Ruijie(config)#interface vlan 1000 ////创建vlan 1000 SVI接口

Ruijie(config-if)#ip ref //配置ip ref

Ruijie(config-if)#esw-slot assign 5 ip-addr 10.0.0.2 255.255.255.252 //将interface vlan 1000下发到交换卡，并配置IP地址为10.0.0.2/30

Ruijie(config)#esw-slot 5 ip default-gateway 10.0.0.1 //指定交换卡的默认网关为10.0.0.1

Ruijie(config)#esw-slot 5 ip radius source-interface vlan 1000 //指定交换卡发送radius报文使用vlan 1000地址作为源地址

方案2：为交换卡分配的IP为32位IP地址（如10.0.0.1/32）

交换卡与路由器间使用在内网不可路由的网段进行通信(如192.168.0.0/30)，同时为交换卡配置在内网可路由的loopback地址作为radius报文源地址。

Ruijie(config)#interface FastEthernet 5/0 //进入路由器与交换卡互联的接口

Ruijie(config-if)#ip ref //配置ip ref

Ruijie(config)#interface FastEthernet 5/0.1000 //配置路由器上与交换卡通信的接口f5/0.1000

Ruijie(config-if)#encapsulation dot1Q 1000 //使用dot1q 1000封装

Ruijie(config-if)#ip address 192.168.0.1 255.255.255.252 //配置路由器端IP为192.168.0.1/30

Ruijie(config)#vlan 1000 //配置vlan 1000

Ruijie(config)#interface vlan 1000 //创建vlan 1000 SVI接口

Ruijie(config-if)#ip ref //配置ip ref

Ruijie(config-if)#esw-slot assign 5 ip-addr 192.168.0.2 255.255.255.252 //将interface vlan 1000下发到交换卡，并配置IP地址为192.168.0.2/30

Ruijie(config)#esw-slot 5 ip default-gateway 192.168.0.1 //指定交换卡的默认网关为192.168.0.1

Ruijie(config)#esw-slot 5 ip radius source-interface loopback 0 //指定交换卡发送radius报文使用loopback 0地址作为源地址

Ruijie(config)#interface loopback 0 //创建loopback 0接口

Ruijie(config-if)#esw-slot assign 5 ip-addr 10.0.0.1 255.255.255.255 //将loopback 0下发到交换卡，并配置IP地址为10.0.0.1/32

3、配置radius冗余参数（推荐）

Ruijie(config)#aaa new-model

Ruijie(config)#radius-server host 192.168.51.223 key test //配置主radius服务器及key

Ruijie(config)#radius-server host 192.168.33.57 key test //配置备radius服务器及key

Ruijie(config)#radius-server timeout 2 //向radius重传请求之前的等待时间为2秒

Ruijie(config)#radius-server retransmit 1 //radius报文超时后的重传次数

Ruijie(config)#radius-server deadtime 5 //服务器被判定为dead状态后，5分钟内不向该服务器发送认证请求。5分钟后该服务器重新变为active状态，继续向该服务器发送认证请求。

Ruijie(config)#radius-server dead-criteria time 5 tries 2 //判断radius服务器为dead的标准为：5秒内重传2次后radius服务器都无响应，加快判断radius服务器为dead状态，切换到备radius，使后继的认证用户无需再发往主radius而带来认证延时。

Ruijie(config)#aaa group server radius radius_group //新建"radius_group"radius服务器组

Ruijie(config)#server 192.168.51.223 //在服务器组中添加主服务器

Ruijie(config)#server 192.168.33.57 //在服务器组中添加备服务器

4、配置802.1X认证参数（必选）

（1）配置802.1x认证模板

Ruijie(config)#aaa authentication dot1x default group radius_group //配置dot1x认证模板，如需使用逃生功能，需在radius_group后再配置none参数。

Ruijie(config)#dot1x authentication default //指定dot1x认证模板

（2）配置802.1X重认证和认证超时相关参数

Ruijie(config)#dot1x re-authentication //配置dot1x重认证功能

Ruijie(config)#dot1x reauth-max 10 //配置客户端最多可以重认证失败10次

Ruijie(config)#dot1x timeout server-timeout 10 //dot1x认证超时时间为10S，该时间要大于radius的超时时间，否则radius末超时dot1x就超时了。

Ruijie(config)#dot1x timeout tx-period 10 //dot1x认证报文重传间隔

注意：windows xp/vista/server2008系统802.1X功能存在缺陷，使用赛门铁克客户端进行802.1X认证时，会出现路由器重启后导致PC无法认证成功或逃生功能不生效的问题；可通过以下3种方式解决（详见文后的附录）：

1、路由器重启后，对路由器上连接存在问题客户端的交换口进行shut/no shut操作。

2、在路由器上配置以上第“（2）配置802.1X重认证和认证超时相关参数”的命令。

3、在windows上安装补丁程序，并修改注册表。

因此在工程实施时，建议将“（2）配置802.1X重认证和认证超时相关参数”配置上去，以解决可能出现的问题。

5、配置主动认证和MAC迁移功能（推荐）

注意：该配置为可选，在开启了dot1x功能的交换口下还再连接HUB或交换机时，建议配置主动认诈和MAC迁移。

Ruijie(config)#no dot1x auto-req user-detect //端口下有用户认证上线后依然继续向该端口发送主动认证报文

Ruijie(config)#dot1x auto-req req-interval 90 //设备主动发出认证请求报文的间隔为90S

Ruijie(config)#dot1x auto-req //配置dot1x主动认证功能

Ruijie(config)#dot1x mac-move permit //允许MAC迁移

6、配置安全通道（必选）

Ruijie(config)#security global

Ruijie(config)#security src-mac src-mac-single 001D.7292.D512 //放通某台网络设备

Ruijie(config)#security src-mac src-mac-single 001D.7292.D513 //放通某台网络设备

Ruijie(config)#security src-mac src-mac-single 001D.7292.D514 //放通某台网络设备

Ruijie(config)#security src-mac src-mac-mask b4b0.0000.0000 ffff.0000.0000 //放通MAC地址为b4b0开头的若干VOIP设备

security dest-ip free-ip 10.39.19.1 //放通到某个IP的流量，使客户端在认证成功之前就能够正常访问该IP

注意：客户端使用赛门铁克客户端进行802.1X认证时，建议在路由器上放通赛门铁克策略服务器的IP；因为赛门铁克客户端必须先与策略服务器通信并下载策略后，才能够进行正常的1X认证；这样便于后继新增认证客户端设备的接入。

7、打开办公终端对应端口的802.1X认证功能（必选）

Ruijie(config)#interface range fastEthernet 5/9 - 24

Ruijie(config-if-range)#dot1x port-control auto //打开端口的802.1X认证功能

五、配置验证

1、完成以上配置后，通过show dot1x summary命令可以看到客户端已经认证成功，在认证成功的客户端上测试业务正常：

Ruijie#show dot1x summary

ID MAC Interface VLAN Auth-State Backend-State Port-Status User-Type

-------- -------------- --------- ---- --------------- ------------- ----------- ---------

6 001d.7292.d512 Fa5/15 200 Authenticated Idle Authed static

2、测试接在办公接口下的VOIP电话、网络广告屏、考勤机等通过安全通道放通的设备，可以正常使用。

六、附录

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S7800C系列融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-N18006-X，6槽机箱，核心层，零背板

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列融合万兆交换机

RG-EG3250新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-WS7005-A多业务无线AC

RG-ESS 1000易安全系统

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-WS7208-A多业务无线AC

RG-AP880-I双射频Wi-Fi 6无线AP

RG-WS7880高性能无线AC

RG-EG2100-P V2全能PoE网关

RG-N18000-X系列

RG-N18010-X，10槽机箱，核心层，零背板

RG-EG3000XE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-WS6816高性能无线AC

RG-WS6108高性能无线AC

RG-EG3000GE新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG2000F

RG-S2900G-E V3系列千兆交换机

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

RG-SMP安全管理平台

RG-SMP+安全管理平台

您可能还关注的问题

EDN体验驱动网络解决方案

AI Fabric智算中心网络解决方案

Wi-Fi 7医疗新一代全院零漫游解决方案

极简以太全光解决方案3.X

锐捷网络出口网安融合解决方案

安全云办公3.0解决方案

【RSR】RSR20 10.3(5t86)&10.3(5b6)p3版本如何配置802.1X认证

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S7800C系列融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-N18006-X，6槽机箱，核心层，零背板

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列融合万兆交换机

RG-EG3250新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-WS7005-A多业务无线AC

RG-ESS 1000易安全系统

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-WS7208-A多业务无线AC

RG-AP880-I双射频Wi-Fi 6无线AP

RG-WS7880高性能无线AC

RG-EG2100-P V2全能PoE网关

RG-N18000-X系列

RG-N18010-X，10槽机箱，核心层，零背板

RG-EG3000XE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-WS6816高性能无线AC

RG-WS6108高性能无线AC

RG-EG3000GE新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG2000F

RG-S2900G-E V3系列千兆交换机

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

RG-SMP安全管理平台

RG-SMP+安全管理平台

•智慧场馆包括哪些内容？技术的运用推动着智慧场馆的发展

•智慧场馆包括哪些内容？技术的运用推动着智慧场馆的发展

•【RSR】RSR中NAT地址池如何转换

•【RSR】RSR20 NMX-24ESW交换卡配置如何集中式和分布式管理

•【无线】在本地转发中能否实现基于WLAN的所有用户限速

•【无线】AP胖模式下如何查看无线客户端

•【无线】AP胖模式下如何查看无线客户端

•【无线】AP胖模式下如何查看无线客户端

•【无线】AP胖模式下如何查看无线客户端

•【无线】AP胖模式下如何查看无线客户端

请选择服务项目