Radius认证
拓扑
核心下接几个接入交换机,要对有线网络进行连接认证,在接入交换机上面配置radius认证,前提:设备之间可以ping通,路由可达。
以下是接入交换机2(jieru-2)上面演示。也可以配置在核心,接入交换机配置透传就行,下面是命令行
l2protocol-tunnel user-defined-protocol 802.1X protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
LSW1
jieru-2交换机管理地址192.168.0.13
我使用的真机是华为5735s系列,我这采用统一模式配置,当然也可切换传统模式(设备会重启),命令有所不同(华为模拟器ensp的5700交换机是传统模式)
统一模式部署
[jieru-2]radius-server template acme
Info: Create a new server template.
[jieru-2-radius-acme]radius-server authentication 192.168.0.80 1812
[jieru-2-radius-acme]radius-server accounting 192.168.0.80 1813 ---计费可以不搞
[jieru-2-radius-acme]radius-server shared-key cipher 123456
[jieru-2-radius-acme]radius-server retransmit 2
[jieru-2-radius-acme]undo radius-server user-name domain-included ---不用输域名
[jieru-2-radius-acme]qu
---配置自动探测功能
[jieru-2-radius-acme] radius-server testuser username admin password cipher 123456
[jieru-2-radius-acme] quit
[jieru-2]aaa
[jieru-2-aaa]authentication-scheme auth
Info: Create a new authentication scheme.
[jieru-2-aaa-authen-auth]authentication-mode radius local ---没下面这句,你就把local放前面,别直接交换机都进不去了
[jieru-2-aaa-authen-auth]radius-reject local ---radius认证拒绝,可以用本地账户登录。没这句如果你radius服务器拒绝访问了,你的交换机密码都进不去了,模拟器不支持这个。
[jieru-2-aaa-authen-auth]qu
---计费可以不搞
[jieru-2-aaa]accounting-scheme acc
Info: Create a new accounting scheme.
[jieru-2-aaa-accounting-acc]accounting-mode radius
[jieru-2-aaa-accounting-acc]accounting start-fail online
[jieru-2-aaa-accounting-acc]qu
[jieru-2-aaa]domain test.cn
Info: Success to create a new domain.
[jieru-2-aaa-domain-test]authentication-scheme auth
[jieru-2-aaa-domain-test]accounting-scheme acc ---计费可以不搞
[jieru-2-aaa-domain-test]radius-server acme
[jieru-2-aaa-domain-test]qu
[jieru-2-aaa]qu
[jieru-2]domain test.cn
[jieru-2]domain test.cn admin
[jieru-2]undo authentication pre-authen-access enable ---去使能预连接
---接入模板配置
[jieru-2] dot1x-access-profile name d1
[jieru-2-dot1x-access-profile-d1] authentication trigger-condition dhcp
[jieru-2-dot1x-access-profile-d1] dot1x authentication-method eap
[jieru-2-dot1x-access-profile-d1] quit
---认证模板配置
[jieru-2] authentication-profile name p1
[jieru-2-authen-profile-p1] dot1x-access-profile d1
[jieru-2-authen-profile-p1] access-domain test.cn force
[jieru-2-authen-profile-p1] quit
---终端接口配置
[jieru-2] interface gigabitethernet 0/0/14
[jieru-2-GigabitEthernet0/0/14] port link-type access
[jieru-2-GigabitEthernet0/0/14] port default vlan 30
[jieru-2-GigabitEthernet0/0/14] authentication-profile p1
---设置生成树边缘端口,联网更快,这个和radius没啥关系
[jieru-2-GigabitEthernet0/0/14] stp edge-port enable
[jieru-2-GigabitEthernet0/0/14] stp bpdu-filter enable
[jieru-2-GigabitEthernet0/0/14] stp disable
AD域控服务器+Radius服务器
虚拟机windows server 2022搭建域控服务器,搭建Radius服务器,搭建过程百度很多
下面这儿全删了加一个所有时间接入就可以了,其余的全部默认
这部分添加doman_user和domain_computer就好
全勾也行,无所谓
不勾
其余默认
测试:
<jieru-2>test-aaa 域账户 密码 radius-template acme pap
Info: Account test succeed.
验证
在一台加域电脑插上网线,显示连接,可以上网;在一台普通电脑上查上网线,显示连接,不能上网,在服务里面打开
win+R
然后重新插网线,会跳出来一个框,输入域账户密码就可以上网。也可以改注册表:
计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dot3svc
在此路径下的Start里面选择十六进制,数值2,这条策略可以域控给全员下发
