华为交换机802.1X准入配置指南

本文档详细介绍了在华为交换机上配置802.1X准入控制的步骤，包括全局配置、RADIUS服务器设置、AAA方案创建以及接口配置等关键环节。 802.1X是一种基于端口的网络访问控制协议，它允许网络设备在用户试图接入网络时进行身份验证。在华为交换机上启用802.1X，首先需要进行全局配置： 1. `dot1x enable`：此命令用于全局开启802.1X功能，使得交换机具备进行端口级认证的能力。 2. `dot1x authentication-method eap`：指定认证协议为EAP（可扩展认证协议），EAP支持多种认证方法，如PEAP、TLS等，提供安全性较高的身份验证。 3. `dot1x retry 5`：设置认证的最大重试次数为5次，如果在规定次数内未通过认证，交换机会断开连接。 4. `dot1x timer tx-period 10`：定义发送EAPOL-Request/Identity报文的时间间隔，这里是每10秒发送一次，用于触发客户端的身份验证。 接下来，配置RADIUS服务器以处理认证和计费请求： 1. `radius-server template uniradius`：创建RADIUS服务器模板，名为"uniradius"，以便后续配置。 2. `radius-server shared-key cipher XXXX`：设置与RADIUS服务器通信的安全密钥，此处为XXXX，需与RADIUS服务器一致。 3. `radius-server authentication x.x.x.1 1812 weight 80` 和 `radius-server authentication x.x.x.2 1812 weight 60`：配置主备RADIUS服务器地址、端口（1812通常用于认证），并分配权重，主服务器权重高，备服务器权重低。 4. `radius-server accounting x.x.x.1 1813 weight 80` 和 `radius-server accounting x.x.x.2 1813 weight 60`：配置主备RADIUS服务器的计费服务，端口1813通常用于计费。 5. `undo radius-server user-name domain-included`：取消用户名中包含域的要求，允许用户仅提供用户名而不包括域。 然后，创建并配置AAA（认证、授权、计费）方案： 1. `aaa`：进入AAA配置模式。 2. `authentication-scheme uniauth`：创建认证方案"uniauth"，并指定使用RADIUS认证。 3. `authentication-mode radius none`：设置认证方式，当RADIUS服务器故障时，允许用户无认证接入（逃生模式）。 4. `accounting-scheme uniacc`：创建计费方案"uniacc"，同样使用RADIUS计费。 5. `accounting start-fail online`：配置计费失败时用户仍能保持在线。 最后，将这些配置应用到具体的接口上： 1. `interface GigabitEthernet0/0/1`：选择要配置的接口，例如千兆以太网0/0/1。 2. `port link-type access`：设置接口类型为接入模式，适用于连接终端设备。 通过以上步骤，华为交换机就能实现基于802.1X的准入控制，确保只有经过认证的用户和设备才能接入网络。