交换机802.1x配置步骤手册全套

交换机802.1x配置步骤手册目录一．H3C设备配置模板二．迈普交换机802.1X模板三．锐捷交换机802.1X模板四．思科交换机802.1X配置模板五．华为交换机802.1X配置模板不同类型交换机配置步骤不同，以下提供交换机配置步骤，以供参考。一．H3C设备配置模板（1）CMWV3平台（S5600/S3900/S5100EI/S5100SI/S3600EI/S3600SI/S3100-52P/S3100SI/S3100EI/S7500）模板参考如下：dot1x//开启全局802.1Xdot1xauthentication-methodeapdot1xdhcp-launchundodot1xhandshakeenable//关闭握手功能（握手功能仅支持配合H3C客户端，因此需要关闭）dot1xre-authenticatedot1xtimerreauth-period7200//在全局配置重认证，该配置是否生效取决于端口下是否开启重认证dot1xquiet-period//打开设备的静默定时器功能。该功能使得认证失败一定次数后（max-retry-value设置），该端口在静默时间内不接收802.1x认证请求报文dot1xtimerquiet-period10//静默时间dot1xretrymax-retry-value4interfaceGx/0/x//端口开启802.1Xdot1xdot1xport-methodportbased//默认是基于mac的认证dot1xre-authenticate//需要在端口下打开重认证开关，使得全局的重认证配置生效dot1xunicast-trigger//启用单播触发更新，该命令S3100SI系列交换机不支持//AAA认证配置radiusschemeacs//配置登录用RadiusScheme，连接ciscoacsprimaryauthentication

ip_address

1645key

keyprimaryaccounting

ip_address

1646key

key

//如果没有计费可以不用配置secondaryauthentication

ip_address

1645key

keysecondaryaccounting

ip_address

1646key

key

//如果没有计费可以不用配置user-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指发送AAA认证的源地址radiusschemeenforcer//配置802.1x认证RadiusScheme，连接LANEnforcer服务器，此处不配置计费primaryauthentication

ip_address

key

keysecondaryauthentication

ip_address

key

keyuser-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指发送AAA认证的源地址timerresponse-timeout5retry1//根据timeout*retry计算公式，当5秒连接不到主用LANENFORCER，会切换到备用LANEnforcer做认证domainacs//配置AAA认证域authenticationloginradius-schemeacslocalauthorizationloginradius-schemeacslocalauthenticationlan-accessradius-schemeenforcerauthorizationlan-accessradius-schemeenforcerdomaindefaultenableacs//设置默认认证域（2）CMWV5平台（S5500EI/S7500E/LS-5120-48P-EI-H3/LS-5120-52C-PWR-EI/MSR3011/MSR3011E/MSR3011F/MSR3010/MSR3016/MSR2010/MSR2011）模板参考如下：dot1x//开启全局802.1Xdot1xre-authenticatedot1xtimerreauth-period7200//请根据要求设置重认证时长dot1xauthentication-methodeap//配合赛门铁克的认证服务器使用dot1xquiet-period//打开设备的静默定时器功能。该功能使得认证失败一定次数后（max-retry-value设置），该端口在静默时间内不接收802.1x认证请求报文dot1xtimerquiet-period10//静默时间dot1xretrymax-retry-value4interface

Gx/0/x

//端口开启802.1Xdot1xdot1xport-methodportbased//默认是基于mac的认证dot1xre-authenticate//请根据要求启用端口上的重认证开关undodot1xmulticast-trigger//关闭组播触发dot1xunicast-trigger//开启未知单播触发，MSR3011不支持该命令，无需配置undodot1xhandshakeenable//握手功能仅支持配合H3C客户端，因此需要关闭//AAA认证配置radiusschemeacs//配置登录用RadiusScheme，连接ciscoacsprimaryauthentication

ip_address

1645key

keyprimaryaccounting

ip_address

1646key

key

//如果没有计费可以不用配置secondaryauthentication

ip_address

1645key

keysecondaryaccounting

ip_address

1646key

key

//如果没有计费可以不用配置user-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指发送AAA认证的源地址radiusschemeenforcer//配置802.1x认证RadiusScheme，连接LANEnforcer服务器，此处不配置计费primaryauthentication

ip_address

key

keysecondaryauthentication

ip_address

key

keyuser-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指发送AAA认证的源地址timerresponse-timeout5retry1//根据timeout*retry计算公式，当5秒连接不到主用LANENFORCER，会切换到备用LANEnforcer做认证domainacs//配置AAA认证域authenticationloginradius-schemeacslocalauthorizationloginradius-schemeacslocalauthenticationlan-accessradius-schemeenforcerauthorizationlan-accessradius-schemeenforcerdomaindefaultenableacs//设置默认认证域二.迈普交换机802.1X模板(1)路由交换一体机MP2824/MP2816/MP2816-24-AC/MP2700配置模板参考dot1xeap-relayenable//全局启用802.1X中继dot1xclient-probeenable//全局开启ARP保护功能，解决网卡不断弹出已连接的问题dot1xtimeoutre-authperiod43200//重认证时间间隔12小时dot1xmax-authfail4dot1xtimeoutquiet-period5//打开设备的静默定时器功能。该功能使得认证失败一定次数后（max-authfail设置），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短radius-serverretransmit1radius-servertimeout2//根据timeout+timeout*retransmit的计算公式，4s无法连接到主用LANEnforcer设备时会切换连接备用radius-serverdead-time5//检测到主服务器宕机后，过dead-time时间段去检测主服务器有没有上线，单位：分钟aaanew-model//全局开启AAA认证，不能影响原有的login登录aaaauthenticationlogindefaultlocalnoneaaaauthenticationconnectiondefaultradiusnoneradius-serverhost83.40.66.7auth-port1812acct-port1813priority0keyPassword123radius-serverhost83.40.66.8auth-port1812acct-port1813priority0keyPassword123ipradiussource-interfaceloopback0//配置用于802.1XRadius认证的两台主备服务器，同时配置发送AAA认证的源地址为设备管理地址port4/1//在Port4/1端口启用802.1X认证，默认为基于Macbased认证方式pvid410//端口划分到某一vlandot1xport-controlenabledot1xport-methodportbased//基于端口的802.1x认证//dot1xport-methodmacbased//基于mac的802.1x认证（默认）exitport4/1-4/20//在Port4/1到Port4/20所有端口下启用802.1X认证pvid410//端口划分到某一vlandot1xport-controlenabledot1xport-methodportbased//默认是基于mac的认证exitinterfaceswitchethernet0vlan410//必须启用sw接口并且关联端口划分的vlan，802.1X才能正常工作；vlan号为端口的PVID号最后，请showrun检查一下全局配置有没有dot1xkeepalive或dot1xkeepalivesimple-mode或者在端口底下有没有dot1xmulticast-trriger或dot1xmac-authentication。如果有则需要删除。（2）3000B系列（S3008B/S3016B/S3024B）dot1xeap-relayenable//启用802.1X中继dot1xclient-probeenable//Client-probe全局开启ARP保护功能，解决网卡不断弹出已连接的问题dot1xre-authenticationdot1xtimeoutre-authperiod43200//启用重认证，时间间隔为12小时dot1xmax-authfail4dot1xtimeoutquiet-period5//打开设备的静默定时器功能。该功能使得认证失败一定次数后（max-authfail设置），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短aaanew-model//全局开启AAA认证，不能影响原有的login登录aaaauthenticationlogindefaultlocalnoneexitradius-serverhostip_address1auth-port1812radius-serverhostip_address1keykeyradius-serverhostip_address2auth-port1812radius-serverhostip_address2keykey//配置用于802.1XRadius认证的两台服务器radius-serverretransmit1radius-servertimeout2//根据timeout+timeout*retransmit的计算公式4s无法连接到主用LANENFORCER设备时会切换连接备用radius-serverdead-time5//检测到主服务器宕机后，过dead-time时间段去检测主服务器有没有上线，单位：分钟port0/1//在Port0/1启用802.1X，基于Portbased方式dot1xport-controlenabledot1xport-methodportbased//默认是基于mac的认证exit最后，请showrun检查一下全局配置有没有dot1xkeepalive或dot1xkeepalivesimple-mode或者在端口底下有没有dot1xmulticast-trriger或dot1xmac-authentication。如果有则需要删除。（3）交换机

MyPower3100-52TC/3026G/3152配置模板参考dot1xenable//全局启用802.1Xdot1xmacbasedport-down-flush//全局关闭基于MAC认证时绑定客户端MAC的功能，解决换端口不通的问题dot1xre-authenticationdot1xtimeoutre-authperiod43200//启用重认证，时间间隔12小时dot1xtimeoutquiet-period5//打开设备的静默定时器功能。该功能使得认证失败3次后（不可更改），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短radius-servertimeout2radius-serverretransmit1//根据timeout+timeout*retransmit的计算公式4s无法连接到主用LANENFORCER设备时会切换连接备用radius-serverdead-time5//检测到主服务器宕机后，过dead-time时间段去检测主服务器有没有上线，单位：分钟radius-serverkey0Password123radius-serverauthenticationhost83.40.66.7primaryradius-serverauthenticationhost83.40.66.8//配置用于802.1XRadius认证的两台主备服务器aaaenable//开启AAAInterfaceEthernet0/0/1//在一个端口下启用802.1Xdot1xenabledot1xport-methodportbased//默认是基于mac的认证InterfaceEthernet0/0/1-17//在Ethernet0/0/1到Ethernet0/0/17所有端口下启用802.1X认证dot1xenabledot1xport-methodportbased//默认是基于mac的认证（4）交换机MyPower4152F配置模板参考dot1xenable//全局启用802.1Xdot1xmacbasedport-down-flush//全局关闭基于MAC认证时绑定客户端MAC的功能，解决换端口不通的问题dot1xre-authentication//全局启用重认证dot1xtimeoutre-authperiod43200//重认证间隔时间12小时dot1xtimeoutquiet-period5//打开设备的静默定时器功能。该功能使得认证失败3次后（不可更改），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短radius-servertimeout2radius-serverretransmit1//根据timeout+timeout*retransmit的计算公式，4s无法连接到主用LANEnforcer设备时会切换连接备用radius-serverdead-time5//检测到主服务器宕机后，过dead-time时间段去检测主服务器有没有上线，单位：分钟radius-serverkey0Password123radius-serverauthenticationhost83.40.66.7primaryradius-serverauthenticationhost83.40.66.8//配置用于802.1XRadius认证的两台主备服务器，开启AAA，设置主服务器down机时的静默时间aaaenableInterfaceEthernet1/0/1dot1xenable//在InterfaceEthernet1/0/1启用802.1Xdot1xport-methodportbased//默认是基于mac的认证InterfaceEthernet1/0/1-17dot1xenable//在InterfaceEthernet0/0/1到InterfaceEthernet0/0/17所有端口下启用802.1X认证dot1xport-methodportbased//默认是基于mac的认证（5）交换机MyPower3000-8T配置模板参考dot1xenable//全局启用802.1Xdot1xmacbasedport-down-flush//全局关闭基于MAC认证时绑定客户端MAC的功能，解决换端口不通的问题dot1xre-authentication//全局启用重认证dot1xtimeoutre-authperiod43200//重认证时间间隔12小时dot1xtimeoutquiet-period5//认证失败超过最大次数（默认3次，不可更改）的静默时间，该参数可以根据实际情况调短radius-servertimeout2radius-serverretransmit1//根据timeout+timeout*retransmit的计算公式，4s无法连接到主用LANEnforcer设备时会切换连接备用radius-serverdead-time5//检测到主服务器宕机后，过dead-time时间段去检测主服务器有没有上线，单位：分钟radius-serverkey0Password123radius-serverauthenticationhost83.40.66.7primaryradius-serverauthenticationhost83.40.66.8//配置用于802.1XRadius认证的两台主备服务器aaaenable//开启AAAInterfaceEthernet1/1dot1xenable//在InterfaceEthernet1/1启用802.1Xdot1xport-methodportbased//默认是基于mac的认证InterfaceEthernet1/1-17dot1xenable//在InterfaceEthernet1/1到InterfaceEthernet1/17所有端口下启用802.1X认证dot1xport-methodportbased//默认是基于mac的认证（6）交换机MP6800A配置模板参考aaanew-model//全局开启AAA认证，不能影响原有的login登录aaaauthenticationlogindefaultlocalnoneaaaauthenticationconnectiondefaultdot1xaaagroupserverradiusdot1x//配置用于802.1XRadius认证的两台主备服务器server-private114.255.225.40auth-port1812acct-port1813priority0keyPassword123server-private114.255.225.41auth-port1812acct-port1813priority10keyPassword123exitradius-serverretransmit1radius-servertimeout2//根据timeout+timeout*retransmit的计算公式4s无法连接到主用LANENFORCER设备时会切换连接备用。radius-serverdead-time5//检测到主服务器宕机后，过dead-time时间段去检测主服务器有没有上线，单位：分钟ipradiussource-interfacexx//设置发起认证的源地址接口port1/1dot1xport-controlenable//在Port1/1启用802.1Xdot1xport-methodportbased//配置基于端口的认证方式（默认为基于Macbased认证方式）dot1xmax-authfail4dot1xtimeoutquiet-period5//打开设备的静默定时器功能。该功能使得认证失败一定次数后（max-authfail设置），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短dot1xtimeoutre-authperiod3600//开启重认证（默认开启）间隔时间3600秒（最大3600秒）dot1xeap-relayenableexitport1/1-1/17dot1xport-controlenable//在Port1/1至Port1/17所有端口启用802.1Xdot1xport-methodportbaseddot1xmax-authfail4dot1xtimeoutquiet-period5dot1xtimeoutre-authperiod3600dot1xeap-relayenable最后，请showrun检查一下端口配置有没有dot1xkeepalive、dot1xmulticast-trriger或dot1xmac-authenticationenable。如果有则需要删除。三．锐捷交换机802.1X模板（1）对于非2126系列的设备，配置模板参考如下：aaanew-model//打开AAA开关aaagroupserverradius1//定义1X准入服务器组server

ipaddr1

//主server

ipaddr2

//备aaagroupserverradius2//定义AAA服务器组server

ipaddr3

//主server

ipaddr4

//备aaaauthorizationexectest2group2//定义AAA授权方法列表，关联服务器组2aaaauthenticationlogintestgroup2//定义AAA认证方法列表，关联服务器组2aaaauthenticationdot1xdefaultgroup1//定义准入认证方法列表，关联服务器组1vlan100//定义用户VLANradius-serverhost

ipaddr1

//配置1X准入主服务器IPradius-serverhost

ipaddr2

//配置1X准入备服务器IPradius-serverhost

ipaddr3

//配置AAA主服务器IPradius-serverhost

ipaddr4

//配置AAA备服务器IPradius-serverkey704664a556a5679//配置1X/AAA服务器keyradius-servertimeout2radius-serverretransmit1//根据timeout+timeout*retransmit的计算公式4s无法连接到主用LANENFORCER设备时会切换连接备用。radius-serverdeadtime5//判定主radiusdown后5分钟后将主radius的状态变为active状态，交换机接到的认证报文转发至主radius，由主radius尝试完成认证。如果5分钟内主还未恢复，返回到上述4s内完成切换。周而复始直到主恢复为止。dot1xauthenticationdefaultdot1xre-authenticationdot1xtimeoutre-authperiodseconds43200//重认证时间设为12小时dot1xtimeoutquiet-period5//打开设备的静默定时器功能。该功能使得认证失败1次后（不可更改），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短interfaceFastEthernet0/11switchportaccessvlan100//配置接口VLANdot1xport-controlauto//启用macbase802.1x认证，默认是macbase//dot1xport-controlmodeportbased//启用portbase802.1x认证注：在启用安全通道配置的时候，必须先关闭接口模式下的dot1x配置。正确的配置顺序为：1、保证接口模式下dot1x配置关闭；2、启用安全通道配置；3、再打开接口模式下的dot1x配置。锐捷默认为基于mac的认证，该配置支持接Hub多用户认证。（2）对于2126系列的设备，配置模板参考如下aaaauthenticationdot1x

//打开802.1x认证功能radius-serverhost

ipaddr1

//设置主RadiusServerIP地址radius-serverhost

ipaddr2

//设置备RadiusServerIP地址radius-serverkey24r432r220//设置RadiusServerkeydot1xre-authentication//打开定时重认证功能dot1xtimeoutre-authperiod

43200

//

设置重认证时间间隔为12小时dot1xtimeoutserver-timeout

2

//设置RadiusServer最大响应时间dot1xmax-req

2

//设置报文重传次数interface

interface-id

//进入接口设置模式指定要配置的Interfacedot1xport-controlauto//设置该接口为受控接口（打开接口认证功能），默认为mac-based模式，不支持port-based注：该设备比较旧，很多命令不支持，deadtime和quite-period可不配置四．思科交换机802.1X配置模板（1）IOS模板参考如下aaanew-modelaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusdot1xsystem-auth-controlinterfaceFastEthernetX/XswitchportaccessvlanXXXswitchportmodeaccessdot1xport-controlautodot1xtimeoutquiet-period5//打开设备的静默定时器功能。该功能使得认证失败一定次数后（max-req设置），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短dot1xmax-req4dot1xtimeoutreauth-period43200//设置重认证时间为12小时dot1xreauthenticationspanning-treeportfastradius-serverhostx.x.x.xauth-port1812acct-port1813timeout2retransmit1keyXXXradius-serverhostx.x.x.xauth-port1812acct-port1813timeout2retransmit1keyXXX//设置主备认证服务器（2）catOS模板参考如下setdot1xsystem-auth-controlenablesetradiusserver80.29.14.35auth-port1812primarysetradiusserver80.29.14.36auth-port1812setradiusdeadtime5setradiusretransmit1setradiustimeout2setradiuskeyicbc4keysetdot1xre-authperiod43200//重认证时间12小时setdot1xquiet-period5//打开设备的静默定时器功能。该功能使得认证失败一定次数后（max-req设置），该端口在静默时间内不接收802.1x认证请求报文，可根据实际情况调短setdot1xmax-req4setportdot1xX/Xport-controlauto//启用某个端口的802.1x认证setportdot1xX/Xre-authenticationenable//在端口下启动重认证（3）思科交换机接HUB目前支持802.1x单端口下多用户认证的思科交换机平台目前有：122-50版本部分命令有些微变化,配置如下，其他命令无变化：interfaceFastEthernetX/Xauthenticationhost-modemulti-auth//配置该命令后可以在该端口下接Hub，可对hub上每一台pc进行认证，仅在该版本有authenticationport-controlauto//设置port-control模式authenticationperiodic//开启重认证authenticationtimerreauthenticate43200//设置重认证时间dot1xpaeauthenticator//开启dot1x认证dot1xtimeoutquiet-period5//该数值可以根据实际情况调短。dot1xmax-req4五．华为交换机802.1X配置模板（1）S2700系列路由器配置模板如下：dot1xenable//接口下打开dot1x功能dot1xauthentication-methodeap//配置认证方式为EAP认证，默认为CHAP认证undodot1xhandshake//去使能握手功能，仅需要在全局下使用dot1xtimerreauthenticate-period7200//在重认证功能打开的前提下，设置重认证周期dot1xquiet-period//使能静默定时器功能，默认未使能dot1xtimerquiet-period10//打开设备的静默定时器功能。该功能使得认证失败一定次数后（quiet-times设置），该端口在静默时间内不接收802.1x认证请求报文dot1xquiet-times4dot1xdhcp-trigger//使能在接入用户运行DHCP申请动态IP地址时就触发对其进行认证，默认未使能dot1xreauthenticate//全局模式下使能重认证功能，默认未使能radius-servertemplateicbc//配置认证服务器模板为icbcradius-servershared-keysimplePassword123//配置密钥radius-serverauthentication114.255.225.401812//配置主用radius服务器地址和端口radius-serverauthentication114.255.225.411812secondary//配