第1章802.1x典型配置指导1.1802.1x简介IEEE802LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制协议（PortBasedNetworkAccessControl）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。1.2802.1x典型配置指导1.2.1组网图图1-1启动802.1x和RADIUS对接入用户进行AAA操作1.2.2应用要求l要求在各端口上对接入用户进行认证，以控制其访问Internet；接入控制方式要求是基于MAC地址的接入控制。l所有接入用户都属于一个缺省的域：aabbcc.net，该域最多可容纳30个用户；认证时，先进行RADIUS认证，如果RADIUS服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线。l由两台RADIUS服务器组成的服务器组与交换机相连，其IP地址分别为10.1.1.1和10.1.1.2，要求使用前者作为主认证/备份计费服务器，使用后者作为备份认证/主计费服务器。l设置系统与认证RADIUS服务器交互报文时的共享密钥为name、与计费RADIUS服务器交互报文时的共享密钥为money。l设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5次，设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。l设置系统从用户名中去除用户域名后再将之传给RADIUS服务器。l本地802.1x接入用户的用户名为localuser，密码为localpass，使用明文输入；闲置切断功能处于打开状态，正常连接时用户空闲时间超过20分钟，则切断其连接。1.2.3适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本硬件版本S3610系列以太网交换机Release5301软件版本全系列硬件版本S5510系列以太网交换机Release5301软件版本全系列硬件版本S5500-SI系列以太网交换机Release1207软件版本全系列硬件版本（除S5500-20TP-SI）Release1301软件版本S5500-20TP-SIS5500-EI系列以太网交换机Release2102软件版本全系列硬件版本S7500E系列以太网交换机Release6100软件版本全系列硬件版本1.2.4配置过程和解释#配置各接口的IP地址（略）。#添加本地接入用户，启动闲置切断功能并设置相关参数。<Sysname>system-view[Sysname]local-userlocaluser[Sysname-luser-localuser]service-typelan-access[Sysname-luser-localuser]passwordsimplelocalpass[Sysname-luser-localuser]attributeidle-cut20[Sysname-luser-localuser]quit#创建RADIUS方案radius1并进入其视图。[Sysname]radiusschemeradius1#设置主认证/计费RADIUS服务器的IP地址。[Sysname-radius-radius1]primaryauthentication10.1.1.1[Sysname-radius-radius1]primaryaccounting10.1.1.2#设置备份认证/计费RADIUS服务器的IP地址。[Sysname-radius-radius1]secondaryauthentication10.1.1.2[Sysname-radius-radius1]secondaryaccounting10.1.1.1#设置系统与认证RADIUS服务器交互报文时的共享密钥。[Sysname-radius-radius1]keyauthenticationname#设置系统与计费RADIUS服务器交互报文时的共享密钥。[Sysname-radius-radius1]keyaccountingmoney#设置系统向RADIUS服务器重发报文的时间间隔与次数。[Sysname-radius-radius1]timerresponse-timeout5[Sysname-radius-radius1