802.1x+RADIUS认证计费技术原理及配置

思科交换机802.1X认证环境配置1.1.1.1 ：配置IP地址configure terminal 进入全局的配置模式配置命令：ip address举例：ip address 192.168.1.253 255.255.255.01.1.1.2 ：配置Radius认证服务器地址configure terminal 进入全局的配置模式配置命令：radius-server host <0.0.0.0> auth-port <port> acct-port <port> key <Key> 举例：radius-server host 192.168.1.254 auth-port 1812 acct-port 1813 key test radius-server retransmit 3 和Radius默认重传3次。

1.1.1.3 ：配置Dot1X认证configure terminal 进入全局的配置模式aaa new-model 运行AAA模式。

aaa authentication dot1x default group radius 创建一个802.1X认证的方式列表dot1x system-auth-control 在交换机上全局允许802.1X认证nterface <interface-id> 在指定的端口上启用802.1X认证举例：interface fastethernet0/1说明：1：例子中的是第一个端口，端口的书写必须是:0/<端口号>2：当端口启用802.1X认证之后应该显示是桔红色，而没有启用的显示的是绿色。

switchport mode accessdot1x port-control auto 以上两个命令是允许在端口上启用802.1X认证。

End 配置结束Show dot1x 查看您的dot1x认证配置copy running-config startup-config 保存您的配置到配置文件中。

802.1X集成Radius认证802.1X是一种网络访问控制协议，它提供了对网络中用户和设备的认证和授权。

Radius（远程身份验证拨号用户服务）是一种用于网络访问控制的认证和授权协议。

802.1X集成Radius认证意味着将这两种协议结合在一起使用，以增强网络的安全性和管理能力。

802.1X协议的主要目的是验证连接到LAN或WLAN的用户或设备的身份，并根据他们的认证状态控制他们的访问权限。

它是一种基于端口的认证方法，只有在用户或设备提供有效的凭证后，才能建立网络连接。

这可以防止未授权的用户或设备访问网络资源，保护网络的安全性。

Radius协议是一种用于网络认证和授权的协议，它通过对用户身份进行验证，并为其分配相应的权限和访问级别来控制网络访问。

Radius服务器负责处理用户认证请求，并与认证服务器进行通信进行身份验证和授权。

集成Radius认证意味着802.1X协议将使用Radius服务器来处理认证请求和授权决策。

802.1X集成Radius认证提供了许多优势。

首先，它增强了网络的安全性。

通过要求用户或设备提供有效的凭证，并通过Radius服务器进行身份验证，可以防止未经授权的用户或设备访问网络资源。

这可以减少网络攻击的风险，保护敏感数据和资源的安全性。

其次，802.1X集成Radius认证提供了更好的管理能力。

通过使用Radius服务器，网络管理员可以更轻松地管理和控制用户对网络资源的访问。

他们可以根据用户的身份和权限，对其进行精确的访问控制。

此外，管理员还可以跟踪和审计用户的网络活动，以确保他们的行为符合网络策略和合规要求。

另外，802.1X集成Radius认证还可以支持灵活的网络配置和部署。

由于Radius协议的灵活性，网络管理员可以根据实际需求和网络拓扑来配置和部署认证和授权策略。

他们可以定义不同的认证方法、访问权限和策略，并将其应用到不同的网络设备和用户上。

最后，802.1X集成Radius认证还提供了互操作性。

802.1X与RADIUS Offload功能组合认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (2)3.4 配置步骤 (2)3.4.1 AC的配置： (2)3.4.2 RADIUS server的配置： (4)3.5 验证配置 (5)3.6 配置文件 (6)4 相关资料 (7)i1 简介本文档介绍当RADIUS服务器不支持EAP认证时，无线控制器采用802.1X的认证方式为EAP中继方式对无线客户端进行认证的典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、802.1X和WLAN特性。

3 配置举例3.1 组网需求如图1所示，Client和AP通过DHCP服务器分配IP地址，RADIUS服务器不支持EAP认证，要求：∙在AC上配置802.1X认证，以控制Client对网络资源的访问。

∙802.1X认证方式采用EAP中继方式。

∙对Client和AC之间传输的数据进行加密，加密套件采用AES-CCMP。

∙在强制认证域dm0进行认证。

图1802.1X与RADIUS Offload组合认证组网图3.2 配置思路∙由于需求中RADIUS服务器不支持EAP认证，要配置EAP中继方式的802.1X认证，需要使能RADIUS Offload功能。

802.1X认证原理802.1X(dot1x) 技术简介802.1X认证，又称为EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户接入认证问题。

802.1X认证时采用了RADIUS协议的一种认证方式，典型的C/S结构，包括终端、RADIUS客户端和RADIUS服务器。

802.1x简介：IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802. 1X协议。

后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。

“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。

802.1X认证的特点：o安全性高，认证控制点可部署在网络接入层或汇聚层。

o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。

使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。

o技术成熟，被广泛应用于各类型园区网员工接入。

802.1X认证应用场景：o有线接入层：安全性最高，设备管理复杂。

o有线汇聚层：安全性中高，设备少，管理方便。

o无线接入：安全性高，设备少，管理方便。

802.1X系统架构：802.1X系统为典型的Client/Server结构，包括三个实体：客户端、接入设备和认证服务器。

o客户端是位于局域网段一端的一个实体，由该链路另一端的接入设备对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持局域网上的可扩展认证协议EAPOL（Extensible Authentication Protocol over LAN）。

o接入设备是位于局域网段一端的另一个实体，对所连接的客户端进行认证。

802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

802.1X用户的RADIUS认证、授权和计费配置1. 组网需求在图1-26所示的组网环境中，需要实现使用RADIUS服务器对通过Switch接入的802.1X用户进行认证、授权和计费。

●在接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证，并采用基于MAC地址的接入控制方式，即该端口下的所有用户都需要单独认证；●Switch与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名；●用户认证时使用的用户名为dot1x@bbb。

●用户认证成功后，认证服务器授权下发VLAN 4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。

●对802.1X用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。

2. 组网图图1-26 802.1X用户RADIUS认证、授权和计费配置组网图3. 配置步骤●请按照组网图完成端口和VLAN的配置，并保证在用户通过认证后能够自动或者手动更新IP地址与授权VLAN中的资源互通。

●下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2606、iMC UAM3.60-E6206、iMC CAMS 3.60-E6206），说明RADIUS server的基本配置。

(1)配置RADIUS server# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

●设置与Switch交互报文时的认证、计费共享密钥为“expert”；●设置认证及计费的端口号分别为“1812”和“1813”；●选择业务类型为“LAN接入业务”；●选择接入设备类型为“H3C”；●选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备；●其它参数采用缺省值，并单击<确定>按钮完成操作。