2023年12月19日发(作者:素诗蕊)
华为5700本机完成802.1X用户认证配置
网络需求:
需要公司人员根据自己的工号完成了802.1x认证之后才能进行通信和访问外网
网络实验拓扑:
第一步:
建立802.1x认证用户
[manage-converged]aaa
[manage-converged-aaa]local-user cd00470 password cipher 12345
[manage-converged-aaa]local-user cd00470 service-type 8021x 指定用户的服务类型
第二步:
开启全局802.1x功能
[manage-converged]dot1x enable
[manage-converged]dot1x authentication-method chap
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令 。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可
第三步:
开启接口802.1x功能
[manage-converged-GigabitEthernet0/0/26]dot1x enable
[manage-converged-GigabitEthernet0/0/26]dot1x port-method ?
mac Authentication based on user MAC address
port Authentication based on switch port
基于端口模式:只要连接在该端口的第一个MAC设备通过认证,该端口连接的其他MAC设备不用认 证都允许接入。
基于MAC模式:端口下每个MAC设备接入时都需要通过认证。
测试建立:
抓取到的802.1X认证报文
2023年12月19日发(作者:素诗蕊)
华为5700本机完成802.1X用户认证配置
网络需求:
需要公司人员根据自己的工号完成了802.1x认证之后才能进行通信和访问外网
网络实验拓扑:
第一步:
建立802.1x认证用户
[manage-converged]aaa
[manage-converged-aaa]local-user cd00470 password cipher 12345
[manage-converged-aaa]local-user cd00470 service-type 8021x 指定用户的服务类型
第二步:
开启全局802.1x功能
[manage-converged]dot1x enable
[manage-converged]dot1x authentication-method chap
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令 。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可
第三步:
开启接口802.1x功能
[manage-converged-GigabitEthernet0/0/26]dot1x enable
[manage-converged-GigabitEthernet0/0/26]dot1x port-method ?
mac Authentication based on user MAC address
port Authentication based on switch port
基于端口模式:只要连接在该端口的第一个MAC设备通过认证,该端口连接的其他MAC设备不用认 证都允许接入。
基于MAC模式:端口下每个MAC设备接入时都需要通过认证。
测试建立:
抓取到的802.1X认证报文