802.1X用户的RADIUS认证.docxVIP

?802.1X用户的RADIUS认证、授权和计费配置1.?组网需求在图1-26所示的组网环境中，需要实现使用RADIUS服务器对通过Switch接入的802.1X用户进行认证、授权和计费。???????????????在接入端口GigabitEthernet1/0/1上对接入用户进行802.1X认证，并采用基于MAC地址的接入控制方式，即该端口下的所有用户都需要单独认证；???????????????Switch与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名；???????????????用户认证时使用的用户名为dot1x@bbb。???????????????用户认证成功后，认证服务器授权下发VLAN 4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。???????????????对802.1X用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。2.?组网图图1-26?802.1X用户RADIUS认证、授权和计费配置组网图?3.?配置步骤???????????请按照组网图完成端口和VLAN的配置，并保证在用户通过认证后能够自动或者手动更新IP地址与授权VLAN中的资源互通。???????????下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206），说明RADIUS server的基本配置。?(1)????????配置RADIUS server#?增加接入设备。登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。???????????????设置与Switch交互报文时的认证、计费共享密钥为“expert”；???????????????设置认证及计费的端口号分别为“1812”和“1813”；???????????????选择业务类型为“LAN接入业务”；???????????????选择接入设备类型为“H3C”；???????????????选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备；???????????????其它参数采用缺省值，并单击确定按钮完成操作。添加的接入设备IP地址要与Switch发送RADIUS报文的源地址保持一致。缺省情况下，设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。???????????若设备使用缺省的发送RADIUS报文的源地址，例如，本例中为接口Vlan-interface3的IP地址10.1.1.2，则此处接入设备IP地址就选择10.1.1.2。???????????若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址，则此处的接入设备IP地址就需要修改并与指定源地址保持一致。?图1-27?增加接入设备?#?增加计费策略。选择“业务”页签，单击导航树中的[计费业务/计费策略管理]菜单项，进入计费策略管理页面，在该页面中单击增加按钮，进入计费策略配置页面。???????????????输入计费策略名称“UserAcct”；???????????????选择计费策略模板为“包月类型”；???????????????设置包月基本信息：计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”；???????????????设置包月使用量限制：允许每月最大上网使用量为120个小时。???????????????其它参数采用缺省值，并单击确定按钮完成操作。图1-28?增加计费策略?#?增加服务配置。选择“业务”页签，单击导航树中的[接入业务/服务配置管理]菜单项，进入服务器配置管理页面，在该页面中单击增加按钮，进入增加服务配置页面。???????????????输入服务名为“Dot1x auth”、服务后缀为“bbb”，此服务后缀为802.1X用户使用的认证域。指定服务后缀的情况下，RADIUS方案中必须指定向服务器发送的用户名中携带域名；???????????????选择计费策略为“UserAcct”；???????????????配置授权下发的VLAN ID为“4”；???????????????本配置页面中还有其它服务配置选项，请根据实际情况选择配置；???????????????单击确定按钮完成操作。图1-29?增加服务配置?#?增加接入用户。选择“用户”页签，单击导航树中的[接入用户视图/所有接入