S6506 交换机实验指导
实验14 802.1x及AAA
Packet Type: 0. Packet Length: 5. -----Packet Body-----
也可以观察到大致相同的信息,不过只是没有上面分析的这么细致。对于一个熟练的工程师而言,他应该可以从Debug信息中快速获取他想获取的信息。我们这里就不分析这些信息了。
2
现在我们来考察在利用Server做Radius 服务器验证的情形下,Sw1是如何与Server交互的。
首先,让我们把我们的实验做得更加接近于实际情况:通常情况下,一个远程用户接入网络时本身都没有IP地址,而是等待运营商的DHCP服务器给它分配一个IP地址。所以,请配置pc的IP地址为自动获取,我们将配置Server提供DHCP服务。
我们在前面的交换机配置基础上先配置使用radius验证而不是本地验证,具体配置清单为:
[S6506]undo local-user pc /*删除本地用户数据库中用户pc*/ [S6506]radius scheme byser /*设置Radius方案byser*/ /*配置主验证服务器192.168.10.121*/
[S6506-radius-byser]primary authentication 192.168.10.121 /*配置主计费服务器192.168.10.121*/
[S6506-radius-byser]primary accounting 192.168.10.121 /*配置和验证服务器之间的共享密钥为huawei*/ [S6506-radius-byser]key accounting huawei /*配置和计费服务器之间的共享密钥为huawei*/ */
[S6506-isp-huawei.com]radius-scheme byser
现在我们来配置Shiva Radius服务器。尽管W2K也支持Radius服务,但是配置比较繁琐,为了集中精力于我们的主要议题,我们使用一个使用比较方便的Shiva Radius服务器来做示例,您可以用任何其他标准Radius服务器做同样的实验。我们先打开Shiva Access Manager,用超级用户supermanager(密码为空)登录,并且打开一个控制台(同样用密码为空的supermanager登录),Shiva的具体配置如下:
首先配置一个用户,具体操作方法是打开“user->manager users”,在如下图所示的对话框中输入用户名pc,密码pc,特别要注意Account Expiration Date要设置成距离现在较晚的一个日期;
[S6506-radius-byser]key authentication huawei
/*在域huawei.com中应用这些方案
[S6506]domain huawei.com
S6506 交换机实验指导
实验14 802.1x及AAA
然后再打开“options->general”对话框,并按照下图所示设置radius端口参数:
重新设置这里的端口可能要重新启动系统;最后再打开“options->encryption keys”设置Radius客户端有关参数,这里的参数设置如下图所示:
S6506 交换机实验指导
实验14 802.1x及AAA
在上图中设置NAS Ip Address为192.168.10.1,Encryption Key为huawei。这样radius服务器就设置好了。配置完Radius服务以后,还要在Server上配置DHCP服务。首先请打开“开始->程序->管理工具->DHCP”,我们配置Server给用户分配一个192.168.10.2到192.168.10.10这个范围内的地址。请新建一个作用域,具体的配置如下面几张图所示:
S6506 交换机实验指导
实验14 802.1x及AAA
S6506 交换机实验指导
实验14 802.1x及AAA