18.6.3 802.1x用户的RADIUS认证、授权和计费配置示例
在802.1x认证中,采用远程RADIUS服务器是最常用的AAA访问控制方式,而且RADIUS服务器不仅可以实现802.1x用户所需的认证,还可对他们进行授权和计费。本示例拓扑如图18-6所示,所采用的RADIUS服务器是广泛应用,由H3C公司开发的iMC系统。现需要实现使用RADIUS服务器对通过交换机接入的802.1x用户进行认证、授权和计费。具体要求如下:
l 在接入端口GigabitEthernet1/0/1上对接入用户进行802.1x认证,同时采用基于MAC地址的接入控制方式。
l 交换机与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名携带域名。
l 用户认证时使用的用户名为dot1x@bbb。
l 用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。
l 对802.1x用户进行包月方式计费,费用为120元/月,以月为周期对用户上网服务的使用量按时长进行统计,允许每月最大上网使用量为120个小时。
对比上一节的示例可以看出,本示例的要求明显高于上节示例,尽管它们都是使用iMC RADIUS服务器。另外,本示例相对上节的示例还多了两项要求,那就是基于MAC地址接入控制的IEEE 802.1x认证和RADIUS计费,特别是RADIUS计费功能的配置比较复杂,要配置计费策略。有关H3C以太网交换机的IEEE 802.1x认证具体配置方法将在本书第19章介绍。
综合分析本示例的要求,可以得出它的基本配置思路。总体来说包括以下四个方面:在交换机和对应的端口上启用IEEE 802.1x认证和基于MAC地址的接入控制;配置iMC RADIUS认证/授权、计费服务器功能;配置RADIUS认证、授权和计费方案;配置IEEE 802.1x用户ISP域AAA方案,调用前面配置的RADIUS服务器方案。下面分别予以介绍。
图18-6 802.1x用户RADIUS认证、授权和计费配置示例