2024 年 10 月 – 第 7 页 – 学海无涯走一路学一路

锐捷网管交换机802.1x认证配置—–Guest VLAN 配置举例

一、组网需求
设备端口开启802.1x认证，并配置Guest VLAN。若该端口下的终端未安装802.1x客户端，则允许该终端访问
Guset VLAN内的网络资源。

二、组网图
802.1x 认证组网图

三、配置要点
● 在端口上开启802.1x认证。
● 受控口上开启VLAN自动跳转功能。
● 配置端口加入Guest VLAN。

(2) 接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable

(3) 端口加入Guest VLAN，Guset VLAN为VLAN 1。
Device(config-if-GigabitEthernet 0/1)# dot1x guest-vlan 1

五、验证配置结果
# 加入Guest VLAN后，设备会打印如下Log：
%DOT1X-5-TRANS_DEFAULT_TO_GUEST: Transformed interface GigabitEthernet 0/1 from default-vlan 1 to
guest-vlan 1 OK.

# 终端不存在802.1x客户端时，无需认证即可访问VLAN 1内的网络资源，并且只能访问VLAN 1内的网络资源。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x dynamic-vlan enable
dot1x guest-vlan 1
!

七、常见错误
端口收到了EAPOL报文，导致端口未加入Guest VLAN。

锐捷网管交换机802.1x认证配置—–动态 VLAN 自动跳转配置举例

一、组网需求
开启动态VLAN自动跳转功能后，当服务器下发跳转VLAN时，对应的用户就会被加入到跳转的VLAN中进行通
信。

二、组网图

三、配置要点
● 在端口上开启802.1x认证。
● 受控口上开启VLAN自动跳转功能。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2) 接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable

五、验证配置结果
# RADIUS服务下发VLAN属性，通过show dot1x summary命令可以查看认证通过的用户信息，所属VLAN由
VLAN 2跳转到VLAN 3。

七、常见错误
● 认证服务器未正确设置下发VLAN的RADIUS属性。
● 设备未打开支持下发VLAN属性的RADIUS命令。
● HYBRID口上使用MAC VLAN跳转VLAN时，下发的VLAN是带TAG VLAN。

锐捷网管交换机802.1x认证配置—–服务器失效旁路认证配置举例

一、组网需求
配置服务器失效旁路认证后，当设备上配置的所有RADIUS服务器都不可达的时候，允许新接入的认证用户访问
网络。

二、组网图

三、配置要点
● 在端口上开启802.1x认证。
● 配置RADIUS服务器可达性检测。
● 配置服务器失效旁路认证。。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2) 配置RADIUS服务器可达性检测标准，此处配置服务器不可达的标准为连续超时5次，超时时间为60秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 60 tries 5

(3) 配置服务器失效旁路认证。
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x critical

五、验证配置结果
当所有的RADIUS服务器不可达时，终端发起802.1x认证后可直接访问网络，并不会因为服务器不可达而导致认
证失败。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 test username testname key 7 $10$3b4$ln0s66i8XfEi$
radius-server dead-criteria time 60 tries 5
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x critical
!

七、常见错误
● 存在RADIUS服务器未失效。
● 802.1x认证方法列表中除了RADIUS方法，还包含了其他方法。

锐捷网管交换机802.1x认证配置—–多 MAB 认证配置举例

一、组网需求
多MAB认证适用于一个端口下有多个哑终端的场景。配置多MAB认证后，端口下的每个哑终端需要各自认证通过
才可以访问网络。

二、组网图

三、配置要点
● 在端口上开启802.1x认证。
● 配置多MAB认证功能。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2)配置多MAB认证功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x mac-auth-bypass multi-user

五、验证配置结果
端口下接入哑终端设备A和B。
(1) 若RADIUS服务器上添加终端A的MAC账号，则设备A能正常接入网络，设备B无法接入网络。
(2) 只有RADIUS服务器上同时添加终端A和B的MAC账号时，A和B才都可以正常接入网络。

七、常见错误
服务器上的MAC账号格式不准确。

锐捷网管交换机802.1x认证配置—–IP 授权模式配置举例

一、组网需求
配置IP授权后，只允许指定IP地址的客户端认证通过。

二、组网图

三、配置要点
● 在端口上开启802.1x认证。
● 配置IP授权模式。

四、配置步骤
(1) 在端口上开启802.1x基本功能

(2) 配置Supplicant授权模式。
Device> enable
Device# configure terminal
Device(config)# aaa authorization ip-auth-mode supplicant

五、验证配置结果
客户端使用非指定的IP地址无法认证通过。

六、配置文件
!
aaa authorization ip-auth-mode supplicant
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
!

七、常见错误
● 网络中可能存在多种认证客户端，在开启过滤非锐捷客户端功能后，导致部分终端无法认证。
● 使用锐捷SAM/SMP，但是设备未配置SNMP参数导致踢线功能失败。

锐捷网管交换机802.1x 认证配置举例

一、组网需求
在设备端口上开启802.1x基本功能，从该端口上接入设备的终端需要通过802.1x认证才可访问网络。

二、组网图

三、配置要点
● 配置RADIUS server，在RADIUS server上添加802.1x用户。
● 开启AAA服务。
● 配置服务器地址和密钥。
● 配置认证和记账方法列表。
● 应用认证和记账方法列表。
●在接口上开启802.1x基本功能。

四、配置步骤
(1) 配置RADIUS server，在RADIUS server上添加802.1x用户，用户名为hostname1，密码为password1。

(2) 开启AAA服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置AAA server服务器地址和共享密钥（此处以RADIUS服务器为例，地址为192.168.1.3，共享密钥为
radiuskey）。
Device(config)# radius-server host 192.168.1.3 key radiuskey

(4) 配置认证和记账方法列表。
Device(config)# aaa authentication dot1x auth-method group radius
Device(config)# aaa accounting network account-method start-stop group radius

(5) 应用认证和记账方法列表。
Device(config)# dot1x authentication auth-method
Device(config)# dot1x accounting account-method

(6) 在接口上开启802.1x基本功能。
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x port-control auto

五、验证配置结果
# 使用账号认证通过前无法访问网络资源；认证通过后可访问网络资源。
# 使用show dot1x summary查看认证通过的用户。

七、常见错误
● RADIUS参数配置错误。
● 服务器有特殊的接入策略，例如要求RADIUS报文必须携带某些属性等。
● AAA方法列表和802.1x方法类表不一致导致无法认证。

锐捷网管交换机TACACS可达性检测配置举例

一、组网需求
配置TACACS+可达性检测，用于发现处于不可达状态的TACACS+服务器

二、组网图

三、配置要点
● 配置全局TACACS+服务器不可达的判定标准。
● 配置TACACS+服务器的IP地址，指定主动探测的相关参数。

四、配置步骤
# 配置全局TACACS+服务器不可达的判定标准为连续5次探测超时，超时时间为120秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 120 tries 5

# 配置TACACS+服务器的IP地址为192.168.1.3，探测用户名为test，探测间隔为90分钟。
Device(config)# tacacs-server host 192.168.1.3 test username test idle-time 90

五、验证配置结果
使设备与192.168.1.22服务器网络通讯断开。通过设备进行TACACS+认证。120秒后，使用命令show tacacs命
令查看服务器状态为Dead。
Hostname# show tacacs server

六、配置文件
!
tacacs-server host 192.168.1.3 test username test idle-time 90
tacacs-server dead-criteria time 120 tries 5
!

锐捷网管交换机TACACS+的认证、授权和记账分离配置举例

一、组网需求
用户的认证、授权和记账三种服务使用不同的TACACS+服务器组。

二、组网图

三、配置要点
● 在TACACS+ server上配置设备信息、添加Login用户等。
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器信息，并将其加入不同的TACACS+服务器组。
● 配置TACACS+的认证、授权和记账方法列表。
● 在特定线路上应用TACACS+认证、授权和记账方法。

四、配置步骤
(1) 在TACACS+服务器上配置设备信息、添加Login用户

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器A，并将其加入TACACS+服务器组tacacs1。（此处TACACS+服务器A的地址为
192.168.1.3，共享密钥为sharekey）。
Device(config)# tacacs-server host 192.168.1.3 key sharekey
Device(config)# aaa group server tacacs+ tacacs1
Device(config-gs-tacacs+)# server 192.168.1.3
Device(config-gs-tacacs+)# exit

(4) 参照配置服务器组tacacs1的步骤，依次配置服务器组tacacs2和tacacs3。
Device(config)# tacacs-server host 192.168.1.4 key sharekey
Device(config)# aaa group server tacacs+ tacacs2
Device(config-gs-tacacs+)# server 192.168.1.4
Device(config-gs-tacacs+)# exit
Device(config)# tacacs-server host 192.168.1.5 key sharekey
Device(config)# aaa group server tacacs+ tacacs3
Device(config-gs-tacacs+)# server 192.168.1.5
Device(config-gs-tacacs+)# exit

(5) 配置认证方法列表使用服务器组tacacs1、授权方法列表使用服务器组tacacs2、记账方法列表使用服务器组
tacacs3。
Device(config)# aaa authentication login tacacs-method group tacacs1
Device(config)# aaa authorization exec radius-method group tacacs2
Device(config)# aaa accounting exec radius-method start-stop group tacacs3

(6) 在线路上应用认证方法。
Device(config)# line vty 0 4
Device(config-line)# login authentication tacacs1
Device(config-line)# authorization exec tacacs2
Device(config-line)# accounting exec tacacs3

五、验证配置结果
# 用户输入在TACACS+服务器A上配置的合法用户名密码后，能够成功登录设备。
User Access Verification
Username:hostname1
Password:password1
Device#

# 登录设备后，用户只拥有TACACS+服务器B授予的权限级别，仅能运行该权限级别下的命令。
# 用户退出登录后，在TACACS+服务器C上能够查看到该用户的记账信息。

六、配置文件
!
aaa new-model
!
aaa accounting exec radius-method start-stop group tacacs3
aaa authorization exec radius-method group tacacs2
aaa authentication login radius-method group tacacs1
!
tacacs-server host 192.168.1.3 key 7 $10$275$g8oXDDIPVeA=$
tacacs-server host 192.168.1.4 key 7 $10$275$g8oXDDIPVeA=$
tacacs-server host 192.168.1.5 key 7 $10$275$g8oXDDIPVeA=$
!
!
aaa group server tacacs+ tacacs1
server 192.168.1.3
!
aaa group server tacacs+ tacacs2
server 192.168.1.4
!
aaa group server tacacs+ tacacs3
server 192.168.1.5
!
line console 0
line vty 0 4
accounting exec tacacs3
authorization exec tacacs2
login authentication tacacs1
!

七、常见错误
●设备配置的共享密钥与RADIUS服务器使用的共享密钥不一致。
● 向服务器组加入未定义的服务器。

锐捷网管交换机 Login 认证使用 TACACS+配置举例

一、组网需求
Login用户通过TACACS+服务器实现认证。

二、组网图

三、配置要点
● 在TACACS+ server上配置设备信息、添加Login用户等。
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器信息。
● 配置TACACS+的认证方法列表。
● 在特定线路上应用TACACS+认证方法。

四、配置步骤
(1) 在TACACS+服务器上配置设备信息、添加Login用户

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器（此处TACACS+服务器地址为192.168.1.3，共享密钥为sharekey）。
Device(config)# tacacs-server host 192.168.1.3 key sharekey

(4) 配置认证方法列表。
Device(config)# aaa authentication login tacacs-method group tacacs+

(5) 在线路上应用认证方法。
Device(config)# line vty 0 4
Device(config-line)# login authentication tacacs-method

五、验证配置结果
# 用户输入正确的用户名密码后，能够成功登录设备。
User Access Verification
Username:hostname1
Password:password1
Device#

六、配置文件
!
aaa new-model
!
aaa authentication login tacacs-method group tacacs+
!
tacacs-server host 192.168.1.3 key 7 $10$275$g8oXDDIPVeA=$
!
line console 0
line vty 0 4
login authentication tacacs-method
!

七、常见错误
设备配置的共享密钥与TACACS+服务器使用的共享密钥不一致。

锐捷网管交换机 RADIUS 可达性检测配置举例

一、组网需求
配置RADIUS可达性检测，用于发现处于不可达状态的RADIUS服务器。

二、组网图

三、配置要点
● 配置全局RADIUS服务器不可达的判定标准。
● 配置RADIUS服务器的IP地址，指定主动探测的相关参数。

四、配置步骤
# 配置全局RADIUS服务器不可达的判定标准为连续5次探测超时，超时时间为120秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 120 tries 5

# 配置RADIUS服务器的IP地址为192.168.1.3，探测用户名为test，探测间隔为90分钟，并关闭对服务器认证端
口的检测。
Device(config)# radius-server host 192.168.1.3 test username test ignore-acct-port idle-time 90

五、验证配置结果
使设备与192.168.1.3服务器网络通讯断开。通过设备进行RADIUS认证。120秒后，使用命令show radius
server命令查看服务器状态为Dead。

六、配置文件
!
radius-server host 192.168.1.3 test username test ignore-acct-port idle-time 90 key 7
$10$275$g8oXDDIPVeA=$
radius-server dead-criteria time 120 tries 5
!