如何進(jìn)行ACS驗(yàn)證和MAC地址綁定，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

成都創(chuàng)新互聯(lián)公司是一家專(zhuān)業(yè)提供孝感企業(yè)網(wǎng)站建設(shè),專(zhuān)注與做網(wǎng)站、網(wǎng)站設(shè)計(jì)、H5頁(yè)面制作、小程序制作等業(yè)務(wù)。10年已為孝感眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站設(shè)計(jì)公司優(yōu)惠進(jìn)行中。

前言

<一>應(yīng)用ACS驗(yàn)證方案：

拓?fù)鋱D

設(shè)備要求：

交換機(jī)quidway 2403H-HI  1臺(tái)

防火墻H3C F100-C        1臺(tái)

主機(jī)                    4臺(tái)

DHCP Server（CentOS6.4系統(tǒng)）

AAA Server（win server2003系統(tǒng)）

實(shí)驗(yàn)所需軟件：

jdk-7-windows-i586

acs4.0-build-24

H3C_8021XClient

地址規(guī)劃:

eth0/0   1.1.1.2/24

eth0/0.1 192.168.10.1/24 vlan10

eth0/0.2 192.168.20.1/24 vlan20

eth0/0.3 192.168.30.1/24 vlan30

DHCP Server 192.168.30.100/24

AAA Server  192.168.30.200/24

PC1  192.168.10.100/24

PC2  192.168.20.100/24

具體配置步驟：

DHCP server配置

將以下內(nèi)容添加至/etc/dhcp/dhcpd.conf中即可。

option domain-name-servers 222.88.88.88, 222.85.85.85;

default-lease-time 600;

max-lease-time 7200;

log-facility local7;

subnet 192.168.30.0 netmask 255.255.255.0 {

}

subnet 192.168.10.0 netmask 255.255.255.0 {

range 192.168.10.2 192.168.10.254;

option routers 192.168.10.1;

option domain-name "tec.com";

}

subnet 192.168.20.0 netmask 255.255.255.0 {

range 192.168.20.2 192.168.20.254;

option routers 192.168.20.1;

option domain-name "mkt.com";

}

FW-1配置：

<FW-1>system-view

System View: return to User View with Ctrl+Z.

[FW-1]int eth0/0

[FW-1-Ethernet0/0]ip add  1.1.1.2 24

[FW-1-Ethernet0/0]quit

[FW-1]int eth0/0.1

[FW-1-Ethernet0/0.1]vlan-type dot1q vid 10

[FW-1-Ethernet0/0.1]ip add 192.168.10.1 24

[FW-1-Ethernet0/0.1]int eth0/0.2          

[FW-1-Ethernet0/0.2]vlan-type dot1q vid 20

[FW-1-Ethernet0/0.2]ip add 192.168.20.1 24

[FW-1-Ethernet0/0.2]int eth0/0.3

[FW-1-Ethernet0/0.3]vlan-type dot1q vid 30        

[FW-1-Ethernet0/0.3]ip add 192.168.30.1 24

[FW-1-Ethernet0/0.3]quit

[FW-1]firewall zone trust

[FW-1-zone-trust]add int eth0/0

[FW-1-zone-trust]add int eth0/0.1  

[FW-1-zone-trust]add int eth0/0.2

[FW-1-zone-trust]add int eth0/0.3

[FW-1-zone-trust]quit

[FW-1]undo insulate

[FW-1]dhcp enable

DHCP task has already been started!

[FW-1]dhcp select relay interface eth0/0.1 to eth0/0.2

[FW-1]int eth0/0.1

[FW-1-Ethernet0/0.1]ip relay add 192.168.30.100

[FW-1-Ethernet0/0.1]int eth0/0.2              

[FW-1-Ethernet0/0.2]ip relay add 192.168.30.100

[FW-1]radius scheme abc

New Radius scheme

[FW-1-radius-abc]primary authentication 192.168.30.200

[FW-1-radius-abc]key authentication 123456

[FW-1-radius-abc]server-type extended

[FW-1-radius-abc]user-name-format without-domain

[FW-1-radius-abc]accounting optional

[FW-1-radius-abc]quit

[FW-1]domain tyedu.com

New Domain added.

[FW-1-isp-tyedu.com]radius-scheme abc

[FW-1-isp-tyedu.com]accounting optional

[FW-1-isp-tyedu.com]access-limit enable 100

SW1配置：

[Quidway]sysname SW1

[SW1]int vlan 1

[SW1-Vlan-interface1]ip add 1.1.1.1 24

[SW1-Vlan-interface1]quit

[SW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

[SW1]vlan 10                                      

[SW1-vlan10]port e1/0/10  

[SW1-vlan10]vlan 20

[SW1-vlan20]port e1/0/20

[SW1-vlan20]vlan 30

[SW1-vlan30]port e1/0/23  e1/0/24

[SW1-vlan30]quit

[SW1]int e1/0/22

[SW1-Ethernet1/0/22]port link-type trunk

[SW1-Ethernet1/0/22]port trunk permit vlan all

[SW1-Ethernet1/0/22]dis vlan

Now, the following VLAN exist(s):

1(default), 10, 20, 30

[SW1]dot1x

802.1X is enabled globally.

[SW1]int e1/0/10

[SW1-Ethernet1/0/10]dot1x

802.1X is enabled on port Ethernet1/0/10.

[SW1-Ethernet1/0/10]quit

[SW1]int e1/0/20

[SW1-Ethernet1/0/20]dot1x

802.1X is enabled on port Ethernet1/0/20.

[SW1-Ethernet1/0/20]quit

[SW1]radius scheme xxx

New Radius scheme

[SW1-radius-xxx]primary authentication 192.168.30.200

[SW1-radius-xxx]key authentication 123456

[SW1-radius-xxx]server-type huawei

[SW1-radius-xxx]user-name-format without-domain

[SW1-radius-xxx]accounting optional

[SW1-radius-xxx]quit

[SW1]domain tyedu.com

New Domain added.

[SW1-isp-tyedu.com]radius-scheme xxx

[SW1-isp-tyedu.com]accounting optional

[SW1-isp-tyedu.com]access-limit enable 100

在server2003中安裝ACS(需要先安裝JDK):

添加華為私有屬性

將h4c.ini文件拷貝到C盤(pán)根目錄下。

以下是h4c.ini文本內(nèi)容(可以直接復(fù)制保存為h4c.ini即可)

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

將華為私有屬性添加至acs安裝目錄bin下。

查看，已添加成功。

配置ACS：

配置AAA Server，服務(wù)器的key要和客戶(hù)端的key保持一致。

配置AAA Client-SW1，選擇華為私有屬性。

配置AAA Client-FW-1，選擇華為私有屬性。

查看配置。

添加兩個(gè)賬號(hào)，test1用于驗(yàn)證主機(jī)(屬于Default Group),test2用于驗(yàn)證設(shè)備(屬于Group 1)。

在測(cè)試主機(jī)中安裝H3C_8021XClient,登錄測(cè)試。

vlan 10(技術(shù)部)PC1測(cè)試結(jié)果。

vlan 20(市場(chǎng)部)PC2測(cè)試結(jié)果。

要求測(cè)試主機(jī)能telnet設(shè)備，并且賬號(hào)要經(jīng)過(guò)ACS驗(yàn)證(擁有超級(jí)管理員權(quán)限)。

首先在Network Configuration→RADIUS(Huawei)中應(yīng)用華為私有屬性。

如果測(cè)試主機(jī)想要telnet遠(yuǎn)程管理設(shè)備（SW1和FW-1),必須進(jìn)入組中把telnet打開(kāi)，并且應(yīng)用華為私有屬性。

打開(kāi)telnet

應(yīng)用華為私有屬性，并選擇管理員權(quán)限。

telnet SW1，使用test2賬號(hào)登錄，測(cè)試成功，并且具有超級(jí)管理員權(quán)限。

telnet FW-1(telnet 1.1.1.2也可進(jìn)入)，使用test2賬號(hào)登錄，測(cè)試成功，并且具有超級(jí)管理員權(quán)限。

<二>應(yīng)用MAC地址驗(yàn)證方案：

具體配置步驟：

[SW1]mac-authentication

MAC-authentication is enabled globally.

[SW1]mac-authentication authmode usernameasmacaddress usernameformat without-hyphen

[SW1]int e1/0/20

[SW1-Ethernet1/0/20]mac-authentication

MAC-authentication is enabled on port Ethernet1/0/20

[SW1-Ethernet1/0/20]int e1/0/10      

[SW1-Ethernet1/0/10]mac-authentication

MAC-authentication is enabled on port Ethernet1/0/10

[SW1-Ethernet1/0/10]quit

[SW1]dis mac-authentication int e1/0/20

Ethernet1/0/20 is link-up

 MAC address authentication  is Enabled

 Authenticate success: 1, failed: 0

 Current online user number is 1

   MAC ADDR         Authenticate state           AuthIndex

   001c-2596-2e0e   MAC_AUTHENTICATOR_SUCCESS     21

在ACS中添加測(cè)試主機(jī)的MAC地址，作為賬號(hào)和密碼。

測(cè)試主機(jī)結(jié)果：

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

分享標(biāo)題：如何進(jìn)行ACS驗(yàn)證和MAC地址綁定
本文URL：http://www.chinadenli.net/article24/gpdpje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、微信公眾號(hào)、網(wǎng)站策劃、品牌網(wǎng)站制作、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)