2019年2月19日 星期二

HPE switch設定Radius MAC認證

HPE switch設定Radius MAC認證


5130支援兩種MAC認證,一種是Radius,另一種是local
帳號密碼支援兩種格式,一種是MAC (使用MAC同時當做帳號與密碼)
另一種是固定密碼格式(FIX),不論client的MAC為何,都使用switch上固定的一組帳號密碼
代替原本的MAC做認證


1.開啟MAC認證
[HP]mac-authentication 全域啟用MAC認證
[HPE-GigabitEthernet1/0/1]mac-authentication 端口啟用MAC認證


2.指定使用MAC認證的Client使用的認證domain
可以分別在全域啟用或是port上啟用(兩者取其一),如果沒有在port上啟用domain又有啟
用MAC認證的話,會吃全域domain的設定
mac-authentication domain tac
[HPE-GigabitEthernet1/0/1]mac-authentication domain tac


3.設定MAC認證的MAC使用格式
mac-authentication user-name-format mac-address with-hyphen/without-hyphen lowercase/uppercase
設定要不要分隔號與大小寫指定MAC認證
mac-authentication user-name-format fixed account name password cipher/simple password  
設定帳號與密碼的格式

4. 設定MAC的timer
有三種timer
offline-detect 用來設定Clinet空閒超時的間隔(時間內沒使用會被踢掉,停止計費)
quiet 用來設定client認證失敗之後,設備停止認證服務的時間間隔
server-timeout 設定switch與Radius的timeout時間,


mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }


5.設定port上允許同時接入MAC用戶數量的最大值
mac-authentication max-user user-number


6.設定radius server


[HP]radius scheme tac 進入名為tac的radius scheme
[HPE-radius-tac]primary authentication 10.15.2.100 設定驗證server的ip
[HPE-radius-tac]primary accounting 10.15.2.100設定計費server的ip
[HPE-radius-tac]key authentication simple 123456 設定驗證server的key
[HPE-radius-tac]key accounting simple 123456 設定計費server的key
[HPE-radius-tac]user-name-format without-domain 設定username的格式
(因為做MAC認證所以要使用沒有domain的格式)


7.設定domain


domain tac 進入doamin tac
authentication lan-access radius-scheme tac local
authorization lan-access radius-scheme tac local
accounting lan-access radius-scheme tac local
指定MAC認證的登入順序、radius-scheme先,再來是local

沒有留言:

張貼留言