配置环境
vlan设置:
| Vlanid | VLAN Name | Subnet |
| ————- |:————-:| —–: |
| 1 | management | 192.168.1.0/24 |
| 2 | Registration | 192.168.2.0/24 |
| 5 | Guest | 192.168.5.0/24 |
| 10 | Normal | 192.168.10.0/24 |
packetfence服务器管理地址:192.168.11.250
AD服务器管理地址:192.168.10.20
测试交换机H3C 5110:192.168.11.250
本例使用PEAP-MSCHAR v2验证方法,初始化步骤省略
配置步骤
- 将PF服务器加入测试域TS.com
Configuration—>RADIUS—>Domains页面,点击Add Domain
2. 为PF服务器添加AD域用户的认证源
Configuration—>USERS—>Sources页面,点击Add source,选择Internal—>AD
在此页面继续添加rule,点击Add rule
3. 添加认证域
Configuration—>RADIUS—>Realm页面,点击Add Realm
4. 交换机配置dot1x,开启dot1x配置省略,只附上接口配置
interface GigabitEthernet1/0/1
port link-type hybrid
port hybrid vlan 1 5 untagged
port hybrid pvid vlan 5
mac-vlan enable
stp edged-port enable
port-security max-mac-count 1
port-security port-mode userlogin-secure
port-security intrusion-mode blockmac
dot1x re-authenticate
dot1x max-user 1
dot1x guest-vlan 5
undo dot1x handshake
dot1x mandatory-domain packetfence
undo dot1x multicast-trigger
mirroring-group 1 mirroring-port both
- PF服务器添加交换机
Configuration—>NETWORK—>Switchs,Roles设置如下
这样packetfence服务器的配置就完成了。
测试
- 测试客户端选用window7的自带客户端,首先要开启有线网卡的dot1x认证,在电脑上把服务Wired AutoConfig启动。下面再配置有线网卡
- 输入域账号和密码,认证通过后,客户端分配registration vlan的地址
- 点击浏览器,打开任意网址,浏览器会自动重定向到packetfence的portal服务页,认证输入域账户和密码,认证通过会分配normal vlan地址
