#原创分享#AC准入模式结合H3C交换机做802.1X认证测试分享
  

糊糊 96752人觉得有帮助

{{ttag.title}}
需求背景:
上门进行AC12.0.29准入模式版本的测试。
要求实现有线客户端采用802.1X认证,来避免存在安全风险的终端接入到内网中,导致内网受到威胁。
网络拓扑:
测试过程:
1.    AC切换到准入模式,开启802.1x认证;
2.   账号配置:这次测试配置本地用户;
3.    交换机配置802.1x对接AC(这里配置有问题,后面会讲到);
#全局开启dot1x
dot1x authentication-method eap
dot1x retry 5
#配置radius服务器
radius scheme rad
primary authentication 200.200.***.100 #此处配置Radius服务器地址
primary accounting 200.200.***.100
key authentication 123  #配置密匙
key accounting 123
nas-ip 200.200.***.12 #此处配置交换机的ip,勿与PCip冲突
#配置域
domain rad.com
authencication lan-access radius-scheme rad
accounting lan-access radius-scheme rad
quit
domain default enable rad.com
#端口上应用802.1x
interface GigabitEthernet 1/0/2
dot1x
dot1x mandatory-domain rad.com #指定域,不指定匹配默认

quit
4.    交换机配置镜像口接到AC而且开启跨三层取MAC(镜像流量是为了识别流量在AC上线用户);

5.   Windows终端选择自带的802.1x客户端或者使用准入客户端认证:
遇到问:自带的802.1x客户端或者使用准入客户端验证测试登录时都失败了
排错:
1.在AC抓包看到与交换机之间的认证交互是正常的。判断问题原因在交换机和客户端之间。
2.在客户端PC抓包分析,看到交换机回了一个成功的包接着马上又一个失败的包。
3.最终排查到是交换机配置错误(实际是提供配置示例文档有误)
配置域的时候漏了一条命令:
#配置域
domain rad.com
authencication lan-access radius-scheme rad
authorization lan-access radius-scheme rad
accounting lan-access radius-scheme rad
这条命令和上面的非常像,唯一区别的单词都非常像,所以容易遗漏或搞错。authencicationauthorization
测试结果
解决这个问题之后,最终测试802.1X登录正常,访问网站触发流量,成功在AC上线。

打赏鼓励作者,期待更多好文!

打赏
14人已打赏

ID404 发表于 2019-11-6 23:04
  
4.    交换机配置镜像口接到AC而且开启跨三层取MAC(镜像流量是为了识别流量在AC上线用户

这一点不是很明白,请问有兄弟讲解一下吗?
是不是一定要做,如果不做镜像流量有什么影响?

AC是不是有两条线路接入到核心?是不是一条是管理口,用于802.1x对接的,一条用于获取镜像流量?
Sangfor_95899 发表于 2019-11-13 20:16
  
感谢楼主分享,看到“实际是提供配置示例文档有误”吓得我赶紧去检查了下最新的文档,已经修正了!哈哈哈!
802.1X功能是最近测试比较多的(与市场主要推广有关),目前还没正式官宣,苍蝇搓手,大家先期待下。
关于交换机的配置,我们目前也是在慢慢积累中,有错误大家指出帮助我们成长。
可能很多比较冷门的交换机配置我们都没有……也是要依赖大家后面慢慢积累。
关于镜像的问题这里我说下:
如果只是做802.1X、动态vlan、非法外联、U盘管控、终端类型识别、终端安全检查等这些功能,是不需要配置镜像的;
如果需要审计行为、内容,那就要配置镜像了。
Sangfor_闪电回_朱丽 发表于 2019-11-4 14:25
  
您好,感谢您参与社区原创分享计划4,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
feeling 发表于 2019-11-4 23:14
  
很强大,认证很详细
钉子户 发表于 2019-11-6 14:03
  
不错,AAA需要配置认证、授权、计费
pubh 发表于 2019-11-6 20:41
  
很强大,感谢分享。
Mr_Fx 发表于 2019-11-7 09:09
  
不错不错,学习了,有机会可以尝试做一下
新手379206 发表于 2019-11-7 09:30
  

11.11社区也狂欢 +11 S豆 详情>

学习了,谢谢分享
zhb 发表于 2019-11-7 10:30
  
之前做过北信源结合交换机做内网准入控制,下次我也给客户规划方案的时候加入外网AC结合交换机做准入。看来效果也不错
pubh 发表于 2019-11-7 12:39
  

11.11社区也狂欢 +11 S豆 详情>

不错,学习了
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
314
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人