本帖最后由 魏少明明明明 于 2020-12-30 17:00 编辑
“当前已有100+用户参与分享,共计发放奖励100000+“
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=125351 ----此贴是小单位测试的结果(300人左右,是结合AC本地用户做的认证),很多问题研发在后续版本已经开始解决。预计12月中,新版本AC13会出来。
现在做的是一个大企业的准入客户端环境+踩坑点。企业用户3000以上,目前还在测,但是大体效果已经出来。
先上环境,我举例子。该项目测准入+实施,流程会很长,很多踩坑点,只能遇到一个解决一个。 建议实施802.1x前提,先让终端用户匹配准入规则,下发插件,后续使用802.1x(插件合一变成认证助手)就可以避免终端无ip装不了认证客户端
网络拓扑: 防火墙---AC(网桥模式部署)---H3堆叠核心交换机
主备防火墙: 10.8.254.1 AC: 10.8.254.220 H3核心交换机: 10.8.254.2
考虑到防火墙是出口主备,AC目前是单台,网桥部署,后续要等保3级,上AC主备。不建议采用网桥主主,即便带外管理口都不行,我是打死都不信认证助手找网关能找那么快,所以网络切换的时候,内网有线绝对会掉线很久,这里建议后续要更改网络拓扑,把AC改成路由模式做主备。)
上交换机配置
#全局开启dot1x dot1x #全局开启802.1x dot1x authentication-method eap dot1x retry 5 #配置radius服务器 radius scheme rad primary authentication 192.168.200.3 #此处配置Radius服务器地址(这里是咱们的AC地址(网桥或者路由接口地址)) primary accounting 192.168.200.3 (这里是咱们的AC地址网桥或者路由接口地址) key authentication 123 #配置密匙 key accounting 123 nas-ip 192.168.200.2 #此处配置交换机的ip,勿与PC的ip冲突
#配置域 domain rad.com authencication lan-access radius-scheme rad authorization lan-access radius-scheme rad accounting lan-access radius-scheme rad quit domain default enable rad.com #端口上应用802.1x interface GigabitEthernet 1/0/2 dot1x dot1x mandatory-domain rad.com quit
社区--自助服务--有交换机配置802.1x的新工具2.0.有分 华为和华3交换机,建议大家直接使用工具刷命令即可(MAB免认证这个亲测可以实现,待交换机判断终端为哑终端之后,在全网的AC上面--【入网用户失败,做mac免认证即可】,不用考虑下方的mac地址绑定。)。
哑终端免认证(MAB,网上根本找不到MAB,这条绑定能满足交换机免认证802.1x) 免认证,全局下 (针对哑终端如监控、打印机之类,可以手动收集MAC输入下面命令) mac-address static XXXX-XXXX-XXXX interface GigabitEthernet 1/0/1 vlan 10
---我这里选择的收集哑终端的MAC,找到交换机接口,接口下不开802解决,同时AC针对此类mac做了不需要认证。
AC上取到AD域的组织架构的基础上,开启802.1x。记得AC一定要开snmp,跨三层取mac
此处勾选了本地用户,经测试,本地用户可以正常用认证助手登录,说明交换机配置没有问题。 接下来是结合AD域做802.1x认证,直接登录发现登录失败。 经查询,必须保证域服务器是使用的是smbV1的协议,因为发现域用了smbV2协议,会导致AC入不了域(这个问题踩坑,踩坑踩了2天,看截图处理记录)
【问题描述】本地用户测试802.1x认证成功,但是用域账号测试802.1x认证失败
【处理进展】用AD域的用户名密码登录,用认证助手一直登录不成功。本地的用户名可以正常登录(说明交换机配置没有问题),排查抓包分析是AC设备加入域失败,失败原因是域控服务器用SMBv2的协议跟AC交互,但是目前AC默认只支持SMBv1的协议交互 【解决方案】
方案1:修改域控上SMB协议,把SMBv2协议改成SMBv1协议 ——经检测,AD域服务器上未开启SMB1.0协议,手动开启后解决 方案2:协调研发优化包能支持smbv2版本,具体出包时间待定,需要研发评估。
备注方案2:研发目前只是答复可能存在潜在风险,具体有哪些风险,引文是新出来的协议,目前尚未发现问题,如果我们做的优化包,可能后续会出问题,处理问题流程较长,无法保障稳定性,因此建议用SMB1.0,稳定性上是有保障的
AD域查看是否开启SMB1.0协议的命令:
问题2: 域服务器已经修改成smbV1协议,用域账号登录认证助手,提示登录失败。【问题描述】域服务器已经修改成smbV1协议,用域账号登录认证助手,提示登录失败。 【处理原因】400专家后台查看,AC的计算机名没有被解析,需要结合域的802.1x需要让域服务器上添加一条DNS的映射记录。 【解决方案】让客户的AD域的运维人员,在域服务器上面添加一条,让AC的计算机名解析成2.3.4.5 互,然后域账号登录认证助手,登录成功。
问题3:【事件描述】由于AD域服务器的操作系统版本升级至2019,已修改域服务器smbV1、也把AC加入域的名称做了解析,目前802结合域登录失败。 【事件原因】AC设备需要解析自己的计算机名,而DNS填写的是公网DNS。 【解决办法】 1、后台修改AC的主nameserver为内网DNS服务器解决。 2、跑部署模式把首DNS服务器改成内网DNS服务器解决。
总结:以上三个问题是常见目前802结合域登录不了的问题,请大家避免踩坑点。
此时认证助手能用域账号使用认证助手登录802.1x。
咱们在深入进主题(要干货),考虑大企业,客户提出要求,内网不可能全部用802.1x,当AC挂了,那内网是不是全断线。所以此时逃生vlan是必须要的。上命令(找了很久,测试OK,放心用)接口要改成混合口。 接口配置 interface GigabitEthernet1/0/1 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 102 untagged port hybrid pvid vlan 102 mac-vlan enable dot1x critical vlan 100 dot1x mandatory-domain mysoft.com.cn dot1x
实现效果: 由于802配置的ip是AC的带外管理口ip,所以可以在没有启用802的时候可以插拔管理口来验证逃生vlan。(如果在启用802的环境下,拔了网口,内网会全断,慎重操作。)
拔掉AC的带外管理口,认证助手登录失败。
网卡地址获取到逃生vlan 516 的地址10.8.16.1
建议把逃生vlan516 在AC上不需要认证,不要改成密码认证(总感觉上网很慢,可能在触发https重定向认证)
终端匹配到逃生vlan的前提下,接上网线之后,交换机能跟AC通信。不注销认证助手。终端会一直在逃生vlan下上互联网,此时认证助手会请求AC用户的在线身份,认证助手会计时AC上显示用户的在线时间,除非手动注销认证助手,才会匹配正常的802.1x的vlan认证上线。 此时核心交换机mac地址表,会对应两个ip的。AC上面也会显示两个ip对应一个mac地址,是因为交换机mac表还没更新导致,只能让交换机的校验机制把IP踢下线,更新交换机自己的mac缓存表。或者匹配AC的(无流量注销即可)
站在终端使用的角度: 客户能上互联网即可,当使用不了才会去点认证助手。建议把802的正常使用vlan36 改成密码认证,考虑接入交换机只有单台,如果接入交换机宕机的话,拿台傻瓜按上去,还能触发密码认证去上互联网。
交换机:Free ip配置 跟逃生vlan会冲突,两者功能只能二选一,请大家避免踩坑 实现效果:无论内网用户有没有用认证助手登录,都能跟内网的重要服务器/交换机通信。
接上网线,网卡获取到内网ip 10.5.36.43,(不获取地址你怎么跟你想放通的地址通信) ,经验证测试,终端ping不通在AC上显示的内网36段地址和网关地址,36.1./36.32/36.254,但能ping通我内网放通的业务服务器10.5.223.20 上命令: dot1x ead-assistant enable
V7版本交换机
dot1x ead-assistant free-ip 10.5.223.20 255.255.255.255
V5版本交换机 dot1x ead-assistant free-ip 10.5.223.20 255.255.255.255
实现效果,
暂时先分享几个关键的需求配置,目前还在实施802.1x和全网准入,感谢AC工程师2221和几位研发大哥一起解决问题。目前登记的问题还有点多,一点一点解决,以后在共享给各位。
|