本帖最后由 杨品 于 2022-10-19 16:32 编辑
环境拓扑: 一、需求说明: ①、客户想让所有电脑有线接入内网时,都需要通过802.1x认证才能访问内网资源,否则不允许访问内网任何资源,甚至上网。
二、环境说明: ①、AF路由模式部署,AF的LAN区域下联AC网桥的WAN口,DMZ区域接AD域服务器; ②、AC单网桥模式部署,配置和AF的LAN口以及H3C核心交换机上联口同网段地址作为网桥管理地址;内网也可以使用虚拟地址 https://1.1.1.3管理; ③、H3C华三三层核心交换机和HUAWEI华为二层接入交换机,需支持配置vlan,trunk,vlanif,Guest vlan,Escape vlan等(数通知识不明白找度娘,或者社区有【红茶三杯】网络基础学习视频(知识库---深信服在线课堂{搜索:红茶})
三、AC配置截图: 使用AC802.1x认证的前提条件:PC接入开启802.1x认证交换机的接口,连接有线网络后需要获取到能和AC以及AD域通信的地址,否则加过域的电脑本地域用户凭证失效时,将导致电脑无法解锁屏幕,而非域用户又无法提交域内的用户名和密码给AC找AC数据库校验将导致认证失败,所以需要在接入交换机测开启Guest vlan功能,能给域用户电脑接入网络时提供一个临时的Guest vlan和AD域通信,让其PC可以正常解锁屏幕;能给非域用户电脑接入网络时提供一个临时的Guest vlan找AC做重定向,而且这个Guest vlan所下发的DNS需要是与AC自身的IP地址同网段的IP,并且这个网段的IP在AC上已接入网络中才行,即这个Guest vlan所下发的DNS的IP是如下图所示的服务器IP地址(Guest vlan的DHCP下发的DNS需要写俩个,AD域解析一个,和这里的一个)。
①、网络配置截图;
②、802.1x配置截图说明: Ⅰ、Radius认证端口1812计费端口1813这里一定不要改,但是有一种情况需要修改portal认证里面的联动对接radius服务器端口,就是这俩个位置都开启的情况下,刚好端口又冲突了,就要修改联动对接里的Radius服务器端口了,一定不要修改802.1x的端口。
Ⅱ、勾选账户密码认证---认证服务器勾选--本地密码(需要去接入管理--本地组/用户--新建用户组--添加用户)【这里添加的用户是方便访客使用的,给非域内PC认证使用】; 勾选认证方式---AD域单点登录(如果没有配置对接AD域需要先配置对接AD域--点击:去配置,此处对接的是微软的AD域)。
Ⅲ、这个802.1x认证前重定向提醒开不开取决于终端环境有无安装准入插件,建议配置一下(虽然准入插件可以提前安装,比如:AD域推送,,AC重定向推送,卓管推送等等,但是难免有推送失败或者安装失败的)。
Ⅳ、终端环境情况: 终端环境情况一:终端没有安装准入插件也不是域用户,需要开。 1、非域用户接入开启802.1认证的交换机接口因为提交不了域内用户名给AC找AD域校验,所以获取不到业务vlan,需要先获取Guest vlan拿到可以通AC的IP地址和DNS(这里的DNS就是802.1x认证前重定向处填写的服务器IP地址),终端打开web点击网页将重定向到准入客户端下载位置,进行插件下载安装操作,然后通过手动在认证助手客户端(开启802.1x后下载的准入插件自带一个客户端软件)内输入本地用户账户密码完成802.1x认证上线,最后在获取正常的业务vlan或者访客vlan进行上网;
终端环境情况二:终端没有安装准入插件是域用户,需要开。 1、同情况一,这里虽然你是域用户,但是AC检测终端没有准入插件,所以还是会给你重定向到准入插件下载位置,下载安装完之后,重启或者注销当前域用户,重新完成屏幕解锁操作,准入助手主动提取账户名和密码(省去中间802.1x单点登录认证流程);
终端环境情况三:终端安装了准入插件不是域用户,不需要开。 1、因为安装了准入插件,所以首先你会获取Guest vlan能和AC通信,手动在准入助手输入本地账户密码认证上线即可(默认输入正确账户密码,省去中间PC到交换机,交换机传输用户名到AC,AC找数据库校验过程),认证上线后也会根据交换机配置规则获取对应的业务vlan或者访客vlan;
终端环境情况四:终端安装了准入插件也是域用户,不需要开。 1、这种情况只要电脑接入网络,先根据交换机配置规则获取Guest vlan和AC以及AD域通信,完成屏幕解锁登进去后,同情况二后续,准入助手提取用户名和密码(以上排除多网卡情况,排除准入插件版本问题,排除交换机网络问题)。
Ⅴ、802.1x逃生配置,这里建议选择自动逃生即可。
四、交换机配置
1、交换机配置遵循对应厂商的配置案例,或者下载深信服社区的802.1x脚本工具(首页---自助服务---常用工具)
五、对接部署完成后验证效果 |