全网13.0.7(准入客户端--认证助手)H3交换机实现802.1x认证
  

魏少明明明明 3271112人觉得有帮助

{{ttag.title}}
网络拓扑:
H3路由器---AC(网桥模式部署)---H3核心交换机

H3路由器:       ***
AC:                  ***
H3核心交换机:***

需求:实现内网用户接入“可信认证”,只有内网运维人员绑定了用户名和MAC才能认证获取IP并认证上网,不允许第三方MAC获取IP。实现效果:如果客户端(认证助手)没有输入正确的用户名和密码,交换机不会开放端口,并下发IP给终端用户。

H3交换机配置:V3的交换机版本“authorization lan-access radius-scheme rad” 敲不出来授权,可以不用敲也能认证。
H3C交换机配置示例(S5500-28C-SI) --V5版本
#全局开启dot1x
dot1x #全局开启802.1x
dot1x authentication-method eap
dot1x retry 5
#配置radius服务器
radius scheme rad
primary authentication ***#此处配置Radius服务器地址(这里是咱们的AC地址(网桥或者路由接口地址))
primary accounting ***
key authentication 123  #配置密匙
key accounting 123
nas-ip *** #此处配置交换机的ip,勿与PCip冲突

#配置域
domain rad.com
authencication lan-access radius-scheme rad
authorization lan-access radius-scheme rad
accounting lan-access radius-scheme rad
quit
domain default enable rad.com
#端口上应用802.1x
interface GigabitEthernet 1/0/2
dot1x
dot1x mandatory-domain rad.com
quit


免认证,全局下 (针对哑终端如监控、打印机之类,可以手动收集MAC输入下面命令)
mac-address static XXXX-XXXX-XXXX interface GigabitEthernet 1/0/1 vlan 10

AC配置截图:
1、先做好配置“跨三层取mac”
2、开启802.1x认证

3、填写认证高级选项,针对准入客户端
4、手动导入用户和MAC,用表格
5、将已下载好的客户端,安装,输入用户名和密码即可上网。


以上是整个802.1X配置和上线过程。

踩坑点:
1、由于802.1x认证方式是采用radis服务器做认证,跟本地的protal认证的策略无关,所以不需要配置认证策略。
2、如果出现认证助手出现“无法注销”的情况,去入网用户查看,用户是以哪种身份上线的,可能是匹配到protal认证的默认策略,“不需要认证上线”,所以注销不了是正常的。避免踩坑,建议802.1x上线前,把protal认证的策略改成密码策略,这样两个认证服务器不会冲突。
3、现场测试准入客户端时遇到了很多情况,如使用的过程中“会很诡异的使用情况,使用的过程中,就是拔了网卡之后,ping不通外网正常,大概20多秒以后,接上网卡:会有两种情况,要么直接连上能上网。要么客户端直接消失了,然后点击客户端,客户端又还在累积时长。必须要重新打开客户端,手动注销认证助手重新上网才可以,不知道你们机制的检验逻辑是不是有异常”。
----根据研发的大概解释是:
1、接上USB网卡之后,能直接上网是因为刚好没有匹配到交换机的arp包的校验时间,此时在交换机上终端的MAC是在线的,所以,接上USB网卡之后能直接上网。
2、客户端闪退,拔掉USB网卡之后,刚好匹配到交换机的arp包的校验时间,此时在交换机上终端的MAC是不在线的,交换机会发送注销报文给AC,终端会上不了网,此时认证助手还是在线累计时长,会有一个1分钟和AC连接的校验机制,重复2-3次,如果2-3之后连接失败,认证助手会自己注销。
-----不好意思,时隔多天,客户又再次反馈“注销不了”,我这边又重新跟研发确认了下,认证助手是不会自动注销的,但是AC测的在线用户的登录方式1分30秒的时候会注销。详细请看我下方的测试环境及最终总结。

====================================================================
新增加一个踩坑点:客户的无线使用的是AC的Protal的密码认证+免认证,有线使用的是802.1x。
涉及到网络切换------无线切换有线的场景:
无线用的是protal认证,使用密码登录。假设一种情况,客户现在正在使用无线,AC上正常显示客户的密码认证上线,当客户接上网线,打开认证助手,此时认证助手会匹配到无线的密码认证上线的用户,必须要手动点击注销,然后在输入有线的802.1X的用户名和密码 才能重新上线。    (因为终端不可能接上网线就自动把无线用户踢下线,这场景就不符合用户使用体验了,所以必须要手动打开认证助手,注销当前用户。)

涉及到网络切换------从有线---切换无线---切换有线的场景:  (客户上班用有线。开会用无线。开完会回来接上有线,发现客户端无法注销的环境)
接入有线的环境下,并用客户端正常登录802.1x的用户名和密码,此时上网正常。当拔掉网线的时候,AC侧大概1分30秒左右,用户的在线信息及认证方式会自动消失,但是客户端会一直在线并累计时长,等了30分钟,认证客户端任然在累计时长,不会自动注销(请看下方截图一)。此时直接连接wifi,打开网页,自动跳转到密码登录认证界面,对应输入用户名和密码,无线正常上线,此时客户端没有自动注销的情况下,直接重新累计时长,并匹配到AC测的无线用户正常的登录时间。当无线使用时间累计时长在11分钟,手动点击注销客户端显示无法自动注销。此时问题就出来了。(请看下方截图二

截图一,右下方没有网络,认证助手不会自动注销。

截图二,拔掉有线的30分钟之后,直接用无线上网,客户端不会自动注销,客户端直接匹配了无线的上网时间,但是无法注销。

查看在线用户认证,匹配到了“无线勾选了免认证的策略”,而免认证目前在客户端还无法支持注销。看下方我跟研发对接的话术。


---最后临时的解决办法就是登陆***(不加https哈,浏览器上右上角手动注销用户),等和后续AC版本优化。

=====================================================================
针对回复的用户疑问:
“无线和有线是两张不同的网卡,mac地址都不一样,ac上应该是两个会话,这个认证助手会匹配到无线认证的上线信息,应该是客户端设计问题了,这个客户端的设计是否有点奇怪,为啥会匹配到无限的上网信息呢”

我的理解就是:“客户端会定时去准入后台查询用户是否在线,如果在线就会同步准入后台的时长信息并在客户端显示计时,假如无线上网了50分钟,然后在线入网也显示50分钟,打开认证助手,此时开始累积时长,大概会一分钟左右同步,然后认证助手会刷新到无线用户上线的50分钟是吧,即显示51分钟的逻辑。”

研发原话:
客户端存在如下逻辑:
客户端会定时去准入后台查询用户是否在线,如果在线就会同步准入后台的时长信息并在客户端显示计时

客户使用无线连接的时候,已经认证成功,客户端会同步这一信息并显示(一分钟左右同步),此时如果打开客户端,客户端会显示在线,但是此时客户并不使用客户端,因此不知道此时已经在计时了,而当客户切换到有线时,此时其实还是继续使用无线的时长,因此出现切换到有线时,看到时长是无线连接的。


====================================================================
最终总结:
一、首先很感谢一直对接的北京研发林向东。
二、准入客户端现在还存在很多不确定因素,也跟北京的研发林向东沟通,总结出来的下方几个问题,希望对后续技服同事的测试和实施有帮助。

无线使用了密码认证+免认证    有线使用了802.1x认证。

1、在接入802.1x的有线环境下,拔掉网线,切换成无线的场景下,打开了认证助手,认证助手显示在线,并且累计时长,AC上显示用户以免认证上线,为何无法注销?
答: 正常的逻辑免认证上线是不会主动去注销的,所以如果用户主动注销,会自动把免认证的绑定关系禁用掉,免认证上线可以通过浏览器注销不能通过认证助手注销的原因是:认证助手插件跟AC有心跳流量,这个流量能触发免认证上线,如果认证助手主动注销,绑定关系禁用了但是还没下发到驱动,新的流量会触发免认证上线,导致终端又立即上线。

2、登录无线的场景下,无线切换成有线,为何认证助手会匹配到用户在线,并且累计时长
答:登录无线的情况下,PC对应的这个ip已经在AC上线,认证助手会每一分钟去请求获取本用户的在线情况。所以无线切有线需要先注销然后重新登录

3、什么时候可以实现无线准入的需求?
答: 这个版本已经在规划,具体实现发布时间要看具体版本规划。目前还不清楚

4、免认证什么时候可以支持客户端注销?
答: 这个问题已经提出13.0.9正式版本评估优化,13.0.9正式版本预计10月底发布

5、接入802.1x的时候,拔掉网线,为何认证助手不会自动注销,一直累计时长?如果拔掉网线认证助手不会自动注销,什么时候会优化?
答:这个是加了判断只有portal才会自动退出,可以优化包放开限制,但这个需要跟版本沟通当时是出自什么样场景考虑。

----我觉得第5点研发应该考虑进去,站在客户角度去考虑。拔掉网线的场景下,正常客户都会觉得断网。

打赏鼓励作者,期待更多好文!

打赏
34人已打赏

Sangfor_闪电回_朱丽 发表于 2020-9-27 11:59
  
感谢楼主带来的干货分享,已将文章收录并放到社区技术博客中,以便让更多的用户关注和学习!

社区有奖征文活动【原创分享计划】已开启,赶快投稿,领S豆和现金包!具体内容要求和奖励规则请参考:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=120679
野子文w 发表于 2020-9-27 15:06
  
学习了
sxfusr 发表于 2020-9-27 16:00
  
打卡学习
chaogehaha 发表于 2020-9-29 15:04
  

打卡学习
新手528846 发表于 2020-10-3 08:18
  
学习了
TCN 发表于 2020-10-6 08:21
  
感谢分享
angelccn 发表于 2020-10-6 08:22
  
打卡学习
zhao_HN 发表于 2020-10-6 08:22
  
学习一下
秋水伊人 发表于 2020-10-6 08:58
  
好详细,学习了
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
318
355

发帖

粉丝

关注

7
21
6

发帖

粉丝

关注

5
8
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人