网络拓扑:
H3路由器---AC(网桥模式部署)---H3核心交换机
H3路由器: *** AC: *** H3核心交换机:***
需求:实现内网用户接入“可信认证”,只有内网运维人员绑定了用户名和MAC才能认证获取IP并认证上网,不允许第三方MAC获取IP。实现效果:如果客户端(认证助手)没有输入正确的用户名和密码,交换机不会开放端口,并下发IP给终端用户。
H3交换机配置:V3的交换机版本“authorization lan-access radius-scheme rad” 敲不出来授权,可以不用敲也能认证。 H3C交换机配置示例(S5500-28C-SI) --V5版本 #全局开启dot1x dot1x #全局开启802.1x dot1x authentication-method eap dot1x retry 5 #配置radius服务器 radius scheme rad primary authentication ***#此处配置Radius服务器地址(这里是咱们的AC地址(网桥或者路由接口地址)) primary accounting *** key authentication 123 #配置密匙 key accounting 123 nas-ip *** #此处配置交换机的ip,勿与PC的ip冲突
#配置域 domain rad.com authencication lan-access radius-scheme rad authorization lan-access radius-scheme rad accounting lan-access radius-scheme rad quit domain default enable rad.com #端口上应用802.1x interface GigabitEthernet 1/0/2 dot1x dot1x mandatory-domain rad.com quit
免认证,全局下 (针对哑终端如监控、打印机之类,可以手动收集MAC输入下面命令) mac-address static XXXX-XXXX-XXXX interface GigabitEthernet 1/0/1 vlan 10
AC配置截图: 1、先做好配置“跨三层取mac” 2、开启802.1x认证
3、填写认证高级选项,针对准入客户端 4、手动导入用户和MAC,用表格 5、将已下载好的客户端,安装,输入用户名和密码即可上网。
以上是整个802.1X配置和上线过程。
踩坑点:
1、由于802.1x认证方式是采用radis服务器做认证,跟本地的protal认证的策略无关,所以不需要配置认证策略。
2、如果出现认证助手出现“无法注销”的情况,去入网用户查看,用户是以哪种身份上线的,可能是匹配到protal认证的默认策略,“不需要认证上线”,所以注销不了是正常的。避免踩坑,建议802.1x上线前,把protal认证的策略改成密码策略,这样两个认证服务器不会冲突。
3、现场测试准入客户端时遇到了很多情况,如使用的过程中“会很诡异的使用情况,使用的过程中,就是拔了网卡之后,ping不通外网正常,大概20多秒以后,接上网卡:会有两种情况,要么直接连上能上网。要么客户端直接消失了,然后点击客户端,客户端又还在累积时长。必须要重新打开客户端,手动注销认证助手重新上网才可以,不知道你们机制的检验逻辑是不是有异常”。
----根据研发的大概解释是:
1、接上USB网卡之后,能直接上网是因为刚好没有匹配到交换机的arp包的校验时间,此时在交换机上终端的MAC是在线的,所以,接上USB网卡之后能直接上网。 2、客户端闪退,拔掉USB网卡之后,刚好匹配到交换机的arp包的校验时间,此时在交换机上终端的MAC是不在线的,交换机会发送注销报文给AC,终端会上不了网,此时认证助手还是在线累计时长,会有一个1分钟和AC连接的校验机制,重复2-3次,如果2-3之后连接失败,认证助手会自己注销。 -----不好意思,时隔多天,客户又再次反馈“注销不了”,我这边又重新跟研发确认了下,认证助手是不会自动注销的,但是AC测的在线用户的登录方式1分30秒的时候会注销。详细请看我下方的测试环境及最终总结。
====================================================================
新增加一个踩坑点:客户的无线使用的是AC的Protal的密码认证+免认证,有线使用的是802.1x。
涉及到网络切换------无线切换有线的场景: 无线用的是protal认证,使用密码登录。假设一种情况,客户现在正在使用无线,AC上正常显示客户的密码认证上线,当客户接上网线,打开认证助手,此时认证助手会匹配到无线的密码认证上线的用户,必须要手动点击注销,然后在输入有线的802.1X的用户名和密码 才能重新上线。 (因为终端不可能接上网线就自动把无线用户踢下线,这场景就不符合用户使用体验了,所以必须要手动打开认证助手,注销当前用户。)
涉及到网络切换------从有线---切换无线---切换有线的场景: (客户上班用有线。开会用无线。开完会回来接上有线,发现客户端无法注销的环境)
接入有线的环境下,并用客户端正常登录802.1x的用户名和密码,此时上网正常。当拔掉网线的时候,AC侧大概1分30秒左右,用户的在线信息及认证方式会自动消失,但是客户端会一直在线并累计时长,等了30分钟,认证客户端任然在累计时长,不会自动注销( 请看下方截图一)。此时直接连接wifi,打开网页,自动跳转到密码登录认证界面,对应输入用户名和密码,无线正常上线,此时客户端没有自动注销的情况下,直接重新累计时长,并匹配到AC测的无线用户正常的登录时间。当无线使用时间累计时长在11分钟,手动点击注销客户端显示无法自动注销。此时问题就出来了。( 请看下方截图二)
截图一,右下方没有网络,认证助手不会自动注销。
截图二,拔掉有线的30分钟之后,直接用无线上网,客户端不会自动注销,客户端直接匹配了无线的上网时间,但是无法注销。
查看在线用户认证,匹配到了“无线勾选了免认证的策略”,而免认证目前在客户端还无法支持注销。看下方我跟研发对接的话术。
---最后临时的解决办法就是登陆***(不加https哈,浏览器上右上角手动注销用户),等和后续AC版本优化。
=====================================================================
针对回复的用户疑问:
“无线和有线是两张不同的网卡,mac地址都不一样,ac上应该是两个会话,这个认证助手会匹配到无线认证的上线信息,应该是客户端设计问题了,这个客户端的设计是否有点奇怪,为啥会匹配到无限的上网信息呢”
我的理解就是:“客户端会定时去准入后台查询用户是否在线,如果在线就会同步准入后台的时长信息并在客户端显示计时,假如无线上网了50分钟,然后在线入网也显示50分钟,打开认证助手,此时开始累积时长,大概会一分钟左右同步,然后认证助手会刷新到无线用户上线的50分钟是吧,即显示51分钟的逻辑。”
研发原话:
客户端存在如下逻辑: 客户端会定时去准入后台查询用户是否在线,如果在线就会同步准入后台的时长信息并在客户端显示计时
客户使用无线连接的时候,已经认证成功,客户端会同步这一信息并显示(一分钟左右同步),此时如果打开客户端,客户端会显示在线,但是此时客户并不使用客户端,因此不知道此时已经在计时了,而当客户切换到有线时,此时其实还是继续使用无线的时长,因此出现切换到有线时,看到时长是无线连接的。
==================================================================== 最终总结: 一、首先很感谢一直对接的北京研发林向东。 二、准入客户端现在还存在很多不确定因素,也跟北京的研发林向东沟通,总结出来的下方几个问题,希望对后续技服同事的测试和实施有帮助。
无线使用了密码认证+免认证 有线使用了802.1x认证。
1、在接入802.1x的有线环境下,拔掉网线,切换成无线的场景下,打开了认证助手,认证助手显示在线,并且累计时长,AC上显示用户以免认证上线,为何无法注销? 答: 正常的逻辑免认证上线是不会主动去注销的,所以如果用户主动注销,会自动把免认证的绑定关系禁用掉,免认证上线可以通过浏览器注销不能通过认证助手注销的原因是:认证助手插件跟AC有心跳流量,这个流量能触发免认证上线,如果认证助手主动注销,绑定关系禁用了但是还没下发到驱动,新的流量会触发免认证上线,导致终端又立即上线。
2、登录无线的场景下,无线切换成有线,为何认证助手会匹配到用户在线,并且累计时长 答:登录无线的情况下,PC对应的这个ip已经在AC上线,认证助手会每一分钟去请求获取本用户的在线情况。所以无线切有线需要先注销然后重新登录
3、什么时候可以实现无线准入的需求? 答: 这个版本已经在规划,具体实现发布时间要看具体版本规划。目前还不清楚
4、免认证什么时候可以支持客户端注销? 答: 这个问题已经提出13.0.9正式版本评估优化,13.0.9正式版本预计10月底发布
5、接入802.1x的时候,拔掉网线,为何认证助手不会自动注销,一直累计时长?如果拔掉网线认证助手不会自动注销,什么时候会优化? 答:这个是加了判断只有portal才会自动退出,可以优化包放开限制,但这个需要跟版本沟通当时是出自什么样场景考虑。
----我觉得第5点研发应该考虑进去,站在客户角度去考虑。拔掉网线的场景下,正常客户都会觉得断网。
| 
发表于 2023-1-29 11:05
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员2级 
