【AC】802.1x对接H3C无线

感谢分享，有助于工资和学习！

感谢分下，有助于工资和学下！

感谢分享，有助于工作和学习。

一起来学习，一起来学习

项目背景：

        AC作为802.1x无线认证的radius服务器，对接H3C AC无线控制器（该实例为AC网桥部署，多网桥请使用带外管理）

全局开启dot1x：

dot1x

dot1x authentication-method eap //dot1x认证模式

dot1x ead-assistant enable //H3C的EAD部署，有可能只有对接他们的自己平台的时候有用

dot1x ead-assistant free-ip [ACIP]

WLAN无线模板：

//wlan Server-template创建多个绑定到一个ssid下面，用于配合AC的vlan下发

wlan service-template 1

ssid [SSID]

vlan 1050

client forwarding-location ap

fail-permit enable

akm mode dot1x

cipher-suite ccmp

security-ie rsn

client-security authentication-mode dot1x

client-security authentication critical-vlan 1048

dot1x domain 802.1x

service-template enable

Radius服务器模板：

radius scheme radius-802.1x

primary authentication [ACIP] key cipher $c$3$7Q+5eMhsthRkLdnHwVqgtIe8579FaQfnaZA=

primary accounting [ACIP] key cipher $c$3$JRWa5WhZZ5Nw+9NpZHSAlsjsipQpQE1Ai4g=

key authentication cipher $c$3$lRHie/Hr7aQq+w0BmQAD0hR41i6HO0dUmLQ=

key accounting cipher $c$3$nY3YZpf6QdKGr6oM6iaIi39mVgCmh2J7VTQ=

user-name-format without-domain

nas-ip 10.255.2.80 //通过该IP向AC发包

domain 802.1x

authentication lan-access radius-scheme radius-802.1x none

authorization lan-access radius-scheme radius-802.1x none

accounting lan-access radius-scheme radius-802.1x none

强制下线功能：

radius dynamic-author server  //使用CoA/DM功能，后面不需要加key之类的参数

client ip 10.255.0.10

AC基础正常配置即可

注意点：

        1、如果开启跨三层取MAC，需要将交换机与AC互联网口的MAC排除掉。否则会出现802.1x不认证，直接去匹配portal认证的情况！！！！

        2、针对于认证助手，寻找网关的方式，建议是自动寻找网关。他会请求AC的2.3.4.5的80端口取获取认证信息。如果出现用户已经上线，但是认证助手无法显示上线的情况，可以找到插件的ingress.exe的安装路径找到zrclient进行修改寻找网关的方式（参考案例https://support.sangfor.com.cn/c ... mp;category_id=9461）

如果有兄弟能测试出来无线EAP逃生的话，可以评论区发下命令