802.1X认证实施项目分享

802.1X认证实施项目分享

——本文作者  连港华

第1章项目介绍

//大致说一下该项目的前期背景，比如客户是什么性质的单位、此次采购的设备内容、项目建议的要求概述等。

第2章需求调研
//客户想实现二层准入。

2.1需求收集
//客户想实现内部用户上网必须经过认证后才可以上网，没有认证的用户接入层交换机都不可以访问，内网有大量的HUB，由于HUB不支持802.1X认证，所以同一个HUB下面的用户是可以互访的，但是同一个HUB下面的用户必须都各自认证成功后才可以上网，不存在一个用认证，所有用户自动上网的情况。

第3章方案规划
//把该阶段的一系列工作成果展示出来。

3.1设备清单
//把此次交付的设备清单列出来，如：本次实施工作包含某公司AF设备2台，设备清单如下：

设备名称	设备型号	数量	用途
全网行为管理	AC	1	透明部署（13.0.7版本及以上）

        
3.2实施拓扑

第4章实施步骤
4.1在全网行为管理开启802.1X认证
802.1X认证用13.0.7版本之后，其他版本不支持客户端软件的认证
开启802.1X认证
「接入管理」-「接入认证」-「802.1X接入认证」-「802.1X入网控制」开启802.1X端口保持默认，可以更改默认端口（端口、服务器密钥和交换机配置的redius认证的端口、密钥保持一致即可），认证方式可以是本地认证，也可以是AD域账号。


「接入管理」-「终端检查」-「高级选项」，开启802.1X认证和设置准入客户端网关地址，网桥部署填写桥IP，旁路部署填写管理IP。


在接入层交换机配置802.X认证，无需在核心交换机开启802.1X认证，每个厂商配置的802.1X认证都可以在在网上搜索，如果没有的话可以找各个区域的工程师有一个工具，工具名称为：Dot1XToolnew，可以用该工具自行生成不同厂商的命令，全局下面的命令都一样，在接口下的命令需要灵活变通进行配置，可以使用来帮助，下面展示的是本次实施的华为交换机配置命令
<HUAWEI>sys                                   进入系统视图
[HUAWEI]aaa                                     进入aaa视图
[HUAWEI-aaa]authentication-scheme abc               创建aaa方案“abc”
[HUAWEI-aaa-authen-abc]authentication-mode radius     配置当前认证方案使用的认证模式
[HUAWEI-aaa-authen-abc]quit
[HUAWEI-aaa]accounting-scheme abc                  创建aaa计费方案“abc”
[HUAWEI-aaa-accounting-abc]accounting-mode radius     配置当前使用的计费模式“radius”
[HUAWEI-aaa-accounting-abc]quit
[HUAWEI-aaa]quit

步骤2：
[HUAWEI]radius-server template test                    创建radius服务器模板“test”
[HUAWEI-radius-test]radius-server authentication 200.200.130.8 1812      
设置radius服务器的认证IP地址和端口号
[HUAWEI-radius-test]radius-server accounting 200.200.130.8 1813   
设置radius服务器的计费IP地址和端口号
[HUAWEI-radius-test]radius-server shared-key cipher sangfor123   
设置接入设备与radius认证服务器的共享密钥
[HUAWEI-radius-test]quit

步骤3：
[HUAWEI]aaa                                            进入aaa视图
[HUAWEI-aaa]domain nac                                创建认证域“nac”
[HUAWEI-aaa-domain-nac]authentication-scheme abc        在域下绑定aaa认证方案“abc”
[HUAWEI-aaa-domain-nac]accounting-scheme abc           在域下绑定aaa计费方案“abc”
[HUAWEI-aaa-domain-nac]radius-server test        在认证域下绑定radius服务器模板“test”
[HUAWEI-aaa-domain-nac]quit
[HUAWEI-aaa]quit

步骤4：
[HUAWEI]domain nac                                  配置全局默认域为“nac”

步骤5:
[HUAWEI]interface GigabitEthernet 0/0/28                    进入用户接入的接口视图
[HUAWEI-GigabitEthernet0/0/28]authentication dot1x                 使用802.1X认证
[HUAWEI-GigabitEthernet0/0/28]dot1x authentication-method eap

下载客户端安装：
「接入管理」-「终端检查」-「高级选项」点击下载准入EXE安装包，进行下载安装，在本地创建用户，用登陆的账号可以成功登陆，


登陆客户端显示成功

第5章业务问题处理
5.1802.1X认证后部分网段出现不能上网的问题
1：在故障时间点分别在AC和测试的PC之间抓包，发现是华为交换机发一个断开请求的包2：通过在华为社区搜索关于802.1X的问题，根据社区的建议来做处置，查出来是交换机上少配置命令导致的
排查过程

通过dis aaa offline-record domain nac命令查看交换机的下线记录，发现大量用户下线原因是ARP detect fail

通过查询官方资料发现，导致这个问题的是由于交换机没有配置对应vlan的接口地址（客户这个交换机是vlan 200 的，但是实际只配置了vlan 100 的接口地址）导致终端不响应

交换机 vlan 接口配置


官方说明
解决方案：
方案1：配置vlan 及对应接口
[HUAWEI] interface Vlanif 200
[HUAWEI-Vlanif10] ip address 192.168.200.xxx 24

方案2：在系统视图下执行命令access-user arp-detect default将ARP探测报文的默认源IP改为0.0.0.0。
[HUAWEI] access-user arp-detect default ip-address 0.0.0.0

方案3：在系统视图下执行命令access-user arp-detect vlan指定对应vlan的ARP探测报文的源IP和源MAC地址
[HUAWEI] access-user arp-detect vlan 200 ip-address 192.168.200.xxx mac-address xxxx-xxxx-xxxx

官方给出了说明及解决方案
https://info.support.huawei.com/ ... al_offline_edesk002

感谢分享

值得学习

值得学习

回帖是美德

文章精华，感谢楼主的分享，802.1X认证是全网行为管理新增的认证模块，主要配置都是在内网交换机进行的配置，楼主将实验的经历以及过程都写得非常详细，非常棒哦，楼主将客户实验遇到的问题和自己解决的问题都输出总结供读者们参考，非常棒哦，建议楼主将802.1X认证助手的过程可以写的详细一些，文章中展现出了如何去下载，那除了这种下载方式还有其他的吗，如果没有，后续版本是否有改进~谢谢

感谢分享。

感谢楼主的分享，楼主针对在AC上怎么进行802.1x配置做了比较详细的介绍，从方案规划到AC上以及交换机上的配置都有详细介绍，以及对后续可能遇到的问题也提供了解决方法，期待楼主后续带来更多有价值的分享

太优秀了。

感谢分享