【东北小老弟】全网AC 802.1x认证前自动推送准入客户端

主题：全网AC 做802.1x认证 对接H3C交换机实现用户认证前自动推送准入客户端

使用场景：

       用户PC有线接入网络，但是电脑未安装准入客户端，通过认证前推送客户端功能给这部分PC推送客户端，PC安装准入助手后使用助手进行1x认证接入网络

关键注意点：
       1.该方法适用于DHCP场景，静态IP场景不适用！！！

       2.交换机需要支持guest vlan 或者auth-fail vlan功能

       3.H3C交换机要实现guest vlan 功能，必须配置端口模式为port-based 配置为mac-based模式guest vlan不生效   

       4.服务器IP地址 必须跟AC任意接口同网段，但是不可以为接口IP

功能点说明：

       DNS重定向：

        实际是DNS劫持，通过DHCP下发DNS服务器，该DNS服务器地址配置在AC上，客户端发起DNS请求时流量被指向AC设备，AC设备对该DNS进行响应

        服务器IP：

         配置在AC设备上的 AC监听IP地址，该地址为分配给客户端的DHCP 地址池中的DNS服务器地址

配置步骤：

       1.AC配置802.1x功能，开启DNS重定向功能并配置IP地址

       2.H3C交换机配置802.1x --此处按1x工具配置，修改mac-based为port-based即可

       3.PC接入交换机获取IP地址并打开浏览器触发页面重定向

认证流程：

文末附交换机接口配置

配置实现：

       1.开启AC 1x功能，配置DNS服务器重定向，设定监听的IP地址，可选开启账号自注册

        

       2.配置交换机  此处图略 参照工具即可

       3.PC接入交换机并打开浏览器

交换机接口配置：

interface GigabitEthernet1/0/1

description PC

port access vlan 8                                         //业务vlan，通过认证后分配，必须DHCP

dot1x guest-vlan 5                                        //访客vlan，认证失败/前分配，必须DHCP

dot1x critical vlan 10                                    //逃生vlan，服务器不可用时分配，一般DHCP，用于放通业务

dot1x mandatory-domain sangfor_ad

dot1x port-method portbased                     //端口方式为基于端口，不可以为macbased

dot1x

dot1x unicast-trigger

dot1x attempts max-fail 1