#原创分享#AC准入模式结合H3C交换机做802.1X认证测试分享

需求背景：

上门进行AC12.0.29准入模式版本的测试。

要求实现有线客户端采用802.1X认证，来避免存在安全风险的终端接入到内网中，导致内网受到威胁。

网络拓扑：

测试过程：

1.    AC切换到准入模式，开启802.1x认证；

2.   账号配置：这次测试配置本地用户；

3.    交换机配置802.1x对接AC（这里配置有问题，后面会讲到）；

#全局开启dot1x

dot1x authentication-method eap

dot1x retry 5

#配置radius服务器

radius scheme rad

primary authentication 200.200.***.100 #此处配置Radius服务器地址

primary accounting 200.200.***.100

key authentication 123  #配置密匙

key accounting 123

nas-ip 200.200.***.12 #此处配置交换机的ip，勿与PC的ip冲突

#配置域

domain rad.com

authencication lan-access radius-scheme rad

accounting lan-access radius-scheme rad

quit

domain default enable rad.com

#端口上应用802.1x

interface GigabitEthernet 1/0/2

dot1x

dot1x mandatory-domain rad.com #指定域，不指定匹配默认

quit

4.    交换机配置镜像口接到AC而且开启跨三层取MAC（镜像流量是为了识别流量在AC上线用户）；

5.   Windows终端选择自带的802.1x客户端或者使用准入客户端认证：

遇到问题：自带的802.1x客户端或者使用准入客户端验证测试登录时都失败了

排错：

1.在AC抓包看到与交换机之间的认证交互是正常的。判断问题原因在交换机和客户端之间。

2.在客户端PC抓包分析，看到交换机回了一个成功的包接着马上又一个失败的包。

3.最终排查到是交换机配置错误（实际是提供配置示例文档有误）

配置域的时候漏了一条命令：

#配置域

domain rad.com

authencication lan-access radius-scheme rad

authorization lan-access radius-scheme rad

accounting lan-access radius-scheme rad

这条命令和上面的非常像，唯一区别的单词都非常像，所以容易遗漏或搞错。authencication和authorization

测试结果

解决这个问题之后，最终测试802.1X登录正常，访问网站触发流量，成功在AC上线。

4.    交换机配置镜像口接到AC而且开启跨三层取MAC（镜像流量是为了识别流量在AC上线用户

这一点不是很明白，请问有兄弟讲解一下吗？
是不是一定要做，如果不做镜像流量有什么影响？

AC是不是有两条线路接入到核心？是不是一条是管理口，用于802.1x对接的，一条用于获取镜像流量？

感谢楼主分享，看到“实际是提供配置示例文档有误”吓得我赶紧去检查了下最新的文档，已经修正了！哈哈哈！
802.1X功能是最近测试比较多的（与市场主要推广有关），目前还没正式官宣，苍蝇搓手，大家先期待下。
关于交换机的配置，我们目前也是在慢慢积累中，有错误大家指出帮助我们成长。
可能很多比较冷门的交换机配置我们都没有……也是要依赖大家后面慢慢积累。
关于镜像的问题这里我说下：
如果只是做802.1X、动态vlan、非法外联、U盘管控、终端类型识别、终端安全检查等这些功能，是不需要配置镜像的；
如果需要审计行为、内容，那就要配置镜像了。

您好，感谢您参与社区原创分享计划4，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

很强大，认证很详细

不错，AAA需要配置认证、授权、计费

很强大，感谢分享。

不错不错，学习了，有机会可以尝试做一下

学习了，谢谢分享

之前做过北信源结合交换机做内网准入控制，下次我也给客户规划方案的时候加入外网AC结合交换机做准入。看来效果也不错

不错，学习了