【原】没有RADIUS服务器 怎么配置H3c交换机802.1x用户认证

H3CE126A802.1x认证简单配置 

1.按照交换机配置IP地址

2.在SW1所有连接PC的接口上配置开启802.1X验证，使接入的终端需要进行身份验证

3.创建一个用户身份验证的用户。用户名，密码。

4. pc上ping网关ip地址，，或在交换机上ping每台pc的ip地址看是否通。

查看system域   查看system域

5.创建一个端口隔离组，实现三台PC无法互相访问

在SW1上开启802.1X身份验证

创建一个用户身份验证的用户

创建一个端口隔离组，实现三台PC无法互相访问

验证

dot1x authentication-method eap /默认是chap认证，当时在客户的环境中使用的是默认的chap认证，但是802.1x不通过，改成eap认证就好了/

没有RADIUS服务器  怎么配置H3c交换机802.1x用户认证

IEEE 802.1X标准定义了基于客户端和服务器的访问控制和身份验证协议

dot1x authentication-method eap  /*默认是chap认证，当时在客户的环境中使用的是默认的chap认证，但是802.1x不通过，改成eap认证就好了*/

interface GigabitEthernet1/0/1

 port access vlan 196

 dot1x

 dot1x mandatory-domain aaa

radius scheme bj_radius

 primary authentication 12.2.0.5

 primary accounting 12.2.0.5

 secondary authentication 12.2.0.6

 secondary authentication 12.2.0.1

 secondary accounting 12.2.0.6

 secondary accounting 12.2.0.1

 key authentication simple bjfh10.2.0.0

 key accounting simple bjfh10.2.0.0

 user-name-format without-domain

 nas-ip 12.2.8.20

 quit

domain aaa  

 authentication lan-access radius-scheme bj_radius none 

 authorization lan-access radius-scheme bj_radius none

 accounting lan-access radius-scheme bj_radius none

 quit

domain default enable aaa

Radius服务器的设置请参考文档

H3C交换机结合深信服AC做802.1x认证http://www.taodudu.cc/news/show-5120116.html?action=onClick
H3C设备-802.1X认证配置https://zhuanlan.zhihu.com/p/454520866
H3C设备-802.1X 配置https://www.h3c.com/cn/d_202202/1552656_30005_0.htm
H3C交换机 典型配置举例-6W100https://www.h3c.com/cn/d_201312/807766_30005_0.htm
配置802.1X接入模板 - S1720, S2700, S5700, S6720https://support.huawei.com/enterprise/zh/doc/EDOC1000178159/31e20da8
华三无线控制器配置802.1X认证https://blog.csdn.net/m0_54768192/article/details/127827293
802.1x认证的具体配置过程https://www.ngui.cc/el/732744.html?action=onClick
H3CE126A802.1x认证简单配置https://wenku.baidu.com/view/cab93db175a20029bd64783e0912a21614797fca.html?_wkts_=1693205185395&bdQuery=H3CE126A802.1x%E8%AE%A4%E8%AF%81%E7%AE%80%E5%8D%95%E9%85%8D%E7%BD%AE
H3C用户入网配置（radius、domain、802.1x）https://codeleading.com/article/61145495685/

配置802.1X接入模板https://support.huawei.com/enterprise/zh/doc/EDOC1000178159/31e20da8

一、组网拓扑

二、组网需求

Client(192.168.10.100)通过 SW1的端口GE1/0/1 接入网络，SW1对该端口接入的用户Client(192.168.10.100)进行 802.1X认证以控制其访问 Internet，具体要求如下：

1、RADIUS 服务器旁路部署，其 IP 地址为 172.16.1.100 作为认证/计费服务器。

2、 端口GE1/0/1 下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

3、 认证时，首先进行 RADIUS 认证，如果 RADIUS 服务器没有响应则进行本地认证。

4、所有接入用户都属于同一个 ISP 域gzga。

5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。

三、配置实现

1、核心交换机SW1配置

（1）接口IP地址配置

interface Vlan-interface10

ip address 192.168.10.1 255.255.255.0

#

interface Vlan-interface20

ip address 172.16.1.1 255.255.255.0

#

interface Vlan-interface1000

ip address 10.1.1.2 255.255.255.252

（2）配置本地用户

# 添加网络接入类本地用户，用户名为admin，密码为明文输入的 admin123。（此处添加的本地

用户的用户名和密码需要与服务器端配置的用户名和密码保持一致，本例中的 admin 仅为示例，

请根据实际情况配置）

#

local-user admin class network

password cipher admin123

service-type lan-access # 配置本地用户的服务类型为 lan-access

#

(3)配置 RADIUS 方案

#

radius scheme radius1 # 创建 RADIUS 方案 radius1

primary authentication 172.16.1.100 #配置主认证radius服务器

primary accounting 172.16.1.100 #配置主计费radius服务器

key authentication cipher h3c@123 #配置SW1与认证radius服务器交互报文共享秘钥

key accounting cipher h3c@123 #配置SW1与计费radius服务器交互报文共享秘钥

user-name-format without-domain #发送给radius服务器的用户名不带域名

nas-ip 172.16.1.1

#

(4) 配置 ISP 域

#创建域 gzga并进入其视图

domain name gzga

# 配置 802.1X 用户使用 RADIUS 方案 radius1 进行认证、授权、计费，并采用 local 作为备选方法

authentication lan-access radius-scheme radius1 local

authorization lan-access radius-scheme radius1 local

accounting lan-access radius-scheme radius1 local

(5) 配置 802.1X

interface GigabitEthernet1/0/1

port link-mode bridge

port access vlan 10

combo enable fiber

dot1x # 开启端口 的802.1X

dot1x port-method macbased #配置端口的 802.1X 接入控制方式为 mac-based（该配置可选，因为端口的接入控制在缺省情况下就是基于 MAC 地址的）

dot1x mandatory-domain gzga # 指定端口上接入的 802.1X 用户使用强制认证域 gzga

(6)全局开启802.1X

dot1x

(7)配置默认路由

ip route-static 0.0.0.0 0 10.1.1.1

2、出口路由配置R1配置

#

interface GigabitEthernet0/0

port link-mode route

combo enable copper

ip address 10.1.1.1 255.255.255.252

#

interface GigabitEthernet0/1

port link-mode route

combo enable copper

ip address 200.1.1.2 255.255.255.0

nat outbound 3000

#

acl number 3000 name NAT_ACL

description NAT_ACL

rule 0 permit ip source 192.168.10.0 0.0.0.255

#

ip route-static 0.0.0.0 0 200.1.1.1

ip route-static 192.168.10.0 24 10.1.1.2

#

3、Internet路由器R2配置

#

interface LoopBack0

ip address 100.1.1.1 255.255.255.255

#

interface GigabitEthernet0/0

port link-mode route

combo enable copper

ip address 200.1.1.1 255.255.255.0

四、工具软件准备及网卡桥接

1、工具软件

（1）802.1x客户端：iNode智能客户端；

（2）RADIUS 认证服务器：WinRadius。

2、网卡桥接

（1）SW1的GE1/0/1桥接到虚拟机网卡“本地连接3”，模拟Client（192.168.10.100）；

（2）SW1的GE1/0/4桥接到虚拟机网卡“本地连接4”，模拟Radius Server(172.16.1.100)；

五、配置Radius Server

1、打开WinRadius软件，点击"设置">"系统"配置NAS秘钥：h3c@123，认证端口1812，计费端口1813；

2、点击"操作">"添加账号"创建账号：admin，密码：admin123,并填写其他用户信息(可选)；

六、模拟802.1X认证登录

1、打开iNode智能客户端，输入用户名:admin,密码：admin123,点击"连接",连接成功则表示认证通过，如下图所示；

2、登录WinRadius软件，查看用户认证数据，看是否认证成功；

3、采用ping测试模拟PC上互联网，以192.168.10.100作为源地址，常ping互联网上的100.1.1.1，如下图所示；

4、交换机SW1上的用户802.1X认证日志；

5、使用命令 display dot1x interface 可以查看端口GE1/0/1 上的 802.1X 的配置情况。当 802.1X 用户输入正确的用户名和密码成功上线后，可使用命令 display dot1x connection查看到上线用户的连接情况。

<SW1>display dot1x interface GigabitEthernet 1/0/1

Global 802.1X parameters:

802.1X authentication : Enabled

CHAP authentication : Enabled

Max-tx period : 30 s

Handshake period : 15 s

Quiet timer : Disabled

Quiet period : 60 s

Supp timeout : 30 s

Server timeout : 100 s

Reauth period : 3600 s

Max auth requests : 2

SmartOn supp timeout : 30 s

SmartOn retry counts : 3

EAD assistant function : Disabled

EAD timeout : 30 min

Domain delimiter : @

Online 802.1X wired users : 1

GigabitEthernet1/0/1 is link-up

802.1X authentication : Enabled

Handshake : Enabled

Handshake reply : Disabled

Handshake security : Disabled

Unicast trigger : Disabled

Periodic reauth : Disabled

Port role : Authenticator

Authorization mode : Auto

Port access control : MAC-based

Multicast trigger : Enabled

Mandatory auth domain : gzga

Guest VLAN : Not configured

Auth-Fail VLAN : Not configured

Critical VLAN : Not configured

Critical voice VLAN : Disabled

Re-auth server-unreachable : Logoff

Max online users : 4294967295

SmartOn : Disabled

Max Attempts Fail Number : 0

Send Packets Without Tag : Disabled

EAPOL packets: Tx 1078, Rx 1057

Sent EAP Request/Identity packets : 716

EAP Request/Challenge packets: 121

EAP Success packets: 121

EAP Failure packets: 120

Received EAPOL Start packets : 121

EAPOL LogOff packets: 121

EAP Response/Identity packets : 694

EAP Response/Challenge packets: 121

Error packets: 0

Online 802.1X users: 1

MAC address Auth state

0200-4c4f-4f50 Authenticated #认证MAC地址及认证状态

<SW1>

<SW1>dis dot1x connection

Slot ID: 1

User MAC address: 0200-4c4f-4f50 #认证MAC

Access interface: GigabitEthernet1/0/1 #接入接口

Username: admin #用户名

Authentication domain: gzga #认证所属域

Authentication method: CHAP #认证方法

Initial VLAN: 10

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Termination action: N/A

Session timeout period: 9999999 s

Online from: 2022/01/07 17:29:38

Online duration: 0h 0m 18s

Total connections: 1

<SW1>

~~~~~~~~

H3C交换机结合深信服AC做802.1x认证

       这里介绍H3C接入交换机结合深信服的AC设备做802.1x认证，深信服设备做认证服务器，H3C交换机做NAS客户端。深信服的AC做准入的认证方式只能支持eap协议。

深信服认证采用本地账号

1、配置深信服AC的802.1x认证：

AC设备地址是192.168.1.94；Radius服务器共享密钥"a123456"

2、创建本地账号：

两个本地账号的密码都是"123456"

3、配置交换机的dot1x认证：

[H3C]dot1x
[H3C]dot1x authentication-method eap    #深信服做服务器端只能支持eap
[H3C]dot1x retry 3           #认证多少次不通过时认为认证失败
[H3C]radius scheme sangfor         #配置radius方案
[H3C-radius-sangfor]primary authentication 192.168.1.94      #深信服AC地址
[H3C-radius-sangfor]primary accounting 192.168.1.94
[H3C-radius-sangfor]key authentication a123456        #共享密钥
[H3C-radius-sangfor]key accounting a123456
[H3C-radius-sangfor]nas-ip 192.168.1.2       #发给服务器认证时使用的源地址，此地址需要和服务器能通，交换机地址
[H3C-radius-sangfor]quit
[H3C]
[H3C]domain sangfor.local      #配置认证域
[H3C-isp-sangfor.local]authentication lan-access radius-scheme sangfor      #授权lan-access资源即可
[H3C-isp-sangfor.local]authorization lan-access radius-scheme sangfor
[H3C-isp-sangfor.local]accounting lan-access radius-scheme sangfor
[H3C-isp-sangfor.local]quit
[H3C]
[H3C]interface Ethernet 1/0/1        #开启端口的dot1x认证
[H3C-Ethernet1/0/1]dot1x
[H3C-Ethernet1/0/1]dot1x mandatory-domain sangfor.local
[H3C-Ethernet1/0/1]quit

4、下载深信服准入客户端并开启dot1x认证，安装测试：



5、免认证：

[H3C]mac-address static 000c-2930-ca52 interface Ethernet 1/0/1 vlan 1

深信服认证采用AD域账号

1、修改认证方式为AD域控，并加入域"mynet.top"：

2、配置交换机的dot1x认证：

[H3C]dot1x
[H3C]dot1x authentication-method eap    #深信服做服务器端只能支持eap
[H3C]dot1x retry 3           #认证多少次不通过时认为认证失败
[H3C]radius scheme sangfor         #配置radius方案
[H3C-radius-sangfor]primary authentication 192.168.1.94      #深信服AC地址
[H3C-radius-sangfor]primary accounting 192.168.1.94
[H3C-radius-sangfor]key authentication a123456        #共享密钥
[H3C-radius-sangfor]key accounting a123456
[H3C-radius-sangfor]nas-ip 192.168.1.2       #发给服务器认证时使用的源地址，此地址需要和服务器能通，交换机地址
[H3C-radius-sangfor]quit
[H3C]
[H3C]domain mynet.top
[H3C-isp-mynet.top]authentication lan-access radius-scheme sangfor
[H3C-isp-mynet.top]authorization lan-access radius-scheme sangfor
[H3C-isp-mynet.top]accounting lan-access radius-scheme sangfor
[H3C-isp-mynet.top]quit
[H3C]
[H3C]interface Ethernet 1/0/1
[H3C-Ethernet1/0/1]dot1x     
[H3C-Ethernet1/0/1]dot1x mandatory-domain mynet.top
[H3C-Ethernet1/0/1]quit

3、认证成功如下：

[H3C]
%Apr 26 15:17:18:809 2000 H3C RDS/6/RDS_SUCC: -IfName=Ethernet1/0/1-VlanId=1-MACAddr=B0:0C:D1:6B:C7:71-IPAddr=N/A-IPv6Addr=N/A-UserName=SANGFORCLIENT张飞@mynet.top; User got online successfully.
[H3C]

4、免认证：

[H3C]mac-address static 000c-2930-ca52 interface Ethernet 1/0/1 vlan 1