H3C 交换机 和windows NPS结合实现内网802.1X认证（h3c官网）

H3C 交换机 和windows NPS结合实现内网802.1X认证（h3c官网）

环境介绍：

windows server 2012 NPS 承担Radius Server 角色 Radius Client 设备型号 H3C S3100V2

由于802.1x 端口控制方式有两种，一种是基于接口的接入控制方式(PortBased)，一种是基于Mac的接入控制方式(Macbased), 因此我们分开来测试。

场景1 ： 基于接口的接入控制方式(PortBased)

#Radius 方案配置 radius scheme nps primary authentication 172.16.0.108 key authentication cipher $c$3$8yT1nDhaOX53/Ekxj0Eglhgb4RQYGQ+WmNatQnuiaoM= user-name-format without-domain #域配置 domain test.com authentication login radius-scheme nps local authorization login radius-scheme nps local authentication lan-access radius-scheme nps local authorization lan-access radius-scheme nps local access-limit disable state active idle-cut disable self-service-url disable domain default enable test.com #全局启用802.1x和认证方式 dot1x dot1x authentication-method eap #端口配置： interface Ethernet1/0/3 port access vlan 4 dot1x guest-vlan 240 dot1x auth-fail vlan 240 dot1x critical vlan 240 undo dot1x handshake dot1x mandatory-domain test.com dot1x port-method portbased dot1x

场景2 ： 基于MAC的接入控制方式(MacBased)

我们保持之前的配置不变，只将接口下802.1x的控制方式变更为MacBased，另外基于Mac需要在接口下将组播功能关闭，否则身份认证通过后，30s后再次认证，最后认证失败。

interface Ethernet1/0/3 port access vlan 4 dot1x guest-vlan 240 dot1x auth-fail vlan 240 dot1x critical vlan 240 undo dot1x handshake dot1x mandatory-domain test.com #务必关闭组播 undo dot1x multicast-trigger dot1x

测试一下效果：

一切正常。

认证失败时，没有加入到对应的vlan, 没有获取到IP地址。怎么回事呢？

我们修改配置继续测试：

interface Ethernet1/0/4 port link-type hybrid undo port hybrid vlan 1 port hybrid vlan 4 240 untagged port hybrid pvid vlan 4 mac-vlan enable dot1x guest-vlan 240 dot1x auth-fail vlan 240 dot1x critical vlan 240 undo dot1x handshake dot1x mandatory-domain test.com undo dot1x multicast-trigger dot1x

最终各种测试完全符合预期。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。