H3C 交換機 和windows NPS結合實現內網802.1X認證
阿新 • • 發佈:2018-06-11
NPS\802.1x環境介紹:
- windows server 2012 NPS 承擔Radius Server 角色
- Radius Client 設備型號 H3C S3100V2
由於802.1x 端口控制方式有兩種,一種是基於接口的接入控制方式(PortBased),一種是基於Mac的接入控制方式(Macbased).
NPS配置:
場景1 : 基於接口的接入控制方式(PortBased)
#Radius 方案配置 radius scheme nps primary authentication 172.16.0.108 key authentication cipher $c$3$8yT1nDhaOX53/Ekxj0Eglhgb4RQYGQ+WmNatQnuiaoM= user-name-format without-domain #域配置 domain test.com authentication login radius-scheme nps local authorization login radius-scheme nps local authentication lan-access radius-scheme nps local authorization lan-access radius-scheme nps local access-limit disable state active idle-cut disable self-service-url disable domain default enable test.com #全局啟用802.1x和認證方式 dot1x dot1x authentication-method eap #端口配置: interface Ethernet1/0/3 port access vlan 4 dot1x guest-vlan 240 dot1x auth-fail vlan 240 dot1x critical vlan 240 undo dot1x handshake dot1x mandatory-domain 51talk.com dot1x port-method portbased dot1x
認證成功時:
認證失敗(立即加如Auth-Fail Vlan)或者不認證時(90s後加入Guest Vlan):
場景2 : 基於MAC的接入控制方式(MacBased)
我們保持之前的配置不變,只將接口下802.1x的控制方式變更為MacBased,另外基於Mac需要在接口下將組播功能關閉,否則身份認證通過後,30s後
再次認證,最後認證失敗。
interface Ethernet1/0/3 port access vlan 4 dot1x guest-vlan 240 dot1x auth-fail vlan 240 dot1x critical vlan 240 undo dot1x handshake dot1x mandatory-domain 51talk.com #務必關閉組播 undo dot1x multicast-trigger dot1x
測試一下效果:
認證成功時:
一切正常。
認證失敗或者不認證時:
認證失敗時,沒有加入到對應的vlan, 沒有獲取到IP地址。
查詢H3C官網資料顯示: 基於MAC的802.1x接入控制方式,若啟用Guest VLAN,接口類型必須是hybird接口。
我們繼續測試:
H3C 交換機 和windows NPS結合實現內網802.1X認證