H3C 交换机 和windows NPS结合实现内网802.1X认证

环境介绍:

  1. windows server 2012 NPS 承担Radius Server 角色
  2. Radius Client 设备型号 H3C S3100V2

由于802.1x 端口控制方式有两种,一种是基于接口的接入控制方式(PortBased),一种是基于Mac的接入控制方式(Macbased).

NPS配置:

场景1 : 基于接口的接入控制方式(PortBased)

 #Radius 方案配置
 radius scheme nps
 primary authentication 172.16.0.108
 key authentication cipher $c$3$8yT1nDhaOX53/Ekxj0Eglhgb4RQYGQ+WmNatQnuiaoM=
 user-name-format without-domain
 #域配置
 domain test.com
 authentication login radius-scheme nps local
 authorization login radius-scheme nps local
 authentication lan-access radius-scheme nps local
 authorization lan-access radius-scheme nps local
 access-limit disable
 state active
 idle-cut disable
 self-service-url disable

 domain default enable test.com
 #全局启用802.1x和认证方式
  dot1x
  dot1x authentication-method eap

 #端口配置:
 interface Ethernet1/0/3
 port access vlan 4
 dot1x guest-vlan 240
 dot1x auth-fail vlan 240
 dot1x critical vlan 240
 undo dot1x handshake
 dot1x mandatory-domain 51talk.com
 dot1x port-method portbased
 dot1x

认证成功时:

认证失败(立即加如Auth-Fail Vlan)或者不认证时(90s后加入Guest Vlan):

场景2 : 基于MAC的接入控制方式(MacBased)

我们保持之前的配置不变,只将接口下802.1x的控制方式变更为MacBased,另外基于Mac需要在接口下将组播功能关闭,否则身份认证通过后,30s后
再次认证,最后认证失败。

interface Ethernet1/0/3
 port access vlan 4
 dot1x guest-vlan 240
 dot1x auth-fail vlan 240
 dot1x critical vlan 240
 undo dot1x handshake
 dot1x mandatory-domain 51talk.com
#务必关闭组播
undo dot1x multicast-trigger
 dot1x

测试一下效果:

认证成功时:

一切正常。

认证失败或者不认证时:

认证失败时,没有加入到对应的vlan, 没有获取到IP地址。

查询H3C官网资料显示: 基于MAC的802.1x接入控制方式,若启用Guest VLAN,接口类型必须是hybird接口。

我们继续测试:

原文地址:http://blog.51cto.com/magic3/2128017

时间: 2024-11-09 00:11:01

H3C 交换机 和windows NPS结合实现内网802.1X认证的相关文章

Freeradius+Cisco2960S+windows AD实现有线802.1x认证

概述 feeradius是一个免费开源的 AAA服务器,更能强大,很多功能不输商业化软件.曾经试过很多类似的软件,如Cisco的ACS,微软的NAP等,思科的不错就是太贵,微软的感觉不好用.本例主要实现freeradius3版本通过windows AD 及证书验证,实现在Cisco系列交换机上基于端口的802.1x认证,只有加入域的计算机和用户并且开启了认证才可以联网,否则交换机端口将其划入guest Vlan进行隔离修补.这里借鉴了官方文档的部分图片和内容,但官网有些方面说的还是不够完整,有些

FreeRadius+Cisco交换机+Windows AD实现802.1X认证

(一)概述本文档描述了如何设置FreeRadius服务器,以便对windows客户端网络用户透明的对ActiveDirectory进行身份验证. 1.1.原理:FrReRADIUS通过基于端口的访问控制提供身份验证.只有当认证服务器验证了证书时,用户才能连接到网络.用户证书通过使用802.1x标准的特殊认证协议来验证.(FreeRADIUS offers authentication via port based access control. A user can connect to the

H3C 交换机802.1x认证配置

dot1x dot1x authentication-method eap  /*默认是chap认证,当时在客户的环境中使用的是默认的chap认证,但是802.1x不通过,改成eap认证就好了*/ interface GigabitEthernet1/0/1 port access vlan 196 dot1x dot1x mandatory-domain aaa radius scheme bj_radius primary authentication 12.2.0.5 primary ac

H3C交换机常用配置命令

一.用户配置: <H3C>system-view [H3C]super password H3C     设置用户分级密码 [H3C]undo super password     删除用户分级密码 [H3C]localuser bigheap 123456 1     Web网管用户设置,1(缺省)为管理级用户,缺省admin,admin [H3C]undo localuser bigheap     删除Web网管用户 [H3C]user-interface aux 0     只支持0

H3C交换机配置详解

一.用户配置: <H3C>system-view [H3C]super password H3C     设置用户分级密码 [H3C]undo super password     删除用户分级密码 [H3C]localuser bigheap 123456 1     Web网管用户设置,1(缺省)为管理级用户,缺省admin,admin [H3C]undo localuser bigheap     删除Web网管用户 [H3C]user-interface aux 0     只支持0

通过无线AP轻松突破内网准入控制

以定级为等保二级或更高安全等级的网络为例,针对违规内联,会专门部署终端桌面管理系统,并对网络接入实行准入控制,准入控制手段主要有: (1)基于802.1X进行准入控制: (2)基于交换机端口绑定实行准入控制: (3)基于认证网关进行准入控制: (4)其他如DHCP等准入控制. 上述技术手段的组合,会对边界完整性保护发挥重要作用,但仍无法完全杜绝违规内联问题. 原因解析: 第一:无线AP通过NAT结合DMZ,可轻松突破802.1X的准入控制.事实上,基于802.1X的准入控制,推广和普及力度最大的

超级全的H3C交换机配置命令

H3C交换机配置命令大全 1.system-view 进入系统视图模式 2.sysname 为设备命名 3.display current-configuration 当前配置情况 4. language-mode Chinese|English 中英文切换 5.interface Ethernet 1/0/1 进入以太网端口视图 6. port link-type Access|Trunk|Hybrid 设置端口访问模式 7. undo shutdown 打开以太网端口 8. shutdown

思科2960交换机与Windows server 2012 实现LACP链路聚合

微软的Windows server 2012已经能支持LACP链路聚合了,由于使用链路聚合后可以实现线路的冗余以及带宽增加,在这里我用一台思科的2960做了一个测试,供有兴趣的朋友参考. 实验准备: 思科交换机2960一台.安装server 2012的服务器一台,内有两个千兆网卡,网线两根. 步骤: 1.思科交换机的配置 在特权模式下新建链路聚合channel 端口,并将端口加入Vlan sw2960(config)#int port-channel 6 sw2960(config)#switc

配置H3C交换机S5024PV2-EI

配置H3C S5024Pv2-EI交换机的SSH登录. 这个交换机是弱三层. 我配置内网管理,SSH登录. 用console线登录.你会吗? 笔记本一个.console线一个.交换机一个. 笔记本啥也不用配置.console一端是USB,一端是RJ45.分别连接笔记本和交换机. 我用XSHELL连接.口是com3口.(你要知道是你是com几口,电脑--管理--设备管理器,去看识别到了COM几口) 配置步骤 (1)配置SSH服务器 # 生成RSA密钥对. <H3C>sys System View