华为H3C交换机+Radius+mysqlRadius认证认证方案,嵌入式客户端代码,配置(下:交换机和Radius服务器配置)
(一交互机配置)
802.1x本地认证方案配置
当Radius 服务器不可用的时候,需要在交换机本地有一个备用认证方案,用户名和密码设置在交换机上替换RadiusServer完成对交换机端口的认证和授权。可以在RadiusSerer认证失败后转本地认证,避免Radius服务器宕机后网络无法接入。
#开启全局802.1x特性。
H3Csystem-view
SystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x
#开启指定端口GigabitEthernet1/0/1的802.1x特性。
[H3C]dot1xinterfaceGigabitEthernet1/0/1
#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet1/0/1
#增加默认用户[H3C]local-usertest
[H3C]passwordsimpletest
#认证方式,本地认证[H3C]service-typelan-access[H3C]stateactive
#NCU连接进程/radiusclienteth0testtest(使用本地认证域)交换机接入网络,监控接在交换机端口上,此时监控可访问网络#discu查看最终配置
domainsystemaccess-limitdisablestateactive
idle-cutdisable
self-service-urldisable#
user-groupsystem
group-attributeallow-guest#
local-usertest
passwordcipher$c$3$fYHR8x8vhmtmh1T2fe3pnt3vHlT432w=service-typelan-access
#
interfaceNULL0#
interfaceGigabitEthernet1/0/1dot1x
Radius认证方案配置
注:交换机默认不验证版本号,这个功能不能打开(默认关闭)
#先设定交换机IPVlan1打开端口默认分配到Vlan1
#交换机端口默认VLAN是VLAN1,工作在access模式。
H3Cintvlan1
H3Cipadd
#交换机必须要有IP地址,否则未配置,交换机无法发出Radius报文给Freeradius提示src-ip-addressnotfound#开启全局802.1x特性。
H3Csystem-view
SystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x
#开启指定端口GigabitEthernet1/0/1的802.1x特性。
[H3C]dot1xinterfaceGigabitEthernet1/0/1
#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet1/0/1
#Chap:质询握手验证协议,
{
#[H3C]dot1xauthentication-methodeap //chap
#采用EAP认证方式,则RADIUS方案下的user-name-format配置无效,#user-name-format的介绍请参见“安全命令参考”中的“AAA”
}
#创建RADIUS方案radius1并进入其视图。
[H3C]radiusschemeradius1
#设置主认证/计费RADIUS服务器的IP地址。
[H3C-radius-radius1]primaryauthentication9
#[H3C-radius-radius1]primaryaccounting9#设置#备份认证/计费RADIUS服务器的IP地址。这里不计费,不设置
#设置备用服务器,无备用服务器无需设置
#[H3C-radius-radius1]secondaryauthentication#[H3C-radius-radius1]secondaryaccounting
#设置设备发送Radius报文使用的源IP地址