华为H3C交换机+Radius+mysqlRadius认证认证方案,嵌入式客户端代码,配置(下:交换机和Radius服务器配置)(一交互机配置)1802.1x本地认证方案配置当Radius服务器不可用的时候,需要在交换机本地有一个备用认证方案,用户名和密码设置在交换机上替换RadiusServer完成对交换机端口的认证和授权。可以在RadiusSerer认证失败后转本地认证,避免Radius服务器宕机后网络无法接入。#开启全局802.1x特性。system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x#开启指定端口GigabitEthernet1/0/1的802.1x特性。[H3C]dot1xinterfaceGigabitEthernet1/0/1#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet1/0/1#增加默认用户[H3C]local-usertest[H3C]passwordsimpletest#认证方式,本地认证[H3C]service-typelan-access[H3C]stateactive#NCU连接进程/radiusclienteth0testtest(使用本地认证域)交换机接入网络,监控接在交换机端口上,此时监控可访问网络#discu查看最终配置domainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#local-usertestpasswordcipher$c$3$fYHR8x8vhmtmh1T2fe3pnt3vHlT432w=service-typelan-access#interfaceNULL0#interfaceGigabitEthernet1/0/1dot1x2Radius认证方案配置注:交换机默认不验证版本号,这个功能不能打开(默认关闭)#先设定交换机IPVlan1打开端口默认分配到Vlan1#交换机端口默认VLAN是VLAN1,工作在access模式。intvlan1ipadd10.169.86.2255.255.255.0#交换机必须要有IP地址,否则未配置,0.0.0.0交换机无法发出Radius报文给Freeradius提示src-ip-addressnotfound#开启全局802.1x特性。system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x#开启指定端口GigabitEthernet1/0/1的802.1x特性。[H3C]dot1xinterfaceGigabitEthernet1/0/1#设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet1/0/1#Chap:质询握手验证协议,{#[H3C]dot1xauthentication-methodeap//chap#采用EAP认证方式,则RADIUS方案下的user-name-format配置无效,#user-name-format的介绍请参见“安全命令参考”中的“AAA”}#创建RADIUS方案radius1并进入其视图。[H3C]radiusschemeradius1#设置主认证/计费RADIUS服务器的IP地址。[H3C-radius-radius1]primaryauthentication10.169.86.19#[H3C-radius-radius1]primaryaccounting10.169.86.19#设置#备份认证/计费RADIUS服务器的IP地址。这里不计费,不设置#设置备用服务器,无备用服务器无需设置#[H3C-radius-radius1]secondaryauthentication10.11.1.2#[H3C-radius-radius1]secondaryaccounting10.11.1.1#设置设备发送Radius报文使用的源IP地址#指定定NSPIP#[H3C-radius-radius1]nas-ip10.169.86.2#设置系统与认证RADIUS服务器交互报文时的加密密码。[H3C-radius-radius1]keyauthenticationtesting123#设置系统与计费RADIUS服务器交互报文时的加密密码。#[H3C-radius-radius1]keyaccountingtesting123#设置系统向RADIUS服务器重发报文的时间间隔与次数。【可选】[H3C-radius-radius1]timer5[H3C-radius-radius1]retry5#设置系统向RADIUS服务器发送实时计费报文的时间间隔。#[H3C-radius-radius1]timerrealtime-accounting15#指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。[H3C-radius-radius1]user-name-formatwithout-domain#服务器类型standard标准的,extended华为私有的扩展#[H3C-radius-radius1]server-typestandard//extended[H3C-radius-radius1]quit#创建域aabbcc.net并进入其视图。[H3C]domainaabbcc.net#指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。#配置802.1X用户使用RADIUS方案radius1进行认证、授权方法。[H3C-isp-aabbcc.net]authenticationlan-accessra...
