在企業(yè)中，不同部門(mén)之間采用VLAN進(jìn)行隔離，但是隨著人員流動(dòng)，部門(mén)人員不集中，網(wǎng)絡(luò)管理難度加大，導(dǎo)致網(wǎng)絡(luò)權(quán)限劃分復(fù)雜。故引入動(dòng)態(tài)vlan與AD域用戶(hù)，員工登錄無(wú)論在哪里登錄，都在部門(mén)vlan中，獲取的IP不變，下面介紹具體實(shí)現(xiàn)步驟

實(shí)驗(yàn)拓?fù)淙缦?/strong>

一、環(huán)境準(zhǔn)備

以下配置較為簡(jiǎn)單，故此處不展開(kāi)

包括：DHCP服務(wù)器配置、主干鏈路vlan接口類(lèi)型配置

設(shè)備如下：

域控可與Radius為同一臺(tái)windows server

• AD域控 （Windows Server ）

• Raidus 服務(wù)器 （Windwos Server2016）

• H3C交換機(jī)（S5024為例）

• （可選）信銳AC+AP

二、AD域控用戶(hù)管理

1.AD域安裝

（已有此環(huán)境請(qǐng)忽略）

一直下一步

2.配置AD域控

3.AD用戶(hù)創(chuàng)建

創(chuàng)建OU

創(chuàng)建組

創(chuàng)建用戶(hù)

添加到對(duì)應(yīng)組

二、Radius安裝

前提：該服務(wù)器加入AD域

1.安裝AD證書(shū)

一直下一步

等待安裝完成

裝完成

2.配置AD證書(shū)

3.申請(qǐng)CA證書(shū)

4.安裝NPS

5.配置NPS

6.注冊(cè)AD服務(wù)器

三、配置802.1x有線(xiàn)認(rèn)證

1.配置802.1x策略

2.配置客戶(hù)端IP與秘鑰

3.配置證書(shū)

4.配置生效組

5.配置EAP認(rèn)證類(lèi)型

6.添加該組對(duì)應(yīng)的vlan

配置完成

四、客戶(hù)端H3C交換機(jī)配置

1.開(kāi)啟全局802.1x

2.配置Radius方案

[QY_A_4F_IT_S5024_W1]radius scheme dgqy# 配置主認(rèn)證/計(jì)費(fèi)服務(wù)器IP[QY_A_4F_IT_S5024_W1-radius-dgqy]primary authentication 192.168.0.193[QY_A_4F_IT_S5024_W1-radius-dgqy]primary accounting 192.168.0.193#（可選）配置備認(rèn)證/計(jì)費(fèi)服務(wù)器IP[QY_A_4F_IT_S5024_W1-radius-dgqy]secondary authentication 192.168.0.194[QY_A_4F_IT_S5024_W1-radius-dgqy]secondary accounting 192.168.0.194# 配置認(rèn)證/計(jì)費(fèi)秘鑰[QY_A_4F_IT_S5024_W1-radius-dgqy] key authentication simple XXXX[QY_A_4F_IT_S5024_W1-radius-dgqy] key accounting simple XXXX# 配置給Raiuds服務(wù)器發(fā)送不帶域名[QY_A_4F_IT_S5024_W1-radius-dgqy]user-name-format without-domain[QY_A_4F_IT_S5024_W1-radius-dgqy]quit

3.配置ISP域

4.端口802.1x配置

#開(kāi)啟端口dot1x[QY_A_4F_IT_S5024_W1]int GigabitEthernet 1/0/13[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]dot1x#指定接入控制方式（默認(rèn)采用MAC地址）[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]dot1x port-method macbased#指定認(rèn)證域[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]dot1x mandatory-domain dgqy[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]quit

以上就完成了端口的802.1x認(rèn)證配置，但是由于采用了windows自帶的802.1x認(rèn)證，無(wú)法回應(yīng)H3C的心跳報(bào)文，故要將心跳握手、組播告警關(guān)閉，如果采用H3C自帶iNode客戶(hù)端，可以忽略

端口默認(rèn)配置

interface GigabitEthernet1/0/13
 port access vlan 11
 stp edged-port #按照實(shí)際需求進(jìn)行配置，建議采用hybrid接口

5.客戶(hù)端驗(yàn)證

1.開(kāi)啟802.1x認(rèn)證

啟動(dòng)服務(wù)，找到Wired AutoConfig

2.查看交換機(jī)動(dòng)態(tài)vlan是否生效

可以看得vlan自動(dòng)更改為NPS中設(shè)置的vlan

五、配置802.1x無(wú)線(xiàn)認(rèn)證

連接AP的交換機(jī)配置如下

interface GigabitEthernet1/0/22
 description WLAN-AP-TEST
 port link-type trunk
 port trunk permit vlan all
 port trunk pvid vlan 114# 默認(rèn)AP獲取到114網(wǎng)段的管理IP，通過(guò)放行對(duì)應(yīng)vlan即可

1.AC自動(dòng)發(fā)現(xiàn)AP,需要在DHCP上配置option43

2.AC配置

3.新增Raidus服務(wù)器

4.測(cè)試有效性

新增SSID

5.設(shè)置認(rèn)證類(lèi)型

6.認(rèn)證服務(wù)器配置

7.VLAN設(shè)置

8.點(diǎn)擊提交，使用無(wú)線(xiàn)連接，查看獲取網(wǎng)段

無(wú)線(xiàn)獲取完成

六、故障排查思路

如果無(wú)法正常獲取網(wǎng)段，排查思路

1.NPS服務(wù)器認(rèn)證日志

可以看得報(bào)錯(cuò)原因，常見(jiàn)的原因有 賬號(hào)密碼錯(cuò)誤、EAP協(xié)議不支持、NPS端口類(lèi)型配置錯(cuò)誤、AD證書(shū)錯(cuò)誤等

2.交換機(jī)故障排查

查看dot1x認(rèn)證狀態(tài)

交換機(jī)debugging調(diào)試

<QY_A_4F_IT_S5024_W1>debugging radius all<QY_A_4F_IT_S5024_W1>debugging dot1x all<QY_A_4F_IT_S5024_W1>t m<QY_A_4F_IT_S5024_W1>t d

查看debugging日志，能查看報(bào)文具體到哪一個(gè)地方

EAP中繼認(rèn)證過(guò)程（該圖轉(zhuǎn)載至H3C配置手冊(cè)）

查看報(bào)文

發(fā)送request packet

收到reply packet

通過(guò)對(duì)比報(bào)文就可以查到在哪個(gè)環(huán)節(jié)出了問(wèn)題

綜上

以上對(duì)windwos server 完成802.1x認(rèn)證+動(dòng)態(tài)vlan大致思路進(jìn)行了整理，不僅用到了AD域控、DHCP、Radius服務(wù)器，還需要對(duì)H3C等品牌交換機(jī)的配置進(jìn)行掌握，同時(shí)采用了無(wú)線(xiàn)信銳AC+AP的形式完成網(wǎng)絡(luò)認(rèn)證場(chǎng)景全覆蓋，后續(xù)將介紹在此場(chǎng)景中，訪(fǎng)客網(wǎng)絡(luò)的接入與認(rèn)證失敗網(wǎng)絡(luò)接入場(chǎng)景。