h3c 802.1x是什么？

802.1X是基于Client/Server的访问控制协议，简称dot1x。通俗的讲，它是一种认证技术，怎么认证的？交换机上的一个端口连接到PC，开启交换机端口的802.1X功能，PC需要输入正确的用户名和密码通过服务器认证，才能访问网络。那么，我们所熟悉的PPPoE也是类似于这种方式的，他们有什么区别呢？先不说，我们接着讲802.1X协议。这里我们将PC称为客户端，交换机称为设备端。

有协议就有报文，802.1X对应的数据包是EAP（Extensible Authentication Protocol）和EAPOL（Extensible Authentication Protocol over LAN），EAPOL是对EAP的封装（报文可以看出来）使其能够在局域网中以广播包或组播包的形式传输。通过EAP数据包再与远端的RADIUS（用户远程拨号接入服务系统）服务器进行认证，设备端与认证服务器之间交互信息采用的是radius数据包。

802.1x用户的RADIUS认证、授权和计费配置实例

本示例拓扑如图20-6所示。现需要实现使用RADIUS服务器对通过交换机接入的8021x用户进行认证、授权和计费。具体要求如下：

l 在接入端口GigabitEthernet1/0/1上对接入用户进行8021x认证，同时采用基于MAC地址的接入控制方式；

l 交换机与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813，向RADIUS服务器发送的用户名携带域名；

l 用户认证时使用的用户名为dot1x@bbb。

l 用户认证成功后，认证服务器授权下发VLAN 4，将用户所在端口加入该VLAN，允许用户访问该VLAN中的网络资源。

l 对8021x用户进行包月方式计费，费用为120元/月，以月为周期对用户上网服务的使用量按时长进行统计，允许每月最大上网使用量为120个小时。

图20-6 8021x用户RADIUS认证、授权和计费配置示例

对比上一节的示例可以看出，本示例的要求明显高于上节示例，尽管它们都是使用iMC RADIUS服务器。另外，本示例相对上节的示例还多了两项要求，那就是基于MAC地址接入控制的IEEE 802.1x认证和RADIUS计费，特别是RADIUS计费功能的配置比较复杂，要配置计费策略。有关H3C以太网交换机的IEEE 802.1x认证具体配置方法将在本书第21章介绍。

综合分析本示例的要求，可以得出它的基本配置思路。总体来说包括以下四个方面：在交换机和对应的端口上启用IEEE 802.1x认证和基于MAC地址的接入控制；配置iMC RADIUS认证/授权、计费服务器功能；配置RADIUS方案；配置IEEE 802.1x用户ISP域AAA方案。下面分别予以介绍。

1．交换机上8021x认证配置

[Switch] dot1x !---开启全局8021x认证

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] dot1x !---开启端口GigabitEthernet1/0/1的8021x认证

[Switch-GigabitEthernet1/0/1] quit

[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---设置接入控制方式（该命令可以不配置，因为端口的接入控制在默认情况下就是基于MAC地址的）

2. 配置iMC RADIUS服务器

本示例中的iMC服务器配置与上节示例中的iMC服务器配置主要多了计费功能的配置。下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2606、iMC UAM 3.60-E6206、iMC CAMS 3.60-E6206），说明本示例的RADIUS 服务器的基本配置。

（1）登录进入iMC管理平台，选择“业务”标签页，单击导航栏中的[接入业务/接入设备配置]菜单项，进入“接入设备配置”页面，然后单击【增加】按钮，进入“增加接入设备”页面，如图20-7所示。然后进行如下配置：

l 在“共享密钥”文本框中设置与交换机交互报文时使用的认证、计费共享密钥为“expert”；

l 在“认证端口”和“计费端口”两文本框中设置RADIUS认证及计费的端口号分别为“1812”和“1813”；

l 在“业务类型”下拉列表中选择业务类型为“LAN接入业务”选项；

l 在“接入设置类型”下拉列表中选择接入设备类型为“H3C”选项；

l 在“组网方式”下拉列表中选择“不启用混合组网”选项；

l 在“设备列表”栏中单击【选择】或【手工增加】按钮添加IP地址为10.1.1.2的接入设备；

其它参数采用默认值，然后单击【确定】按钮完成操作。

图20-7 iMC增加接入设备页面

（2）添加计费策略。选择“业务”标签页，单击导航栏中的[计费业务/计费策略管理]菜单项，进入“计费策略管理”页面，单击【增加】按钮，进入“计费策略配置”页面，如图20-8所示。然后进行如下配置：

l 在“策略名称”文本框中输入计费策略名称“UserAcct”；

l 在“计费策略模板”下拉列表中选择计费策略模板为“包月类型”选项；

l 在“包月基本信息”栏中设置：计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”；

l 在“包月使用量限制”栏中设置：允许每月最大上网使用量为120个小时。

其它参数采用默认值，然后单击页面底部的【确定】按钮完成操作。

图20-8 iMC增加计费策略页面

（3）配置LAN接入业务类型和用户。选择“业务”标签页，单击导航栏中的[接入业务/服务配置管理]菜单项，进入“服务器配置管理”页面，单击【增加】按钮，进入“增加服务配置”页面，如图20-9所示。然后进行如下配置：

图20-9 iMC增加服务配置页面

l 在“服务名”文本框中输入服务名为“Dot1x auth”、在“服务后缀”文本框中输入“bbb”（ISP域名）。指定服务后缀的情况下，RADIUS方案中必须指定向服务器发送的用户名中携带域名；

l 在“计费策略”下拉列表中选择为“UserAcct”，这是上一步配置的计费策略；

l 在“下发VLAN”文本框中配置授权下发的VLAN ID为“4”（这是根据本示例要求而定的）；

其他选项根据需要配置，然后单击页面底部的【确定】按钮（图中未显示）完成操作。

（4）添加802.1x用户。选择“用户”标签页，单击导航栏中的[接入用户视图/所有接入用户]菜单项，进入“接入用户列表”页面，单击【增加】按钮，进入“增加接入用户”页面，如图20-10所示。 然后进行如下配置：

l 在“用户姓名”栏中单击【选择】或者【增加用户】按钮添加用户姓名为“test”；

l 在“帐号名”和“密码”两文本框中依次输入“dot1x”和密码；

l 在“接入服务”栏中选择该用户所关联的接入服务为“Dot1x auth”（这是上一步配置的服务名）；

其他选项可根据需要配置，然后在页面底部单击【确定】按钮完成操作。

图20-10 iMC增加接入用户页面

通过以上配置，本示例中的iMC服务器配置就全部完成了。

3．配置RADIUS方案

system-view

[Switch] radius scheme rad

[Switch-radius-rad] server-type extended

[Switch-radius-rad] primary authentication 10.1.1.1

[Switch-radius-rad] primary accounting 10.1.1.1

[Switch-ra

根据你的描述，怀疑是以下几个问题：

1、是否使用了路由器？可能路由器有问题或者路由器设置有问题。断开路由器，直接用网线连接笔记本有线网卡认证。

2、是否选错了网卡，笔记本有无线网卡和有线网卡，而锐捷客户端认证需要的应该是有线网卡。

3、是否使用管理员权限运行程序。

4、是否在锐捷客户端里设置了DHCP的认证后获取IP？

5、锐捷客户端是否是全新安装的？而不是以前用过旧版本而后升级或者覆盖安装的。锐捷客户端是否是最新版的4.74？并且是全新安装或者完全卸载清理的原来旧版本后全新安装的？

6、检查用这根网线连接其他电脑认证，是否有此问题？

7、如果上述检查都无效，建议重新安装全新系统，并安装最新版的4.74锐捷客户端重新尝试连接认证。

这一般是在学校里用锐捷认证上网的情况。原因出在锐捷客户端，锐捷的8021x.exe会自动停止VMware NAT Service服务，导致不能使用vmware的nat模式。

我的验证如下：

1、同一笔记本，在学校用锐捷客户端联网，VMware NAT Service服务就会停止，手动启动nat服务后虚拟机能上网，但5-10秒nat服务又会停止（锐捷客户端干的）。不启动锐捷客户端，VMware nat服务不会自动停止。

2、同一笔记本，回家用联通宽带，无论有线还是无线，虚拟机始终能上网，VMware NAT Service服务也不会停止。说明不是系统的问题也不干杀软和防火墙的事。

3、同一笔记本，在学校用无线连接同学共享的wifi热点（同学电脑用锐捷联网），开启虚拟机能上网，VMware NAT服务不会自动停止。再次说明与系统无干。

由此判断，锐捷客户端加入了阻止vmware nat模式的机制（技术直白到就是直接阻止VMware NAT Service启动，就好像直接给人车胎放气一样，这就是国人的技术吗？唉...），幸好还没有阻止virtual box nat模式（也可能是VBox没有VM那样独立的NAT服务，锐捷就没招了）。

解决办法：

1、不用锐捷上网，哈哈，也就不会受此困扰了。

2、需要锐捷才能上网的同学们，可选virtual box虚拟机；或找个同宿舍同学搞个wifi热点（似乎锐捷服务器端封杀WiFi热点也封的很厉害）。

总之，不开锐捷客户端就没事

***网上查到此前有人用UltraEdit修改8021x.exe程序破解锐捷的多网卡限制，但破解4.0以上锐捷会被认证服务器列入黑名单，我学校用的就是必须是4.96以上版本，4.94版都不予认证。

---