H3C 交換機 和windows NPS結合實現內網802.1X認證

環境介紹：

1. windows server 2012 NPS 承擔Radius Server 角色
2. Radius Client 設備型號 H3C S3100V2

因爲802.1x 端口控制方式有兩種，一種是基於接口的接入控制方式(PortBased)，一種是基於Mac的接入控制方式(Macbased), 所以咱們分開來測試。

NPS配置：

場景1 ： 基於接口的接入控制方式(PortBased)

#Radius 方案配置
 radius scheme nps
 primary authentication 172.16.0.108
 key authentication cipher $c$3$8yT1nDhaOX53/Ekxj0Eglhgb4RQYGQ+WmNatQnuiaoM=
 user-name-format without-domain
 #域配置
 domain test.com
 authentication login radius-scheme nps local
 authorization login radius-scheme nps local
 authentication lan-access radius-scheme nps local
 authorization lan-access radius-scheme nps local
 access-limit disable
 state active   
 idle-cut disable
 self-service-url disable

 domain default enable test.com
 #全局啓用802.1x和認證方式
  dot1x
  dot1x authentication-method eap

 #端口配置：
 interface Ethernet1/0/3
 port access vlan 4
 dot1x guest-vlan 240
 dot1x auth-fail vlan 240
 dot1x critical vlan 240
 undo dot1x handshake
 dot1x mandatory-domain test.com
 dot1x port-method portbased
 dot1x

認證成功時：

認證失敗(當即加如Auth-Fail Vlan)或者不認證時(90s後加入Guest Vlan)：

場景2 ： 基於MAC的接入控制方式(MacBased)

咱們保持以前的配置不變，只將接口下802.1x的控制方式變動爲MacBased，另外基於Mac須要在接口下將組播功能關閉，不然身份認證經過後，30s後
再次認證，最後認證失敗。

interface Ethernet1/0/3
 port access vlan 4
 dot1x guest-vlan 240
 dot1x auth-fail vlan 240
 dot1x critical vlan 240
 undo dot1x handshake
 dot1x mandatory-domain test.com
#務必關閉組播
undo dot1x multicast-trigger
 dot1x

測試一下效果：

認證成功時：

一切正常。

認證失敗或者不認證時：

認證失敗時，沒有加入到對應的vlan, 沒有獲取到IP地址。怎麼回事呢？

查詢H3C官網資料顯示: 基於MAC的802.1x接入控制方式，若啓用Guest VLAN，接口類型必須是hybird接口 ，而且端口下必須啓用mac vlan功能。

咱們修改配置繼續測試：

interface Ethernet1/0/4
 port link-type hybrid
 undo port hybrid vlan 1
 port hybrid vlan 4 240 untagged
 port hybrid pvid vlan 4
 mac-vlan enable
 dot1x guest-vlan 240
 dot1x auth-fail vlan 240
 dot1x critical vlan 240
 undo dot1x handshake
 dot1x mandatory-domain test.com
 undo dot1x multicast-trigger
 dot1x

測試認證失敗時：

最終各類測試徹底符合預期。