AAA Radius方案基于远程服务器认证（802.1X）实验

准备阶段

技术背景

通常我们的网络设备支持本地认证功能，但是考虑统一管理以及设备性能等综合考虑可能会单独设置一个认证服务，下面我将演示在H3C网络设备中如何设置远程认证服务器，其中以802.1X协议进行演示。

实验拓扑

组网需求

一台Windows系统作为普通的客户端（Client）
一台三层交换机作为NAS
一台Windows Server （Server）服务器使用了认证软件作为服务器

配置流程

NAS配置：

# 修改主机名
[H3C]hostname  NAS
# 创建vlan
[NAS]vlan 10
[NAS-vlan10]por GigabitEthernet 1/0/1
[NAS-vlan10]vlan 20
[NAS-vlan20]por GigabitEthernet 1/0/2
# 创建三层VLAN 虚拟接口并作为客户端及服务器的网关
[NAS-vlan20]int vlan 10
[NAS-Vlan-interface10]ip address  192.168.10.253 24
[NAS-Vlan-interface10]int vlan 20
[NAS-Vlan-interface20]ip add 192.168.20.253 24
[NAS-Vlan-interface20]quit

# 创建RADIUS方案，并进入RADIUS方案视图
[NAS]radius scheme 802.1x
# 配置主RADIUS认证服务器
[NAS-radius-802.1x]primary  authentication 192.168.20.254
# 配置主RADIUS计费服务器
[NAS-radius-802.1x]primary  accounting  192.168.20.254
# 配置RADIUS报文的共享密钥
[NAS-radius-802.1x]key  authentication  simple  123456
[NAS-radius-802.1x]key  accounting simple  123456
# 用来设置发送给RADIUS服务器的用户名格式
[NAS-radius-802.1x]user-name-format without-domain
[NAS-radius-802.1x]quit

# 创建ISP域并进入其视图
[NAS]domain  name 802.1x
# 当前ISP域配置缺省的认证方法
[NAS-isp-802.1x]authentication default  radius-scheme  802.1x
# 为当前ISP域配置缺省的授权方法
[NAS-isp-802.1x]authorization default  radius-scheme 802.1x
[NAS-isp-802.1x]quit 
# 开启上全局或指定端口的802.1X。
[NAS]dot1x
[NAS]int g1/0/1
[NAS-GigabitEthernet1/0/1]dot1x
[NAS-GigabitEthernet1/0/1]quit

# 其他配置，加快收敛速度
[NAS]interface  range  GigabitEthernet 1/0/1 GigabitEthernet  1/0/2
[NAS-if-range]stp edged-port
[NAS-if-range]quit

认证服务器配置

1. 设置认证服务器的系统交互密钥和端口号

2. 配置完以上流程后需要重新启动认证软件

3. 创建认证账户用于客户端连接使用

验证

1. 客户端使用802.1X认证软件进行认证
   

2. 观察认证服务器的提示
   

3. 认证通过
   

至此实验已经完成

这里用到了两款软件①H3C iNode 认证软件 ②Radius认证软件，其中①我在前期文章中已经介绍了，可参考：802.1X实验。而②号软件查找起来比较麻烦，这里需要您贡献1积分小小的支持一下WinRadius认证软件.zip。

小结

如果您对相关概念和流程不够了解建议您再查阅其他文章，本篇文章主要是针对H3C网络设备进行远程认证进行配置案例，下面我将讲解本次实验需要注意的几点。

1. 在H3C的RADIUS方案中，认证和授权是一体的意味着必须是同一台服务器，而计费是可以单独分开的。
2. 在NAS中注意开启边缘端口负责STP可能会影响收敛速度，从而减少误导学习者的可能性。

---

结束语

如果您认为本文对您有帮助,请帮忙在文末关注、点赞、收藏，因为有了热度才能帮助更多人学习到看到本文，关于本文如果有问题可以在评论区留言，回复效率可能会低但是一定会积极恢复哦！~~