华为H3C交换机+Radius+mysql+Radius认证认证方案，嵌入式客户端代码，配置.docx

华为H3C交换机+Radius+mysqlRadius认证认证方案，嵌入式客户端代码，配置(下：交换机和Radius服务器配置)

（一交互机配置）

802.1x本地认证方案配置

当Radius 服务器不可用的时候，需要在交换机本地有一个备用认证方案，用户名和密码设置在交换机上替换RadiusServer完成对交换机端口的认证和授权。可以在RadiusSerer认证失败后转本地认证，避免Radius服务器宕机后网络无法接入。

#开启全局802.1x特性。

H3Csystem-view

SystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x

#开启指定端口GigabitEthernet1/0/1的802.1x特性。

[H3C]dot1xinterfaceGigabitEthernet1/0/1

#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet1/0/1

#增加默认用户[H3C]local-usertest

[H3C]passwordsimpletest

#认证方式，本地认证[H3C]service-typelan-access[H3C]stateactive

#NCU连接进程/radiusclienteth0testtest（使用本地认证域）交换机接入网络，监控接在交换机端口上，此时监控可访问网络#discu查看最终配置

domainsystemaccess-limitdisablestateactive

idle-cutdisable

self-service-urldisable#

user-groupsystem

group-attributeallow-guest#

local-usertest

passwordcipher$c$3$fYHR8x8vhmtmh1T2fe3pnt3vHlT432w=service-typelan-access

#

interfaceNULL0#

interfaceGigabitEthernet1/0/1dot1x

Radius认证方案配置

注：交换机默认不验证版本号，这个功能不能打开（默认关闭）

#先设定交换机IPVlan1打开端口默认分配到Vlan1

#交换机端口默认VLAN是VLAN1，工作在access模式。

H3Cintvlan1

H3Cipadd

#交换机必须要有IP地址，否则未配置，交换机无法发出Radius报文给Freeradius提示src-ip-addressnotfound#开启全局802.1x特性。

H3Csystem-view

SystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x

#开启指定端口GigabitEthernet1/0/1的802.1x特性。

[H3C]dot1xinterfaceGigabitEthernet1/0/1

#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。

[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet1/0/1

#Chap：质询握手验证协议，

{

#[H3C]dot1xauthentication-methodeap //chap

#采用EAP认证方式，则RADIUS方案下的user-name-format配置无效，#user-name-format的介绍请参见“安全命令参考”中的“AAA”

}

#创建RADIUS方案radius1并进入其视图。

[H3C]radiusschemeradius1

#设置主认证/计费RADIUS服务器的IP地址。

[H3C-radius-radius1]primaryauthentication9

#[H3C-radius-radius1]primaryaccounting9#设置#备份认证/计费RADIUS服务器的IP地址。这里不计费，不设置

#设置备用服务器，无备用服务器无需设置

#[H3C-radius-radius1]secondaryauthentication#[H3C-radius-radius1]secondaryaccounting

#设置设备发送Radius报文使用的源IP地址