企业级网络准入实战基于Agile Controller-Campus与华为交换机的802.1X认证全流程解析在数字化转型浪潮下企业网络边界日益模糊传统的IP/MAC绑定等静态管控手段已难以应对移动办公、BYOD等场景的安全挑战。802.1X认证作为IEEE定义的标准协议通过用户设备双重认证机制实现了网络访问的动态权限控制。本文将完整演示如何利用华为Agile Controller-Campus以下简称AC与交换机搭建生产级网络准入系统涵盖从环境准备、组件部署到策略联动的全生命周期实践。1. 实验环境规划与基础配置构建企业级NAC系统前需明确各组件角色与网络拓扑。典型架构包含三要素控制中心AC的SM/SC组件负责策略管理与认证决策执行节点华为交换机作为NAD网络接入设备实施端口级控制终端安装标准802.1X客户端或使用浏览器认证的PC推荐实验配置------------------- ------------------- ------------------- | AC Server | | Huawei Switch | | Client PC | | (VMware ESXi) |-----| (S5720-52X-LI) |-----| (Win10客户端) | | - SM:192.168.1.100| | - VLAN10:10.1.1.1| | - DHCP获取地址 | | - SC:192.168.1.101| ------------------- ------------------- -------------------关键提示实际部署时建议将AC管理口与业务口分属不同VLAN本文为简化实验采用单臂部署1.1 虚拟化平台准备AC支持部署在VMware ESXi或Workstation环境本例采用Workstation 16 Pro创建Windows Server 2012 R2虚拟机最低配置vCPU4核内存8GB磁盘100GB系统盘 200GB数据盘网络适配器桥接模式与物理交换机直连操作系统基础优化# 关闭IE增强安全配置 Set-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073} -Name IsInstalled -Value 0 # 启用远程桌面 Enable-NetFirewallRule -DisplayGroup Remote Desktop1.2 数据库与服务组件AC依赖SQL Server作为后台数据库需按序安装SQL Server 2008 R2最低要求安装时选择数据库引擎服务管理工具认证模式选择混合模式设置sa密码启用TCP/IP协议默认端口1433.NET Framework 3.5 通过服务器管理器添加功能时需指定备用源路径dism /online /enable-feature /featurename:NetFX3 /All /Source:D:\sources\sxs /LimitAccess2. Agile Controller-Campus核心部署2.1 组件化安装AC采用SM业务管理器与SC业务控制器分离架构运行安装程序时勾选双组件[√] Service Manager [√] Service Controller网络参数配置建议管理IP192.168.1.100/24HTTPS访问业务IP192.168.1.101/24RADIUS通信避免使用80/443等常见端口推荐8443数据库连接测试服务器localhost\SQLEXPRESS 认证SQL Server身份验证 用户名sa 密码********2.2 初始化配置首次登录AC控制台https://IP:8443需完成修改默认密码原密码admin/Changeme123新密码需包含大小写字母数字特殊字符License激活 通过华为企业支持网站获取试用License导入后重启服务时间同步配置# 配置NTP服务器 w32tm /config /syncfromflags:manual /manualpeerlist:ntp.aliyun.com net stop w32time net start w32time3. 华为交换机802.1X配置详解3.1 RADIUS基础模板华为交换机需与AC建立RADIUS通信关键配置包括[SW1] radius-server template AC_RADIUS [SW1-radius-AC_RADIUS] radius-server shared-key cipher Huawei123 [SW1-radius-AC_RADIUS] radius-server authentication 192.168.1.101 1812 weight 80 [SW1-radius-AC_RADIUS] radius-server accounting 192.168.1.101 1813 weight 80 [SW1-radius-AC_RADIUS] radius-server retransmit 2 [SW1-radius-AC_RADIUS] quit注意shared-key需与AC侧配置完全一致建议采用复杂字符串3.2 AAA认证方案创建802.1X专属认证域[SW1] aaa [SW1-aaa] authentication-scheme dot1x_scheme [SW1-aaa-authen-dot1x_scheme] authentication-mode radius [SW1-aaa-authen-dot1x_scheme] quit [SW1-aaa] accounting-scheme dot1x_account [SW1-aaa-accounting-dot1x_account] accounting-mode radius [SW1-aaa-accounting-dot1x_account] accounting realtime 15 [SW1-aaa-accounting-dot1x_account] quit [SW1-aaa] domain dot1x_domain [SW1-aaa-domain-dot1x_domain] authentication-scheme dot1x_scheme [SW1-aaa-domain-dot1x_domain] accounting-scheme dot1x_account [SW1-aaa-domain-dot1x_domain] radius-server AC_RADIUS [SW1-aaa-domain-dot1x_domain] quit3.3 端口级启用在接入端口启用802.1X认证[SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] dot1x enable [SW1-GigabitEthernet0/0/1] dot1x authentication-method eap [SW1-GigabitEthernet0/0/1] dot1x mandatory-domain dot1x_domain [SW1-GigabitEthernet0/0/1] quit关键参数对比认证模式适用场景配置命令EAP终结Windows自带客户端dot1x authentication-method chapEAP透传第三方认证客户端dot1x authentication-method eapMAC旁路打印机等哑终端dot1x mac-bypass enable4. AC策略配置与联动测试4.1 用户与设备管理创建用户组路径用户管理→用户组→新建如研发部建议按组织结构划分便于后续权限分配批量导入用户 通过CSV模板导入用户信息支持字段username,password,display_name,email,department user1,Passw0rd!,张三,zhangsanexample.com,研发部NAD设备注册设备管理→准入设备→添加 - IP交换机管理IP - 共享密钥Huawei123与交换机配置一致 - 类型标准交换机4.2 动态授权策略实现基于角色的网络访问控制动态ACL定义策略元素→动态ACL→新建 - 名称研发网段访问 - 规则permit ip 10.1.1.0 0.0.0.255 any授权结果绑定认证授权→授权结果→新建 - 结果类型动态ACL - 绑定研发网段访问认证规则配置认证授权→认证规则→新建 - 条件用户组研发部 接入设备SW1 - 协议EAP-PEAP-MSCHAPv24.3 终端验证与排错Windows客户端配置打开有线自动配置服务Wired AutoConfig网络适配器→身份验证→启用802.1X认证EAP类型选择受保护的EAPPEAP常见故障排查认证超时检查交换机与AC间网络连通性ping 192.168.1.101密钥不匹配确认RADIUS共享密钥两端一致EAP协商失败客户端与AC需使用相同EAP类型上线验证命令display dot1x interface GigabitEthernet 0/0/1 # 查看端口认证状态 display access-user # 查看在线用户5. 生产环境增强建议5.1 高可用部署AC集群部署多台SC实现负载均衡业务管理→高可用性→SC集群配置 - 主SC192.168.1.101 - 备SC192.168.1.102交换机级联配置RADIUS备份服务器radius-server template AC_RADIUS radius-server backup 192.168.1.102 18125.2 安全加固证书认证在AC上部署企业CA颁发的证书客户端配置验证服务器证书访客网络隔离认证授权→授权结果→新建 - 类型VLAN - VLAN ID100隔离专用终端合规检查策略管理→终端安全检查→新建 - 检查项防病毒软件、补丁版本 - 动作不符合时重定向到修复页面5.3 运维监控日志分析配置Syslog服务器接收AC审计日志关键事件认证失败、策略变更性能监控运维监控→性能监控 - 关键指标RADIUS响应时间、并发会话数 - 阈值告警CPU80%持续5分钟报表定制报表管理→新建定制报表 - 周期每日 - 内容用户认证TOP10、设备接入趋势