华为H3C交换机+Radius+mysql+Radius认证认证方案嵌入式客户端代码配置

华为H3C交换机+Radius+mysqlRadius认证认证方案，嵌入式客户端代码，配置（一交互机配置802.1x当Radius 服务器不可用的时候，需要在交换机本地有一个备用认证方案，用户名和密码设置在交换机上替换RadiusServer完成对交换机端口的认证和授权。可以在RadiusSerer认证失败后转本地认证，避免Radius服务器宕机后网络无法接入。#开启全局802.1x<H3C>system-SystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x#开启指定端口GigabitEthernet1/0/1的802.1x[H3C]dot1xinterfaceGigabitEthernet#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet[H3C]local-usertest[H3C]passwordsimple[H3C]service-typelan-access[H3C]stateactive#NCU连接进程/radiusclienteth0testtest（使用本地认证域）#discu查看最终配置domainsystemaccess-limitdisablestateactiveidle-cutself-service-urldisableuser-groupgroup-attributeallow-guestlocal-userpasswordcipher$c$3$fYHR8x8vhmtmh1T2fe3pnt3vHlT432w=service-typelan-access#interfaceNULL0interfaceGigabitEthernet1/0/1Radius注：交换机默认不验证版本号，这个功能不能打开（默认关闭#先设定交换机IPVlan1打开端口默认分配到#交换机端口默认VLAN是VLAN1，工作在access<H3C>intvlan<H3C>ipadd#交换机必须要有IP地址，否则未配置，交换机无法发出Radius报文给Freeradius提示src-ip-addressnotfound#开启全局802.1x特性。<H3C>system-SystemView:returntoUserViewwithCtrl+Z.[H3C]dot1x#开启指定端口GigabitEthernet1/0/1的802.1x[H3C]dot1xinterfaceGigabitEthernet#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）[H3C]dot1xport-methodmacbasedinterfaceGigabitEthernet#Chap{#[H3C]dot1xauthentication-method #采用EAP认证方式，则RADIUS方案下的user-name-format配置无效，#user-name-format的介绍请参见“安全命令参考”中的}#创建RADIUS方案radius1[H3C]radiusscheme#设置主认证/计费RADIUS服务器的IP[H3C-radius-radius1]primaryauthentication#[H3C-radius-radius1]primaryaccounting9#设置#备份认证/计费RADIUS服务器的IP##[H3C-radius-radius1]secondaryauthentication#[H3C-radius-radius1]secondaryaccounting#设置设备发送Radius报文使用的源IP#指定定NSP#[H3C-radius- nas-ip#设置系统与认证RADIUS[H3C-radius-radius1]keyauthentication#设置系统与计费RADIUS#[H3C-radius-radius1]keyaccounting#设置系统向RADIUS服务器重发报文的时间间隔与次数。【可选】[H3C-radius-radius1]timer[H3C-radius-radius1]retry#设置系统向RADIUS#[H3C-radius-radius1]timerrealtime-accounting#指示系统从用户名中去除用户域名后再将之传给RADIUS[H3C-radius-radius1]user-name-formatwithout-#服务器类型standard标准的，extended华为私有的扩展#[H3C-radius-radius1]server-typestandard//extended[H3C-radius-radius1]quit#创建域[H3C]domain#指定radius1为该域用户的RADIUS方案，若RADIUS#配置802.1X用户使用RADIUS方案radius1[H3C-]authenticationlan-accessradius-schemeradius1[H3C-]authorizationlan-accessradius-schemeradius1[H3C-]schemeradius-schemeradius1local#设置该域最多可容纳30个用户。【可选】[H3C-]access-limitenable#启动闲置切断功能并设置相关参数。【可选】#[H3C-]idle-cutenable202000#[H3C-]quit#配置域为缺省用户域。[H3C]domaindefaultenable#添加本地接入用户。[H3C]local-user[H3C-luser-localuser]service-typelan-[H3C-luser-localuser]passwordsimple/radiusclienteth0test@systemtest#discu查看最终配置radiusschemeprimaryauthenticationkeyauthenticationcipher$c$3$cNeQqnvnkIr+qo2QHEXDPivo5LsUe1xjsx0ct5U=user-name-formatwithout-domain（QT不支持输入带其他字符用户名，所以目前只允许设置成user-name-formatwithout-nas-ip00domainauthenticationlan-accessradius-schemeradius1authorizationlan-accessradius-schemeradius1access-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutself-service-urldisable对于非H3C客户端，由于不支持握手功能，在握手周期内交换机不会收到握手回应报文。因此需要将在线用户握手功能关闭，以防止错误地认为用户下线。（客户端做了握手回应包）3.H3CConsoleH3C[H3C]resetsaved-Thesavedconfigurationfilewillbeerased.Areyousure?H3CThecurrentconfigurationwillbewrittentothedevice.Areyousure?（二服务器配置）FreeRadius.FreeRadiusLinux防火墙信任radiusiptables-AINPUT-pudp--dport1812-jACCEPTiptables-AINPUT-pudp--dport1813-j虚拟机Windows配置UserRadius基本配置radiusd.confRadius//server{ype=auth //认证监听选择日志记载内容log_auth=yeslog_auth_badpass=yeslog_auth_goodpass=}Freeradius配置文件radiusd.confRadius监听配置client.confClient/24{Secret= //交换机和Radius =}Client{Secret= //交换机和Radius}按IPsubnet将NAS/24就代表了至 再说说这24是怎么得到每个IP地址的长度为32位（bit），分4段，每段8位（1个字节）。简单的说24代表从前往后有24个1，就是Radius用户配置打开配置文件目录：/usr/local/etc/raddb，编辑其中的users这个文件就是定义radiusd用户的文件、其实正式使用验证服务器的话应该是使用数据库如mysql这个users的文本方式来简单记录一下，{steveCleartext-Password:="testing"Service-Type=Framed-User,#Framed-Protocol= 指定为ppp#Framed-IP-Address=17,（如果终端获取到了IP，用于计费Framed-IP-Netmask=,Framed-Routing=Broadcast-Listen,#Framed-Filter-Id="std.ppp",Framed-MTU=1500,Framed-Compression=Van-Jacobsen-TCP-}这时，多了个steve先用docker——enterradteststevetestinglocalhost1812Access-Acceptmysql启用MySQLradiusd.conf#查找"sql.conf”(683行)，去掉#vim/usr/local/etc/raddb/radiusd.conf配置dialup.conf配置数据库的动态库rlm_sql_mysql.so{database= //##WhichFreeRADIUSdrivertouse.driver="rlm_sql_${database}"//数据库clientDriver#Connectionserver= //数据库ip#port=login="root" password="123456"}启动Servicemysqld 启动成功会显示绿色/.创建radius数据库#123456是你mysql的root密码mysqladmin-uroot-p123456createradius;修改策略表radiuscdsed-i's/radpass/123456/g'sed-i's/radpass/123456/g'mysql-uroot-p123456<mysql-uroot-p123456radius<ippool.sqlmysql-uroot-p123456radius<schema.sqlmysql-uroot-p123456radius<wimax.sqlmysql-uroot-p123456radius<cui.sqlmysql-uroot-p123456radius<nas.sql使用nas代替client配置默认从"/usr/local/etc/raddb/clients.conf"文件读取（#includeclients.conf），开启后可从数据库nas表读取clientsed-i's/\#readclients/readclients/g'nas表插入值、nasname为localhost、shortname为localhost、type为other、secret打开默认功能模块对sqlvim/usr/local/etc/raddb/sites-找到authorize{}模块，注释掉files（159行），去掉sql前的#号（166行找到accounting{}模块，注释掉radutmp(385行),注释掉去掉sql前面的#号(395行)。找到session{}模块，注释掉radutmp（439行），去掉sql前面的#号（443行）。找到post-auth{}模块，去掉sql前的#号（464行），去掉sql前的#号（552行）。vim/usr/local/etc/raddb/sites-enabled/inner-找到authorize{}模块，注释掉files（124行），去掉sql前的#号（131行）找到session{}模块，注释掉radutmp（251行），去掉sql前面的#号（255行）。找到post-auth{}模块，去掉sql前的#号（277行）,去掉sql前的#号（301行）连接MySQLmysql-uroot-#使用radiusUSE#限制同时登陆人数，注意是在radgroupcheckINSERTINTOradgroupcheck(groupname,attribute,op,VALUE)VALUES('normal','Simultaneous-#INSERTINTOradgroupreply(groupname,attribute,op,VALUE)VALUES('TIV','Auth-#INSERTINTOradgroupreply(groupname,attribute,op,VALUE)VALUES('TIV','Service-Type',':=','Framed-#INSERTINTOradgroupreply(groupname,attribute,op,VALUE)VALUES('TIV','Framed-MTU',':=','1500');#TCPIPINSERTINTOradgroupreply(groupname,attribute,op,VALUE)VALUES('TIV','Framed-Compression',':=','Van-Jacobson-TCP-#添加用户demo，密码demo，注意是在radchecINSERTINTOradcheck(username,attribute,op,VALUE)VALUES('demo','Cleartext-Password',':=','demo');INSERTINTOradusergroup(username,groupname)VALUESradtestdemodemolocalhost1812启动1.Linux终端下执行命令：radiusd–X（启动服务radius#vi/etc/f保存并且退出vi重新启动#/etc/init.d/mysqldStoppingMySQL:[OK]StartingMySQL:[OK]登录并修改MySQL的root#WelcometotheMySQLmonitor.Commandsendwith;or\g.YourMySQLconnectionidis3toserverversion:3.23.56Type'help;'or'\h'forhelp.Type'\c'toclearthebuffer.mysql>USEmysql;ReadingtableinformationforcompletionoftableandcolumnnamesYoucanturnoffthisfeaturetogetaquickerstartupwith-ADatabasechangedmysql>UPDATEuserSETPassword=password('new-password')WHEREUser='root';QueryOK,0rowsaffected(0.00sec)Rowsmatched:2Changed:0Warnings:0mysql>flushprivileges;QueryOK,0rowsaffected(0.01sec)mysql>quit#vi/etc/f将刚才在[m