H3C交换机802.1X认证实战：从零搭建旁路RADIUS认证网络-CSDN博客

1. 为什么需要802.1X？从“谁都能连”到“凭证准入”的转变

想象一下你公司的网络，就像一栋开放式办公大楼，以前谁都能随便进，插上网线就能上网。这方便是方便，但问题也来了：访客、未授权的设备，甚至是不小心接入的私人电脑，都可能成为安全漏洞的入口。一旦有设备中毒或者被恶意控制，它就能在内部网络里“横冲直撞”，窃取数据或者搞破坏。这时候，你就需要一个“网络门卫”，对每一个想进入网络的设备进行盘查，确认身份后才放行。802.1X协议就是这个“门卫”，而H3C交换机就是执行这个门卫规则的“保安队长”。

简单来说，802.1X是一种基于端口的网络接入控制协议。它的核心逻辑是“未认证，不通行”。在开启802.1X的交换机端口上，初始状态下，除了认证报文（EAPOL），其他所有数据流量都会被无情地丢弃。只有当用户通过客户端（比如我们常用的iNode）提交了正确的用户名和密码，并经过后台的RADIUS服务器验证通过后，交换机才会打开这个端口的“数据阀门”，允许该用户对应的设备访问网络资源。这种“旁路RADIUS认证”的架构特别经典，认证服务器（RADIUS）不直接处在数据转发的路径上，而是旁挂在一边，只负责做身份验证的决策。这样做的好处是，即使RADIUS服务器临时故障，我们还可以通过配置本地认证作为备份，不影响网络的认证功能，架构上也更清晰、灵活。

我见过不少企业，初期为了图省事，所有端口都是“信任”模式，结果内网ARP欺骗、IP冲突、非法接入等问题层出不穷，排查起来简直是大海捞针。后来上了802.1X，这些问题立刻少了一大半。因为每个接入点都变得可控、可审计。谁、在什么时候、通过哪个端口接入了网络，一目了然。这对于满足网络安全等级保护的要求，或是单纯想提升内网管理精细度的团队来说，是性价比极高的一步。接下来，我就手把手带你，从零开始，搭建一套基于H3C交换机的旁路RADIUS认证网络。

2. 实战环境搭建：理清脉络，模拟真实战场

在真正敲命令之前，我们必须先把实验环境搭好，理清楚设备之间的连接关系和IP规划。纸上谈兵永远不如实战演练，我这里会用一个非常典型且清晰的拓扑来演示，你完全可以照着这个思路在自己的实验环境或模拟器里复现。

我们的目标网络结构很简单，但五脏俱全。核心是一台H3C交换机（假设型号是S6850，但配置命令在H3C Comware V7平台通用），我们叫它SW1。SW1需要连接三个部分：首先是需要被管控的客户端（Client），我们假设它的IP是192.168.10.100，它连接在SW1的GigabitEthernet1/0/1端口上，这个端口属于VLAN 10。其次，是旁路部署的RADIUS服务器，我们选用Windows环境下简单易用的WinRadius作为示例，它的IP是172.16.1.100，连接在SW1的另一个端口（比如GE1/0/24）上，这个端口属于VLAN 20。最后，SW1还需要一个端口连接出口路由器（R1），用于访问互联网，这个互联地址我们规划为10.1.1.0/30网段。

这里有个关键点：客户端、RADIUS服务器、交换机管理地址，三者最好不在同一个广播域（VLAN）。这是一种基本的安全和隔离原则。把认证服务器放在一个独立的管理VLAN里，能减少它被客户端直接扫描或攻击的风险。所以，我们的VLAN规划如下：VLAN 10给用户接入，网关是192.168.10.1；VLAN 20给服务器，网关是172.16.1.1；VLAN 1000（或其他任意ID）用于上行连接路由器。IP地址也按这个规划配置。

对于实验环境，如果你没有真机，强烈推荐使用H3C官方提供的HCL（H3C Cloud Lab）模拟器。在HCL里，你可以轻松拖出一台交换机、一台路由器和几台PC。将交换机的端口与PC的虚拟网卡桥接，就能完美模拟真实连线。比如，把SW1的GE1/0/1桥接到你电脑上的一块虚拟网卡（比如VMnet1），把这快网卡的IP设为192.168.10.100，这台PC就模拟了客户端。同样，把SW1连接RADIUS的端口桥接到另一块虚拟网卡（VMnet2），并在该网卡所在的Windows系统里安装运行WinRadius，就模拟了服务器。这种基于桥接的方式，能让你的实验环境和真实网络交互几乎无异。

3. 核心交换机配置：一步一步，构建认证骨架

环境就绪，现在我们登录到H3C交换机SW1的命令行界面。接下来的配置是整篇文章的核心，我会逐条解释命令的含义，让你不仅知道怎么配，更明白为什么这么配。配置顺序一般遵循“先底层后高层，先基础后功能”的原则。

3.1 打好基础：VLAN与IP地址配置

首先，我们需要创建VLAN并给三层接口（SVI接口）配好IP，这是网络互通的基础。

# 创建VLAN
vlan 10
vlan 20
vlan 1000

# 进入物理接口，将其划入对应的VLAN
interface GigabitEthernet1/0/1
 port link-mode bridge  # 设置为二层模式
 port