V7acdf的本地1X案例。

V7acdf的本地1X案例。

一、 网络拓扑与需求​​
​​拓扑结构：​​

+-----+ +------+ +---+
| PC |----| AP |----| AC | (认证服务器功能)
+-----+ +------+ +---+
STA (FIT模式)
​​用户终端（PC/STA）​​：安装802.1X客户端软件（如iNode）或使用操作系统自带的802.1X客户端。

​​认证点（AP）​​：工作在FIT模式，负责接收用户报文并通过CAPWAP隧道透传给AC处理。

​​认证控制器（AC）​​：作为 authenticator-system (认证者系统)

处理AP发来的用户认证请求。

​​同时作为认证服务器（AS）​​：本地校验用户密码（用户名/密码存储在AC上）。

下发访问权限（VLAN、ACL等）。

​​业务需求：​​

员工连接无线SSID H3C-802.1X后，需要输入用户名和密码进行认证。

用户认证信息在AC上本地验证。

认证成功后，用户被划分到VLAN 10，并获取10.10.10.0/24网段的IP地址。

采用PAP或CHAP认证方式。

​​二、 配置步骤与命令​​
以下配置均在AC上进行。

​​第1步：创建本地用户数据库​​
这是“本地认证”的核心，用于创建用户名和密码。

# 进入系统视图
<AC> system-view

# 创建用户`testuser`，并进入本地用户视图
[AC] local-user testuser class network

# 设置登录密码，`cipher`表示密文存储。这里以密码`123456`为例。
[AC-luser-network-testuser] password cipher 123456

# 设置用户可使用的服务类型为`lan-access`（802.1X认证属于lan-access）
[AC-luser-network-testuser] service-type lan-access

# 授权对应用户的权限级别，网络接入用户通常无需高级别，3级是可登录
[AC-luser-network-testuser] authorization-attribute level 3

# (可选) 授权该用户认证成功后所属的VLAN
[AC-luser-network-testuser] authorization-attribute vlan 10

# 退出本地用户视图
[AC-luser-network-testuser] quit
​​第2步：配置ISP域和认证方法​​
ISP域用于定义认证、授权、计费的方法。这里指定认证和授权为本地（local）。

# 创建并进入一个ISP域，名为`h3c`（这是默认域，也可用其他名字）
[AC] domain h3c

# 配置该域的认证方法为本地认证
[AC-isp-h3c] authentication lan-access local

# 配置该域的授权方法为本地授权
[AC-isp-h3c] authorization lan-access local

# 配置该域的计费方法为本地计费（即使不计费也需配置）
[AC-isp-h3c] accounting lan-access local

# 退出ISP域视图
[AC-isp-h3c] quit
​​第3步：配置802.1X认证方案​​
定义认证过程中的一些参数。

# 开启全局802.1X功能
[AC] dot1x

# （可选）创建802.1X方案，默认可不配，使用缺省参数
[AC] dot1x scheme dot1x_scheme
[AC-dot1x-dot1x_scheme] quit
​​第4步：配置无线服务模板（关键）​​
将802.1X认证应用到无线服务上。

# 创建名为`H3C-802.1X`的无线服务模板，ID为1，并进入模板视图
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid H3C-802.1X

# 配置802.1X认证方式（必选）
# 可选模式：chap, eap, pap, peap。 常用pap或chap。
[AC-wlan-st-1] akm mode dot1x
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn

# 指定用户认证使用的ISP域为`h3c`
[AC-wlan-st-1] dot1x domain h3c

# (可选)如果创建了认证方案，可以指定
# [AC-wlan-st-1] dot1x scheme dot1x_scheme

# 开启服务模板
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
​​第5步：应用无线服务模板​​
将配置好的服务模板绑定到AP上。

# 进入AP视图（假设AP名为`ap1`，型号为`WA6320`）
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 210235A12345678 # 通常用AP的序列号注册

# 将射频卡`radio 1`（2.4G）绑定服务模板1
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] service-template 1

# 激活射频卡
[AC-wlan-ap-ap1-radio-1] radio enable

# 同理配置射频卡`radio 2`（5G）
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] return
​​三、 验证与排查​​
​​1. 验证命令​​
# 查看在线802.1X用户连接信息
<AC> display dot1x connection

# 查看所有本地用户信息
<AC> display local-user

# 查看无线客户端连接状态
<AC> display wlan client
​​2. 客户端配置​​
在员工电脑上，连接SSID H3C-802.1X，系统会弹出认证窗口。

​​EAP方法​​：如果AC配置了akm mode dot1x eap，客户端需选择MD5-Challenge。

​​身份​​：输入用户名 testuser

​​密码​​：输入密码 123456

​​3. 常见问题排查​​
​​认证失败​​：

检查AC上的用户名密码是否与客户端输入完全一致。

检查ISP域 h3c的认证方法是否配置为 local。

检查用户 testuser的 service-type是否包含 lan-access。

​​客户端无法发现SSID​​：

检查AP射频卡是否 radio enable。

检查服务模板是否 service-template enable。

检查服务模板是否正确绑定到AP的射频卡上。

​​获取不到IP地址​​：

检查AC上或下游交换机连接AP的端口是否允许VLAN 10通过。

检查AC或核心交换机上是否存在VLAN 10的接口地址，并启用了DHCP服务。

这个配置案例涵盖了华三V7 AC本地802.1X认证的核心步骤。请根据您的实际网络环境（如VLAN、IP地址、AP型号和名称）替换相应的配置参数。

您好，参考

V7ac的本地1X案例。 - 知了社区