SR8812认证

用户 ---> SR8812 (网关) ---> SR8803 ---> 深澜认证平台 (连接在SR8803上)

在这种情况下，在SR8812上配置direct认证不工作的​​核心原因​​是：​​direct认证模式意味着SR8812设备会尝试在本地处理认证请求，但您的用户数据（用户名/密码）实际上并未配置在SR8812的本地数据库里，而是存放在远端的深澜认证平台上。​​

因此，解决方案不是使用direct，而是需要在SR8812上正确配置指向深澜认证平台的RADIUS方案。

以下是详细的排查思路和配置解决方案：

核心思路：从“本地认证”切换到“RADIUS认证”
您需要在SR8812上完成以下配置，使其能够将认证请求转发到连接在SR8803上的深澜认证平台。

步骤一：确保网络连通性
这是最基本的前提。在SR8812上必须能够​​ping通​​深澜认证平台的IP地址。

# 在SR8812上执行
ping <深澜认证平台的IP地址>
如果无法ping通，请检查：

SR8812和SR8803之间的互联链路（路由）是否正常。

SR8803上是否存在到达深澜平台的路由，并且SR8803是否允许SR8812的流量访问深澜平台（检查ACL或安全策略）。

深澜平台本身的防火墙或安全策略是否允许来自SR8812的RADIUS报文（UDP 1812, 1813）通过。

步骤二：在SR8812上配置RADIUS方案
这一步是告诉SR8812，认证服务器是谁、共享密钥是什么、使用哪些端口。

# 进入系统视图
system-view

# 创建一个名为“srun”的RADIUS方案（名称可自定义）
radius scheme srun

# 配置主RADIUS认证服务器地址和端口
primary authentication <深澜认证平台的IP地址> 1812
# 配置主RADIUS计费服务器地址和端口（如果启用计费）
primary accounting <深澜认证平台的IP地址> 1813

# 配置与认证服务器通信的共享密钥，必须与深澜平台上配置的完全一致
key authentication simple <共享密钥>
key accounting simple <共享密钥>

# （可选但重要）配置用户名格式，通常不携带域名
user-name-format without-domain

# 退出RADIUS方案视图
quit
步骤三：在SR8812上配置认证域（Domain）并引用RADIUS方案
ISP域是认证策略的容器，它决定了对哪些用户使用哪种认证方法。

# 创建并进入一个ISP域，通常使用默认的“system”域或根据需求创建新域（如“***.***”）
domain system

# 配置该域的认证、授权、计费方法为RADIUS方案“srun”
authentication lan-access radius-scheme srun
authorization lan-access radius-scheme srun
accounting lan-access radius-scheme srun

# 退出域视图
quit
​​注意​​：domain system是默认域。如果您的用户登录时没有输入域名（例如username而不是username@***.***），则会使用这个默认的system域。如果您希望用户属于特定域，需要在域视图下配置，并要求用户登录时带上域名。

步骤四：在接口上启用802.1X认证并指定域
在连接用户的接口上（通常是GigabitEthernet接口或BAGG接口）应用802.1X认证。

# 进入连接用户的接口视图
interface GigabitEthernet1/0/1

# 开启802.1X认证
dot1x

# 指定该接口使用的认证域为“system”（与上一步配置的域名称一致）
dot1x mandatory-domain system

# 退出接口视图
quit
步骤五：全局启用802.1X功能
# 在系统视图下全局启用802.1X
dot1x
步骤六：保存配置并测试
# 保存所有配置
save force
现在，让SR8812下的用户重新尝试认证。此时，SR8812会将认证请求通过RADIUS协议转发给SR8803，再由SR8803路由到深澜认证平台进行验证。

总结与常见问题排查点
​​根本原因​​：您最初使用的direct模式是错误的认证方式，它只用于本地认证，而您的用户信息在远端的深澜服务器上。

​​密钥不一致​​：SR8812上配置的RADIUS key必须与深澜认证平台上为​​此客户端（SR8812）​​ 配置的共享密钥​​完全一致​​。这是最常见的问题。

​​防火墙/ACL拦截​​：确保SR8803和深澜平台之间的安全设备没有拦截UDP 1812和1813端口的流量。

​​服务器配置​​：请在深澜认证平台上确认，已经将SR8812的IP地址添加为​​RADIUS客户端​​，并正确配置了相同的共享密钥。

​​查看日志​​：在SR8812上使用display radius statistics命令查看RADIUS报文统计信息，使用display dot1x connection查看用户连接状态。在深澜平台上查看认证日志，通常能看到更详细的错误原因（如“用户不存在”、“密码错误”或“RADIUS客户端不匹配”等）。

按照以上步骤配置后，SR8812下的用户应该就能通过深澜平台成功进行802.1X认证了。