1，问题描述

S5700配置802.1X本地认证,终端使用windows7系统自带的802.1X身份验证,认证失败。

关键配置如下:

#domain default_admin#dot1x enabledot1x authentication-method eapdot1x dhcp-trigger#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin authentication-scheme default local-user huawei password cipher %@%@Wy8E#3khsDf/5qJI& local-user huawei service-type 8021x#interface GigabitEthernet0/0/1 port link-type access dot1x enable#

2，处理过程

1、“default”域是用于普通接入用户(如NAC)的域;“default_admin”域是用于管理员(如HTTPS、SSH、Telnet、Termianl和FTP)的域。因此要把全局认证配置在default域或者其他普通认证域中:

[HUAWEI] aaa[HUAWEI-aaa] domain default[HUAWEI-aaa-domain-default] authentication-scheme default

2、在802.1x认证中,用户通过EAP报文与设备交互认证信息,而设备对EAP报文采用两种方式与RADIUS服务器交互认证信息:

·EAP终结:设备直接解析EAP报文,把报文中的用户认证信息封装到RADIUS报文中发送给RADIUS服务器进行认证。设备与RADIUS服务器之间的EAP终结认证方式可分为PAP与CHAP两种。EAP终结认证时,设备在本地直接解析EAP报文的用户名和密码,用户信息可以在本地AAA模块进行认证。

·EAP中继(对应参数中的eap方式):设备不对接收到的包含用户认证信息的EAP报文作任何处理,直接封装到RADIUS报文中发送给RADIUS服务器完成认证。只有采用RADIUS认证时,802.1x用户的认证方式才可以配置为EAP中继方式。

因为是本地AAA的认证方式,需要把802.1x用户的认证方式设置为EAP终结(chap或者pap):

[HUAWEI] dot1x authentication-method chap

3、windows7目前的身份验证方式中没有EAP终结的方式,不能实现本地认证。需要使用支持MD5质询(EAP终结)的认证方式的第三方客户端软件才能实现。

3，根因

1、802.1X认证用户不能在默认管理员域中认证。

2、802.1X本地认证时,802.1X用户的认证方式必须配置为EAP终结方式。

3、对于Windows7,需要使用支持MD5质询(EAP终结)的认证方式的第三方客户端软件才能实现本地认证。

4，解决方案

1、配置802.1X认证用户认证域为default域或者其他普通认证域。

2、配置802.1X用户的认证方式为EAP终结方式。

3、对于Windows7,更换为支持MD5质询(EAP终结)的认证方式的第三方客户端软件实现认证。

5，建议与总结

接入终端个数较多时,802.1X本地认证会消耗系统资源影响性能,建议使用RADIUS等服务器认证的方式。