ClearPass和華為交換機(jī)的對(duì)接測(cè)試經(jīng)驗(yàn)分享

1、ClearPass對(duì)接測(cè)試華為交換機(jī)陳 琪 華項(xiàng)目情況現(xiàn)場(chǎng)調(diào)試前的項(xiàng)目情況：情報(bào)1：思科交換機(jī)，型號(hào)未知情報(bào)2：華三交換機(jī)，型號(hào)未知情報(bào)3：終端做健康檢查現(xiàn)場(chǎng)與用戶洽談之后的實(shí)際情況：1：思科交換機(jī)為核心設(shè)備，不參與接入認(rèn)證2、接入交換機(jī)為華為5720系列，多臺(tái)交換機(jī)堆疊。3、域電腦做802.1X認(rèn)證，進(jìn)行健康檢查4、非域電腦做MAC認(rèn)證，進(jìn)行健康檢查3用戶需求域電腦802.1X認(rèn)證健康不健康域電腦隔離VLAN 312員工正常VLAN 321IT正常VLAN 328非域電腦MAC認(rèn)證不健康未知健康默認(rèn)VLAN 310非域電腦隔離VLAN 311未知健康默認(rèn)VLAN 310健康非域電腦正常VLA

2、N 313需求分析域電腦域電腦通過(guò)認(rèn)證首次接入，沒(méi)有Agent，未知健康狀態(tài)進(jìn)入默認(rèn)VLAN310，重定向Portal頁(yè)面，下載安裝Agent運(yùn)行Agent，首次檢查健康狀態(tài)為修復(fù)，觸發(fā)端口閃斷第二次認(rèn)證，健康狀態(tài)為修復(fù)第三次認(rèn)證，健康狀態(tài)為正常進(jìn)入修復(fù)VLAN312，進(jìn)行健康修復(fù)動(dòng)作Agent檢查，健康狀態(tài)為正常，觸發(fā)端口閃斷進(jìn)入正常VLAN321需求分析非域電腦非域電腦通過(guò)認(rèn)證首次接入，沒(méi)有Agent，未知健康狀態(tài)進(jìn)入默認(rèn)VLAN310，重定向Portal頁(yè)面，下載安裝Agent運(yùn)行Agent，首次檢查健康狀態(tài)為修復(fù)，觸發(fā)端口閃斷第二次認(rèn)證，健康狀態(tài)為修復(fù)第三次認(rèn)證，健康狀態(tài)為正常進(jìn)入修復(fù)

3、VLAN311，進(jìn)行健康修復(fù)動(dòng)作Agent檢查，健康狀態(tài)為正常，觸發(fā)端口閃斷進(jìn)入正常VLAN313遇到的第1個(gè)問(wèn)題端口閃斷問(wèn)題問(wèn)題描述：端口閃斷一開(kāi)始使用的是Radius CoA，測(cè)試過(guò)程中發(fā)現(xiàn)CoA并沒(méi)有生效放棄Radius CoA后，轉(zhuǎn)向使用Agent的bounce遇到的第2個(gè)問(wèn)題閃斷不觸發(fā)MAC認(rèn)證問(wèn)題描述：在一開(kāi)始測(cè)試的時(shí)候，終端修復(fù)之后要進(jìn)入健康VLAN，端口閃斷之后CPPM沒(méi)有收到MAC認(rèn)證，經(jīng)過(guò)反復(fù)測(cè)試，在DOT1X環(huán)境中沒(méi)有問(wèn)題，但是MAC認(rèn)證就有問(wèn)題端口閃斷沒(méi)有觸發(fā)MAC認(rèn)證，加上之前的Radius CoA問(wèn)題，與華為工程師溝通，決定先升級(jí)OS版本，S5720升級(jí)至12版本S

4、5720升級(jí)完，發(fā)現(xiàn)并沒(méi)有解決MAC認(rèn)證問(wèn)題遇到的第2個(gè)問(wèn)題閃斷不觸發(fā)MAC認(rèn)證（續(xù)）華為工程師開(kāi)了Case，研究了很久，最后被一條命令救回來(lái)了遇到的第3個(gè)問(wèn)題域電腦認(rèn)證會(huì)隨機(jī)觸發(fā)MAC認(rèn)證在域電腦環(huán)境中，CPPM會(huì)收到交換機(jī)送的MAC認(rèn)證，發(fā)生的概率不高，而且是隨機(jī)的，華為Case升級(jí)至專家級(jí)別，但是一直沒(méi)有明確回復(fù)最終流程域電腦域電腦通過(guò)認(rèn)證首次接入，沒(méi)有Agent，未知健康狀態(tài)直接進(jìn)入修復(fù)VLAN312，重定向Portal頁(yè)面，下載安裝Agent運(yùn)行Agent，首次檢查健康狀態(tài)為修復(fù)，觸發(fā)端口閃斷第二次認(rèn)證，健康狀態(tài)為修復(fù)第三次認(rèn)證，健康狀態(tài)為正常Agent檢查，健康狀態(tài)為正常，觸發(fā)端口

5、閃斷進(jìn)入正常VLAN321修復(fù)VLAN312，重定向Portal頁(yè)面，進(jìn)行健康修復(fù)實(shí)際流程域電腦域電腦通過(guò)認(rèn)證首次接入，802.1X認(rèn)證直接進(jìn)入修復(fù)VLAN312，重定向Portal頁(yè)面，運(yùn)行Agent，健康狀態(tài)為正常，觸發(fā)端口閃斷第二次認(rèn)證進(jìn)入正常VLAN321加域電腦推送安裝Agentauthentication-profile name SM-auth dot1x-access-profile SM-access mac-access-profile SM-access access-domain force link-down offline delay 0mac-access-pro

6、file name SM-access mac-authen reauthenticate mac-authen offline dhcp-release mac-authen reauthenticate dhcp-renew mac-authen timer reauthenticate-period 60dot1x-access-profile name SM-access dot1x timer reauthenticate-period 60 dot1x timer client-timeout 2 dot1x reauthenticatedomain authentication-

7、scheme SM_access_control accounting-scheme SM_access_control radius-server SM_access_controlradius-server template SM_access_control radius-server shared-key cipher radius-server authentication 0 1812 weight 80 radius-server accounting 0 1813 weight 80 radius-server retransmit 2 timeout 3 undo radiu

8、s-server user-name domain-included calling-station-id mac-format hyphen-split mode2 uppercaseradius-server authorization 0 shared-key cipher %#authentication-scheme SM_access_control authentication-mode radiusaccounting-scheme SM_access_control accounting-mode radiusinterface GigabitEthernet4/0/9 port link-type hybrid port hybrid pvid vlan 310 undo port hyb