ClearPass和华为交换机的对接测试经验分享

1、ClearPass对接测试华为交换机陈 琪 华项目情况现场调试前的项目情况：情报1：思科交换机，型号未知情报2：华三交换机，型号未知情报3：终端做健康检查现场与用户洽谈之后的实际情况：1：思科交换机为核心设备，不参与接入认证2、接入交换机为华为5720系列，多台交换机堆叠。3、域电脑做802.1X认证，进行健康检查4、非域电脑做MAC认证，进行健康检查3用户需求域电脑802.1X认证健康不健康域电脑隔离VLAN 312员工正常VLAN 321IT正常VLAN 328非域电脑MAC认证不健康未知健康默认VLAN 310非域电脑隔离VLAN 311未知健康默认VLAN 310健康非域电脑正常VLA

2、N 313需求分析域电脑域电脑通过认证首次接入，没有Agent，未知健康状态进入默认VLAN310，重定向Portal页面，下载安装Agent运行Agent，首次检查健康状态为修复，触发端口闪断第二次认证，健康状态为修复第三次认证，健康状态为正常进入修复VLAN312，进行健康修复动作Agent检查，健康状态为正常，触发端口闪断进入正常VLAN321需求分析非域电脑非域电脑通过认证首次接入，没有Agent，未知健康状态进入默认VLAN310，重定向Portal页面，下载安装Agent运行Agent，首次检查健康状态为修复，触发端口闪断第二次认证，健康状态为修复第三次认证，健康状态为正常进入修复

3、VLAN311，进行健康修复动作Agent检查，健康状态为正常，触发端口闪断进入正常VLAN313遇到的第1个问题端口闪断问题问题描述：端口闪断一开始使用的是Radius CoA，测试过程中发现CoA并没有生效放弃Radius CoA后，转向使用Agent的bounce遇到的第2个问题闪断不触发MAC认证问题描述：在一开始测试的时候，终端修复之后要进入健康VLAN，端口闪断之后CPPM没有收到MAC认证，经过反复测试，在DOT1X环境中没有问题，但是MAC认证就有问题端口闪断没有触发MAC认证，加上之前的Radius CoA问题，与华为工程师沟通，决定先升级OS版本，S5720升级至12版本S

4、5720升级完，发现并没有解决MAC认证问题遇到的第2个问题闪断不触发MAC认证（续）华为工程师开了Case，研究了很久，最后被一条命令救回来了遇到的第3个问题域电脑认证会随机触发MAC认证在域电脑环境中，CPPM会收到交换机送的MAC认证，发生的概率不高，而且是随机的，华为Case升级至专家级别，但是一直没有明确回复最终流程域电脑域电脑通过认证首次接入，没有Agent，未知健康状态直接进入修复VLAN312，重定向Portal页面，下载安装Agent运行Agent，首次检查健康状态为修复，触发端口闪断第二次认证，健康状态为修复第三次认证，健康状态为正常Agent检查，健康状态为正常，触发端口

5、闪断进入正常VLAN321修复VLAN312，重定向Portal页面，进行健康修复实际流程域电脑域电脑通过认证首次接入，802.1X认证直接进入修复VLAN312，重定向Portal页面，运行Agent，健康状态为正常，触发端口闪断第二次认证进入正常VLAN321加域电脑推送安装Agentauthentication-profile name SM-auth dot1x-access-profile SM-access mac-access-profile SM-access access-domain force link-down offline delay 0mac-access-pro

6、file name SM-access mac-authen reauthenticate mac-authen offline dhcp-release mac-authen reauthenticate dhcp-renew mac-authen timer reauthenticate-period 60dot1x-access-profile name SM-access dot1x timer reauthenticate-period 60 dot1x timer client-timeout 2 dot1x reauthenticatedomain authentication-

7、scheme SM_access_control accounting-scheme SM_access_control radius-server SM_access_controlradius-server template SM_access_control radius-server shared-key cipher radius-server authentication 0 1812 weight 80 radius-server accounting 0 1813 weight 80 radius-server retransmit 2 timeout 3 undo radiu

8、s-server user-name domain-included calling-station-id mac-format hyphen-split mode2 uppercaseradius-server authorization 0 shared-key cipher %#authentication-scheme SM_access_control authentication-mode radiusaccounting-scheme SM_access_control accounting-mode radiusinterface GigabitEthernet4/0/9 port link-type hybrid port hybrid pvid vlan 310 undo port hyb