从零搭建企业级网络准入：用Agile Controller-Campus + 华为交换机实战802.1X认证

企业级网络准入实战：基于Agile Controller-Campus与华为交换机的802.1X认证全流程解析

在数字化转型浪潮下，企业网络边界日益模糊，传统的IP/MAC绑定等静态管控手段已难以应对移动办公、BYOD等场景的安全挑战。802.1X认证作为IEEE定义的标准协议，通过"用户+设备"双重认证机制，实现了网络访问的动态权限控制。本文将完整演示如何利用华为Agile Controller-Campus（以下简称AC）与交换机搭建生产级网络准入系统，涵盖从环境准备、组件部署到策略联动的全生命周期实践。

1. 实验环境规划与基础配置

构建企业级NAC系统前，需明确各组件角色与网络拓扑。典型架构包含三要素：

• 控制中心：AC的SM/SC组件，负责策略管理与认证决策
• 执行节点：华为交换机作为NAD（网络接入设备），实施端口级控制
• 终端：安装标准802.1X客户端或使用浏览器认证的PC

推荐实验配置：

+-------------------+ +-------------------+ +-------------------+ | AC Server | | Huawei Switch | | Client PC | | (VMware ESXi) |-----| (S5720-52X-LI) |-----| (Win10+客户端) | | - SM:192.168.1.100| | - VLAN10:10.1.1.1| | - DHCP获取地址 | | - SC:192.168.1.101| +-------------------+ +-------------------+ +-------------------+

关键提示：实际部署时建议将AC管理口与业务口分属不同VLAN，本文为简化实验采用单臂部署

1.1 虚拟化平台准备

AC支持部署在VMware ESXi或Workstation环境，本例采用Workstation 16 Pro：

1. 创建Windows Server 2012 R2虚拟机（最低配置）：

   • vCPU：4核
   • 内存：8GB
   • 磁盘：100GB（系统盘）+ 200GB（数据盘）
   • 网络适配器：桥接模式（与物理交换机直连）

2. 操作系统基础优化：

# 关闭IE增强安全配置 Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Active Setup\Installed Components\{A509B1A7-37EF-4b3f-8CFC-4F3A74704073}" -Name "IsInstalled" -Value 0 # 启用远程桌面 Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

1.2 数据库与服务组件

AC依赖SQL Server作为后台数据库，需按序安装：

1. SQL Server 2008 R2（最低要求）：

   • 安装时选择"数据库引擎服务"+"管理工具"
   • 认证模式选择"混合模式"，设置sa密码
   • 启用TCP/IP协议（默认端口1433）

2. .NET Framework 3.5： 通过服务器管理器添加功能时，需指定备用源路径：

   dism /online /enable-feature /featurename:NetFX3 /All /Source:D:\sources\sxs /LimitAccess

2. Agile Controller-Campus核心部署

2.1 组件化安装

AC采用SM（业务管理器）与SC（业务控制器）分离架构：

1. 运行安装程序时勾选双组件：

   [√] Service Manager [√] Service Controller

2. 网络参数配置建议：

   • 管理IP：192.168.1.100/24（HTTPS访问）
   • 业务IP：192.168.1.101/24（RADIUS通信）
   • 避免使用80/443等常见端口，推荐8443

3. 数据库连接测试：

   服务器：localhost\SQLEXPRESS 认证：SQL Server身份验证 用户名：sa 密码：********

2.2 初始化配置

首次登录AC控制台（https://IP:8443）需完成：

1. 修改默认密码：

   • 原密码：admin/Changeme123
   • 新密码需包含大小写字母+数字+特殊字符

2. License激活： 通过华为企业支持网站获取试用License，导入后重启服务

3. 时间同步配置：

   # 配置NTP服务器 w32tm /config /syncfromflags:manual /manualpeerlist:"ntp.aliyun.com" net stop w32time && net start w32time

3. 华为交换机802.1X配置详解

3.1 RADIUS基础模板

华为交换机需与AC建立RADIUS通信，关键配置包括：

[SW1] radius-server template AC_RADIUS [SW1-radius-AC_RADIUS] radius-server shared-key cipher Huawei@123 [SW1-radius-AC_RADIUS] radius-server authentication 192.168.1.101 1812 weight 80 [SW1-radius-AC_RADIUS] radius-server accounting 192.168.1.101 1813 weight 80 [SW1-radius-AC_RADIUS] radius-server retransmit 2 [SW1-radius-AC_RADIUS] quit

注意：shared-key需与AC侧配置完全一致，建议采用复杂字符串

3.2 AAA认证方案

创建802.1X专属认证域：

[SW1] aaa [SW1-aaa] authentication-scheme dot1x_scheme [SW1-aaa-authen-dot1x_scheme] authentication-mode radius [SW1-aaa-authen-dot1x_scheme] quit [SW1-aaa] accounting-scheme dot1x_account [SW1-aaa-accounting-dot1x_account] accounting-mode radius [SW1-aaa-accounting-dot1x_account] accounting realtime 15 [SW1-aaa-accounting-dot1x_account] quit [SW1-aaa] domain dot1x_domain [SW1-aaa-domain-dot1x_domain] authentication-scheme dot1x_scheme [SW1-aaa-domain-dot1x_domain] accounting-scheme dot1x_account [SW1-aaa-domain-dot1x_domain] radius-server AC_RADIUS [SW1-aaa-domain-dot1x_domain] quit

3.3 端口级启用

在接入端口启用802.1X认证：

[SW1] interface GigabitEthernet 0/0/1 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] dot1x enable [SW1-GigabitEthernet0/0/1] dot1x authentication-method eap [SW1-GigabitEthernet0/0/1] dot1x mandatory-domain dot1x_domain [SW1-GigabitEthernet0/0/1] quit

关键参数对比：

4. AC策略配置与联动测试

4.1 用户与设备管理

1. 创建用户组：

   • 路径：用户管理→用户组→新建（如"研发部"）
   • 建议按组织结构划分，便于后续权限分配

2. 批量导入用户： 通过CSV模板导入用户信息，支持字段：

   username,password,display_name,email,department user1,Passw0rd!,张三,zhangsan@example.com,研发部

3. NAD设备注册：

   设备管理→准入设备→添加 - IP：交换机管理IP - 共享密钥：Huawei@123（与交换机配置一致） - 类型：标准交换机

4.2 动态授权策略

实现基于角色的网络访问控制：

1. 动态ACL定义：

   策略元素→动态ACL→新建 - 名称：研发网段访问 - 规则：permit ip 10.1.1.0 0.0.0.255 any

2. 授权结果绑定：

   认证授权→授权结果→新建 - 结果类型：动态ACL - 绑定：研发网段访问

3. 认证规则配置：

   认证授权→认证规则→新建 - 条件：用户组=研发部 + 接入设备=SW1 - 协议：EAP-PEAP-MSCHAPv2

4.3 终端验证与排错

1. Windows客户端配置：

   • 打开"有线自动配置"服务（Wired AutoConfig）
   • 网络适配器→身份验证→启用802.1X认证
   • EAP类型选择"受保护的EAP（PEAP）"

2. 常见故障排查：

   • 认证超时：检查交换机与AC间网络连通性

   ping 192.168.1.101

   • 密钥不匹配：确认RADIUS共享密钥两端一致
   • EAP协商失败：客户端与AC需使用相同EAP类型

3. 上线验证命令：

   display dot1x interface GigabitEthernet 0/0/1 # 查看端口认证状态 display access-user # 查看在线用户

5. 生产环境增强建议

5.1 高可用部署

• AC集群：部署多台SC实现负载均衡

  业务管理→高可用性→SC集群配置 - 主SC：192.168.1.101 - 备SC：192.168.1.102

• 交换机级联：配置RADIUS备份服务器

  radius-server template AC_RADIUS radius-server backup 192.168.1.102 1812

5.2 安全加固

1. 证书认证：

   • 在AC上部署企业CA颁发的证书
   • 客户端配置验证服务器证书

2. 访客网络隔离：

   认证授权→授权结果→新建 - 类型：VLAN - VLAN ID：100（隔离专用）

3. 终端合规检查：

   策略管理→终端安全检查→新建 - 检查项：防病毒软件、补丁版本 - 动作：不符合时重定向到修复页面

5.3 运维监控

1. 日志分析：

   • 配置Syslog服务器接收AC审计日志
   • 关键事件：认证失败、策略变更

2. 性能监控：

   运维监控→性能监控 - 关键指标：RADIUS响应时间、并发会话数 - 阈值告警：CPU>80%持续5分钟

3. 报表定制：

   报表管理→新建定制报表 - 周期：每日 - 内容：用户认证TOP10、设备接入趋势