5130s-ei做802.1x认证终端ip获取

参考手册 H3C园区盒式交换机 CLI快速配置指南-6W104——————————802.1X快速配置指南

S5130S-EI 802.1X 上传终端 IP 给 RADIUS 服务器完整方案
一、核心结论
S5130S-EI 完全支持采集终端 IP 并上传给 iMC/EIA 认证服务器，分两种上报机制：
方式 1：iNode 客户端 EAP 报文携带终端 IP（认证阶段直接上传，推荐）
方式 2：交换机 DHCP Snooping 绑定 IP-MAC，计费报文携带用户 IP（无 iNode 客户端时使用）
交换机必须开启dot1x send-ip，同时配合 DHCP Snooping，交换机才能拿到终端 IP；纯静态 IP 场景仅能依靠 iNode 客户端上报 IP。
二、前置依赖条件
终端必须通过交换机 DHCP 分配地址（DHCP Snooping 抓取 IP-MAC 绑定）；静态 IP 终端只能靠 iNode 客户端上报 IP。
认证服务器为 iMC EIA（标准 RADIUS 无对应扩展属性，无法解析 H3C 私有 IP 字段）。
终端安装iNode PC 客户端（Windows 自带 802.1X 无 EAP 携带 IP 能力）。
三、交换机完整配置（Comware V7 S5130S-EI）
1. 基础 DHCP Snooping（抓取终端 IP-MAC 绑定，交换机获取终端 IP）
plaintext
system-view
# 全局开启DHCP Snooping
dhcp snooping enable
dhcp snooping check mac-address enable
# 上联DHCP服务器口设为信任口
interface GigabitEthernet 1/0/24
dhcp snooping trust
# 接入端口全局批量配置
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/23
dhcp snooping untrust
dot1x authentication method eap
dot1x
dot1x port-method eap
# 关键：开启802.1X向RADIUS上传终端IP
dot1x send-ip
2. RADIUS 方案配置（必须开启私有扩展属性，才能携带 IP）
plaintext
radius scheme imc
primary authentication 192.168.40.139 1812
primary accounting 192.168.40.139 1813
key authentication simple 123456
key accounting simple 123456
# 开启H3C私有RADIUS属性（必配，否则服务器收不到终端IP）
h3c private-attribute enable
user-name-format without-domain
quit
# ISP域绑定认证/授权/计费
domain system
authentication lan-access radius-scheme imc
authorization lan-access radius-scheme imc
accounting lan-access radius-scheme imc
quit
3. 全局 802.1X 基础配置
plaintext
dot1x authentication-method eap
# 全局开启上传终端IP（和接口下dot1x send-ip二选一，全局更省事）
dot1x send-ip global
# 开启计费（计费报文会二次上报终端IP，用于日志溯源）
dot1x accounting enable
四、两种 IP 上报原理区分
方案 A：iNode 客户端 EAP 认证报文携带 IP（优先推荐）
终端 iNode 客户端内置逻辑，EAP-PEAP 报文中携带本机 IP；
交换机开启dot1x send-ip后，把客户端上报的 IP 封装进H3C 私有 RADIUS 属性（H3C-Client-IP） 发给 iMC；
优点：认证完成 iMC 立刻获取 IP，无需等 DHCP 分配、无静态 IP 限制。
方案 B：DHCP Snooping 绑定 + 计费报文上报（无 iNode 客户端场景）
交换机通过 DHCP Snooping 抓取终端 IP-MAC 绑定表；
用户认证上线后，计费起始报文中携带抓取到的 IP 发给服务器；
缺点：认证完成后要等 DHCP 分配地址，静态 IP 终端无法获取 IP。
五、iMC EIA 服务器配套配置（缺一不可）
接入设备管理添加交换机，共享密钥和交换机保持一致；
接入服务开启「获取客户端 IP 地址」选项；
接入策略开启 IP 绑定校验（可选，实现账号 + IP 绑定准入）；
查看路径：用户→在线用户管理，每条在线记录会显示终端 IP、MAC、账号。
六、验证排查命令
plaintext
# 查看在线802.1X用户，确认已抓取终端IP
display dot1x connection verbose
# 查看DHCP Snooping绑定表，确认终端IP-MAC已学习
display dhcp snooping binding
# 查看RADIUS报文私有属性开关状态
display radius scheme imc
# 查看802.1X上传IP功能是否开启
display dot1x configuration | include send-ip
七、常见问题
iMC 看不到终端 IP
未配置h3c private-attribute enable；
未开启dot1x send-ip；
终端使用 Windows 自带 802.1X，无 iNode 客户端无法上报 IP；
DHCP Snooping 未抓取到 IP（下联口未设 untrust、上联 DHCP 口未 trust）。
静态 IP 终端无法上传 IP
必须安装 iNode 客户端，仅靠 DHCP Snooping 无法获取静态 IP。
极简总结
S5130S-EI 支持 802.1X 上传终端 IP 给 iMC，核心命令dot1x send-ip；搭配 DHCP Snooping 抓取动态 IP，iNode 客户端上报静态 IP；RADIUS 方案开启h3c private-attribute enable才能让服务器接收终端 IP 字段。