建议802.1X(H3C、华为交换机)+Dynamic VLANs时vlan-id匹配使用十六进制方式

之前在H3C交换机下配置802.1x时，按照我的习惯，会在建议的domain 中，使用如下命令：

vlan-assignment-mode string

意思是vlan匹配使用字符串模式，在这种方式下，IAS（Radius Server）中Tunnel-Pvt-Group-ID,会填写vlan的name属性，例如：it-dept，这个配置在H3C环境下使用得非常好。

但是以我的经验，不是所有的交换机都会有vlan-name属性（倒是基本都有vlan-description属性）。因此当环境中有多种交换机时，IAS的配置就会变得非常困难。这种情况下，建议配置成vlan-assignment-mode integer从字面理解应该为整型匹配，实践中如果将IAS的Tunnel-Pvt-Group-ID填写成vlan-id属性的话，IAS日志会显示验证成功，但客户端上会显示验证失败。（因为IAS的Tunnel-Pvt-Group-ID配置里面只有字符串和十六进制两种选择，并没有十进制选项）。

这种情况下，在IAS中选成十六进制，然后将vlan-id转换成十六进制，例如vlan-id:21,就写成：0x0016即可。这样就可以顺利通过验证。

 

注：

为什么建议写成十六进制的匹配方式，因为大多数的厂商使用十六进制来匹配VLAN-ID号应该是没有问题的，另外，在我的环境中，使用了SNAC，SNAC和IAS进行通讯时，只能使用十六进制进行交互（实践结果）。

做此日志，以便后查。