- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-远程802.1X认证典型配置举例(专家模式Web版)
本章节下载: 06-远程802.1X认证典型配置举例(专家模式Web版) (1.08 MB)
远程802.1X认证典型配置举例(专家模式Web版)
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍远程802.1X认证配置举例。
用于客户端进行远程802.1X认证场景。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
如图1所示,Switch作为DHCP server为AP和Client分配IP地址,采用iMC作为RADIUS服务器对用户进行认证、授权和计费,要求:
· 对无线用户进行远程802.1X认证。
· 客户端链路层认证使用开放式系统认证。
· 通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理模式确保用户数据的传输安全。
图1 802.1X身份认证与密钥管理模式组网图
(1) 创建VLAN 29及其对应的VLAN接口,并为该接口配置IP地址。开启DHCP服务,作为AP的管理VLAN。
a. 点击页面底部的<系统>按钮,进入“系统”菜单页面。
b. 点击页面左侧导航栏的[网络配置/VLAN],创建VLAN 29。
图2 创建VLAN
(2) 点击VLAN 29右侧的“
”按钮,进入“修改VLAN”页面,进行如下配置:
¡ 将G1/0/3添加到untagged端口中。
¡ 勾选“创建vlan接口”,配置VLAN接口IP地址为:192.168.29.1/24。
图3 修改VLAN
(3) 点击页面左侧导航栏的[网络配置/服务/DHCP/DNS],然后选择“DHCP”页签,进行如下配置。
a. 点击<启动DHCP>按钮,开启DHCP服务。
b. 点击<增加地址池>按钮,在弹出的“增加DHCP服务器地址池”对话框中输入地址池名称“29”。
c. 点击<确认>按钮。
图4 添加DHCP地址池
d. 配置地址池29动态分配的地址段为192.168.29.0\24,然后点击<确认>按钮。
图5 添加动态分配地址段
e. 选择“地址池选项”页签,配置网关和DNS服务器地址均为192.168.29.1,然后点击“+”符号完成添加。本步骤配置的网关和DNS服务器地址仅为举例,请根据实际组网环境进行配置。
图6 添加网关及DNS服务器
创建VLAN 39及其对应的VLAN接口,并为该接口配置IP地址。开启DHCP服务,Client使用该VLAN接入无线网络。具体操作同上,此处不再重复。
(1) 点击左侧导航栏[网络安全/认证],然后点击“RADIUS”页签,再点击“
”按钮,添加RADIUS方案,进行如下配置:
¡ 方案名称为radius1。
¡ 指定主认证服务器IP地址为192.168.100.175,端口号为1812,共享密钥为12345678。设置主认证服务器状态为活动。
¡ 指定主计费服务器IP地址为192.168.100.175,端口号为1813,共享密钥为12345678。设置主计费服务器状态为活动。
图7 配置RADIUS方案
(2) 点击“显示高级设置”,在显示高级设置里指定发送RADIUS报文使用的源IPv4地址为192.168.100.133,发送给RADIUS服务器的用户名格式为不携带域名,其他保持缺省配置。然后点击<确定>按钮完成配置。
图8 显示高级设置
(3) 点击“RADIUS”页签右上角“高级设置”,开启接收session control报文功能。
图9 开启接收session control报文
点击左侧导航栏的[网络安全/认证],进入“ISP域”页面配置,进行如下配置:
¡ 点击“
”按钮,添加ISP域。
¡ 名称为dot1x,并将该ISP域的状态设置为活动。
¡ 指定接入方式为LAN接入。
¡ 指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择1x。
¡ 单击<确定>按钮。
图10 配置ISP域
(2) 配置802.1X
点击页面底部的<网络>按钮,然后点击左侧导航栏[网络安全/访问控制],然后再点击页面右上角的“
”按钮,认证方式选择EAP,点击<确定>按钮。
图11 认证方式选择
单击左侧导航栏的[无线配置/AP管理],选择“AP”页签,进入AP管理配置页面,点击“
”按钮新增AP,进行如下配置:
¡ 配置AP名称为ap1,型号名称选择WAP722S,并配置序列号219801A0VX9174G00709。提示:此处根据实际的AP序列号来填写。
¡ 单击<确定>按钮。
图12 新建AP
(1) 单击左侧导航栏的[无线配置/无线网络],进入无线网络配置页面,点击“
”按钮新增无线服务,进行如下配置:
¡ 基础设置部分配置无线服务名称为1x、SSID为1x、开启无线服务模板、配置VLAN为39。
¡ 安全认证部分认证模式选择802.1X认证。
¡ 域名为dot1x。
¡ 单击<确定并进入高级设置>按钮。
图13 配置无线服务
(2) 在高级设置页面,点击“链路层认证”页签,进行如下配置:
¡ 配置安全模式为WPA2。
¡ 配置加密套件为CCMP。
¡ 单击<确认>按钮。
图14 配置链路层认证
(3) 点击“绑定”页签,将“ap1”和无线服务模板“1x”做绑定,然后点击<确定>按钮。
图15 绑定AP
由于客户端网关就在AC上,且AC和服务器同网段。所以添加服务器侧 客户端192.168.39.0/24网段的路由即可,此处略。
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC UAM 7.1(E0304)),说明AAA服务器的基本配置。
· 在服务器上已经完成证书的安装。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入配置管理页面。在该页面中点击<增加>按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为12345678;
· 选择证书认证为EAP证书认证;
· 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。
· 选择或手工增加接入设备,添加IP地址为192.168.100.133的接入设备;
· 点击<确定>按钮完成操作。
图16 增加接入设备页面
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入增加接入策略页面。
· 设置接入策略名输入dot1x;
· 其它保持缺省配置,点击<确定>按钮完成操作;
图17 增加服务策略页面
选择“用户”页签,单击导航树[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
· 设置服务名为dot1x;
· 设置缺省接入策略为已经创建的dot1x策略;
· 其它保持缺省配置,点击<确定>按钮完成操作。
图18 增加接入服务页面
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 添加用户dot1x;
· 添加账号名为dot1x,密码为123456;
· 选中之前配置的服务dot1x;
· 其它保持缺省配置,点击<确定>按钮完成操作。
图19 增加接入用户页面
下面以Windows 7系统电脑终端为例,说明无线网卡的配置。
(1) 打开“开始”菜单,单击“控制面板”,进入控制面板窗口,然后单击“查看网络状态和任务”,进入到了“网络和共享中心”。
(2) 单击“管理无线网络”,进入管理无线网络窗口,然后<添加>按钮,选择“手动创建网络配置文件(M)”添加无线网络信息。
¡ 输入网络名:1x;
¡ 选择安全类型:WPA2-企业;
¡ 加密类型:AES;
¡ 其它保持缺省配置,然后单击“下一步”。
(3) 网络创建成功后,选择“更改连接设置(H)”,进入无线网络属性对话框,然后单击“安全”页签,在“选择网络身份验证方法”下拉框中选择“Microsoft:受保护的EAP(PEAP)”,将“每次登录时记住此连接的凭据”前的复选框中的勾去掉。
(4) 单击<设置>按钮,进入“保护的EAP属性”对话框。
¡ 去掉“验证服务器证书(V)”前复选框中的勾;
¡ 去掉“启用快速重新连接”前复选框中的勾;
¡ 单击“选择身份验证方法(S)”后面的<配置>按钮;
¡ 在弹出的“EAP MSCHAPv2属性”对话框中,去掉复选框中的勾;
¡ 单击<确定>按钮,返回“受保护的EAP属性”界面,再单击<确定>按钮。
(5) 选择“更改连接设置(H)”,进入无线网络属性对话框。在无线网络属性对话框中,单击<高级设置>按钮,进入高级设置对话框。在802.1X设置页签中,勾选“指定身份验证模式”,然后,在下拉框中选择“用户身份验证”。
(6) 单击“802.11设置”页签,去掉“启用成对主密钥(PMK)缓存”前的复选框中的勾,然后单击<确定>按钮。
用电脑连接1x无线后,在弹出的登录认证页面中输入认证账号和密码:dot1x/123456通过认证后才能成功连接无线。
· 《H3C 无线控制器产品Web网管配置指导》
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
