• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-WLAN配置指导

目录

04-WLAN用户接入认证配置

本章节下载 04-WLAN用户接入认证配置  (677.70 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/LA_wireless/H3C_LA3616/Configure/Operation_Manual/H3C_LA_CG(V7)-R0304-6W101/02/201803/1073569_30005_0.htm

04-WLAN用户接入认证配置


1 WLAN用户接入认证配置

说明

本文中的AP指的是LA3616无线网关。

 

1.1  WLAN用户接入认证简介

WLAN用户接入认证是一种基于用户的安全接入管理机制,根据用户MAC地址来进行访问控制。本特性主要实现802.1X、MAC地址认证和OUI认证三种认证方式。

·     802.1X认证作为一种在无线网络中被广泛应用的接入控制机制,主要解决无线网络内认证和安全方面的问题。802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间,EAP协议报文使用EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)封装格式的802.11报文,直接承载于无线环境中。在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继,使用RADIUS协议封装EAPOR报文;另一种是EAP协议报文由设备端进行终结,采用包含PAP或CHAP属性的报文与RADIUS服务器进行认证交互。

·     MAC地址认证不需要用户安装任何客户端软件。设备在检测到用户的MAC地址以后,对该用户进行认证操作。认证过程中,不需要用户手动输入用户名或者密码,若该用户认证成功,则允许其访问网络资源,否则该用户则无法访问网络资源。

·     OUI(Organizationally Unique Identifier,全球统一标识符)是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。采用OUI认证方式后,如果用户的MAC地址与设备配置的OUI能匹配上,则认证成功,否则认证失败。

AP典型组网图如图1-1所示。

图1-1 AP典型组网图

 

1.1.2  802.1X认证

有关802.1X的体系结构、EAP中继、EAP终结及EAP报文的封装的详细介绍请参见“安全配置指导”中的“802.1X“。

 

设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互,AP为认证设备。

1. EAP中继认证方式

EAP中继认证方式将EAP承载在其它高层协议中,如EAP over RADIUS,以便EAP报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator。

图1-2所示,以MD5-Challenge类型的EAP认证为例,具体认证过程如下。

图1-2 AP 802.1X认证系统的EAP中继方式流程

 

(1)     当用户需要访问外部网络时打开802.1X客户端程序,输入用户名和密码,发起连接请求。此时,客户端程序将向设备发出认证请求帧(EAPOL-Start),开始启动一次认证过程。有关客户端与AP建立连接的过程,请参见“WLAN配置指导”中的“WLAN安全”。

(2)     设备收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求客户端程序发送用户名。

(3)     客户端程序响应设备发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备。

(4)     设备将由客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中,并发送给认证服务器进行处理。

(5)     RADIUS服务器收到设备转发的用户名信息后,将该信息与数据库中的用户名列表对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备。

(6)     设备将RADIUS服务器发送的MD5 Challenge转发给客户端。

(7)     客户端收到由设备传来的MD5 Challenge后,用该Challenge对密码进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备。

(8)     设备将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。

(9)     RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备发送认证通过报文(RADIUS Access-Accept)。

(10)     设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),允许用户访问网络。

(11)     用户在线期间,设备会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。

(12)     客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备就会让用户下线,防止用户因为异常原因下线而设备无法感知。

(13)     客户端可以发送EAPOL-Logoff帧给设备,主动要求下线。

(14)     设备向客户端发送EAP-Failure报文。

说明

EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。

 

2. EAP终结认证方式

这种方式将EAP报文在设备终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备与RADIUS服务器之间可以采用PAP或者CHAP认证方法。如图1-3所示,以CHAP认证为例,具体的认证流程如下。

图1-3 AP 802.1X认证系统的EAP终结方式认证流程

 

EAP终结方式与EAP中继方式的认证流程相比,不同之处在于对用户密码信息进行加密处理的MD5 challenge由认证设备生成的,之后认证设备会把用户名、MD5 challenge和客户端加密后的密码信息一起发送给RADIUS服务器,进行相关的认证处理。

3. EAP报文的封装

有关EAP报文的封装的详细介绍,请参见“安全配置指导”中的“802.1X。

4. 802.1X的认证触发方式

802.1X认证触发方式有两种:当设备收到客户端关联回应报文后,客户端向设备发送EAPOL-Start报文触发认证;当设备收到客户端关联回应报文后,由设备主动向该客户端发送Identity类型的EAP-Request帧来触发认证,若设备端在设置的时长内没有收到客户端的响应,则重发该报文。

1.1.3  MAC地址认证

目前设备支持的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证,AP作为认证设备。有关远程RADIUS认证和本地认证的详细介绍请参见“安全配置指导”中的“AAA”。

根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户帐户格式分为两种类型:

·     MAC地址用户名密码:使用用户的MAC地址作为用户名和密码进行认证,即每个用户使用不同的用户名和密码进行认证。

·     固定用户名密码:设备上所有MAC地址认证用户均使用所配置的用户名和密码进行认证,即所有用户使用同一个用户名和密码进行认证。用户名为1~55个字符的字符串,区分大小写,不能包括字符‘@’。密码可以设置为明文或者密文,明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。

图1-4 不同用户名格式下的MAC地址认证示意图

 

(2)     RADIUS服务器认证方式进行MAC地址认证

当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:

·     若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。

·     若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。

RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。

(3)     本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:

·     若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

·     若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。

用户名和密码匹配成功后,用户可以访问网络。

1.1.4  认证模式

WLAN用户接入认证支持以下几种认证模式:

表1-1 WLAN用户接入认证模式描述表

认证模式

工作机制

入侵检测

缺省情况

bypass

不对用户进行认证

无效

采用802.1X认证

dot1x

只进行802.1X认证

可触发

采用MAC地址认证

mac

只进行MAC地址认证

可触发

采用802.1X和MAC地址认证组合认证

mac-or-dot1x

先进行MAC地址认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证

可触发

dot1x-or-mac

先进行802.1X认证,如果失败,再进行MAC地址认证,如果认证成功,则不进行MAC地址认证

oui-or-dot1x

先进行OUI认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证

 

1.2  WLAN用户接入认证配置任务简介

表1-2 WLAN用户接入认证配置任务简介

配置任务

说明

详细配置

配置全局认证参数

配置802.1X支持的域名分隔符

可选

1.4.1 

配置802.1X系统的认证方法

可选

1.4.2 

配置设备向接入用户发送认证请求报文最大次数

可选

1.4.3 

配置802.1X认证定时器

可选

1.4.4 

配置MAC地址认证用户名及密码格式

可选

1.4.5 

配置MAC地址认证用户使用的ISP域

可选

1.4.6 

配置MAC地址认证定时器

可选

1.4.7 

配置WLAN用户接入认证参数

配置WLAN用户接入认证模式

必选

1.5.1 

配置 802.1X握手功能

可选

1.5.2 

配置802.1X安全握手功能

可选

1.5.3 

配置802.1X认证用户ISP域

可选

1.5.4 

配置802.1X最大用户数

可选

1.5.5 

配置802.1X重认证功能

可选

1.5.6 

配置计费请求失败强制用户下线功能

可选

1.5.7 

配置MAC地址认证最大用户数

可选

1.5.8 

配置MAC地址认证用户ISP域

可选

1.5.9 

 

1.3  配置准备

1. 802.1X认证配置准备

802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:

·     配置802.1X用户所属的ISP域及其使用的AAA方案,即本地认证方案或RADIUS方案。

·     如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。

·     如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access

2. MAC地址认证配置准备

缺省情况下,对接入的用户进行MAC地址认证时,使用系统缺省的ISP域(由命令domain default enable指定)。若需要使用非缺省的ISP域进行MAC地址认证,则需指定MAC地址认证用户使用的ISP域,并配置该ISP域。ISP域的具体配置请参见“安全配置指导”中的“AAA”。

·     若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access

·     若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证的用户帐号。

1.4  配置全局认证参数

1.4.1  配置802.1X支持的域名分隔符

有关802.1X支持的域名分隔符的详细介绍请参见“安全配置指导”中的“802.1X”。

表1-3 配置802.1X支持的域名分隔符

配置步骤

命令

说明

进入系统视图

system-view

-

指定802.1X支持的域名分隔符

dot1x domain-delimiter string

缺省情况下,仅支持域名分隔符@

本命令的详细介绍,请参见“安全命令参考”中的“802.1X

 

1.4.2  配置802.1X系统的认证方法

有关802.1X系统的认证方法的详细介绍请参见“安全配置指导”中的“802.1X”。

表1-4 配置802.1X系统的认证方法

配置步骤

命令

说明

进入系统视图

system-view

-

配置802.1X系统的认证方法

dot1x authentication-method { chap | eap | pap }

缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法

本命令的详细介绍,请参见“安全命令参考”中的“802.1X

 

如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。

 

1.4.3  配置设备向接入用户发送认证请求报文最大次数

有关设备向接入用户发送认证请求报文最大次数的详细介绍请参见“安全配置指导”中的“802.1X”。

表1-5 配置设备向接入用户发送认证请求报文的最大次数

配置步骤

命令

说明

进入系统视图

system-view

-

配置设备向接入用户发送认证请求报文的最大次数

dot1x retry max-retry-value

缺省情况下,设备最多可向接入用户发送2次认证请求报文

本命令的详细介绍,请参见“安全命令参考”中的“802.1X

 

1.4.4  配置802.1X定时器

802.1X认证过程中会启动多个定时器以控制客户端、设备以及RADIUS服务器之间进行合理、有序的交互。可配置的802.1X认证定时器包括以下四种:

·     客户端认证超时定时器:当设备向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备启动此定时器,若在该定时器设置的时长内,设备没有收到客户端的响应,设备将重发该报文。若在dot1x retry命令配置的次数内,没有收到客户端响应,则客户端认证失败。

·     认证服务器超时定时器:当设备向认证服务器发送了RADIUS Access-Request请求报文后,设备启动该定时器,若在该定时器设置的时长内,设备没有收到认证服务器的响应,设备将重发认证请求报文。

·     握手定时器:用户认证成功之后,如果开启了握手功能,该定时器将启动。设备会以该定时器配置的时间为周期向用户发送握手报文,若在该定时器设置的时间内,设备没有收到客户端的回应报文,设备将重发该握手报文,若在dot1x retry命令配置的次数内,没有收到客户端回应,则强制该客户端下线。

·     周期性重认证定时器:如果设备开启了周期认证功能,设备将以该定时器配置的时间为周期发起重认证。配置该定时器后,对于新上线的802.1X用户,会按新配置的重认证周期进行重认证,对于已经在线的用户,新配置不会生效。

一般情况下,无需改变定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;还可以通过调节认证服务器超时定时器的值来适应不同认证服务器的性能差异。

表1-6 配置802.1X认证定时器

配置步骤

命令

说明

进入系统视图

system-view

-

配置客户端认证超时定时器

dot1x timer supp-timeout supp-timeout-value

缺省情况下,客户端认证超时定时器的值为30

本命令的详细介绍,请参见“安全命令参考”中的“802.1X

配置认证服务器超时定时器

dot1x timer server-timeout server-timeout-value

缺省情况下,认证服务器超时定时器的值为100

本命令的详细介绍,请参见“安全命令参考”中的“802.1X

配置握手定时器

dot1x timer handshake-period handshake-period-value

缺省情况下,握手定时器的值为15

本命令的详细介绍,请参见“安全命令参考”中的“802.1X

配置周期性重认证定时器

dot1x timer reauth-period reauth-period-value

缺省情况下,周期性重认证定时器的值为3600

本命令的详细介绍,请参见“安全命令参考”中的“802.1X

 

1.4.5  配置MAC地址认证用户名及密码格式

表1-7 配置MAC地址认证用户名格式

操作

命令

说明

进入系统视图

system-view

-

配置MAC地址认证用户的用户名格式

MAC地址格式

mac-authentication user-name-format mac-address [ { with-hyphen | without-hyphen } [ lowercase | uppercase ] ]

二者选其一

缺省情况下,使用用户的MAC地址作为用户名与密码,其中字母为小写,且不带连字符“-”

本命令的详细介绍,请参见“安全命令参考”中的“MAC地址认证”

固定用户名格式

mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } password ]

 

1.4.6  配置MAC地址认证用户使用的ISP域

为了便于接入设备的管理员更为灵活地部署用户的接入策略,设备支持指定MAC地址认证用户使用的ISP域。关于ISP域的详细介绍,请参见“安全配置指导”中的“AAA”。

表1-8 指定MAC地址认证用户使用的ISP域

配置步骤

命令

说明

进入系统视图

system-view

-

指定MAC地址认证用户使用的ISP域

mac-authentication domain domain-name

缺省情况下,未指定MAC地址认证用户使用的ISP域

从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域

本命令的详细介绍,请参见“安全命令参考”中的“MAC地址认证”

 

1.4.7  配置MAC地址认证定时器

可配置的MAC地址认证定时器目前只有一种:

服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将禁止此用户访问网络。

表1-9 配置MAC地址认证定时器

操作

命令

说明

进入系统视图

system-view

-

配置MAC地址认证定时器

mac-authentication timer server-timeout server-timeout-value

缺省情况下,服务器超时定时器取值为100

本命令的详细介绍,请参见“安全命令参考”中的“MAC地址认证”

 

1.5  配置WLAN用户认证接入认证参数

1.5.1  配置WLAN用户接入认证模式

表1-10 配置WLAN用户接入认证模式

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置WLAN用户接入认证模式

client-security authentication-mode

 { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x }

缺省情况下,不对用户进行认证即Bypass认证,直接接入

 

1.5.2  配置802.1X握手功能

使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数,而还没有收到用户响应,则强制该用户下线。

表1-11 配置802.1X握手功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置802.1X在线用户握手功能

dot1x handshake enable

缺省情况下,无线服务模板下的802.1X在线用户握手功能处于关闭状态

 

1.5.3  配置802.1X安全握手功能

802.1X安全握手是指在握手报文中加入验证信息,以防止非法用户仿冒正常用户的在线的802.1X的客户端与设备进行握手报文的交互。使能802.1X安全握手功能后,支持安全握手的客户端需要在每次向设备发送的握手应答报文中携带验证信息,设备将其与认证服务器下发的验证信息进行对比,如果不一致,则强制用户下线。

验证信息由认证服务器下发,当用户上线认证成功时,服务器在认证回复报文中携带验证密钥和验证信息。设备保存验证信息,而将验证密钥发送给客户端。之后,当用户需要响应设备的握手报文时,首先使用验证密钥计算出一个验证信息,然后将该验证信息携带在握手回应报文EAPOL EAP-Response Identity中发给设备。

服务器会周期性地更新验证密钥与验证信息,并通过计费响应报文下发给设备。设备同样会将验证密钥发送给客户端,而保存验证信息用于校验客户端响应报文的合法性。

表1-12 配置802.1X安全握手功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置802.1X在线用户握手功能

dot1x handshake enable

缺省情况下,无线服务模板下的802.1X在线用户握手功能处于关闭状态

配置802.1X在线用户安全握手功能

dot1x handshake secure enable

缺省情况下,802.1X的在线用户的安全握手功能处于关闭状态

 

·     802.1X安全握手功能只有在使能了802.1X握手功能的前提下才生效。

·     dot1x handshake secure enable命令只对进行802.1X认证且成功上线的用户有效。

 

1.5.4  配置802.1X认证用户ISP域

从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。

表1-13 配置配置802.1x用户ISP域

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置802.1X用户ISP域

dot1x domain domain-name

缺省情况下,未指定无线服务模板下的802.1X用户的ISP域

 

1.5.5  配置802.1X最大用户数

当接入此无线服务模板的802.1X用户数超过最大值后,新接入的用户将被拒绝。

表1-14 配置802.1x最大用户数

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置802.1X最大用户数

dot1x max-user count

缺省情况下,当前无线服务模板上允许同时接入的802.1X用户数为4096个

 

1.5.6  配置802.1X重认证功能

在无线服务模板下启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(由命令dot1x timer reauth-period设置)定期向在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。

认证服务器可以通过下发RADIUS属性(session-timeout、termination-action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。

802.1X用户认证通过后,用户的重认证功能具体实现如下:

·     当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户进行重认证,则无论设备上是否开启周期性重认证功能,都会在用户会话超时时长到达后对该用户发起重认证。

·     当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户下线时:

¡     若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则用户会以重认证定时器的值为周期发起重认证;若设备上配置的重认证定时器值大于等于用户会话超时时长,则在用户会话超时时长到达后下线。

¡     若设备上未开启周期性重认证功能,则用户在会话超时时长到达后下线。

·     当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。

表1-15 配置802.1x重认证功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置802.1X重认证功能

dot1x re-authenticate enable

缺省情况下,无线服务模板上的802.1X周期性重认证功能处于关闭状态

 

1.5.7  配置计费请求失败强制用户下线功能

如果开启了计费请求失败用户下线功能,当设备向计费服务器发送计费开始请求失败时,则强制用户下线;如果没有开启计费请求失败用户下线功能,当计费开始请求发送失败,则设备保持用户在线。

表1-16 配置计费请求失败用户下线功能

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置计费请求失败用户下线功能

client-security accounting-start-fail offline

缺省情况下,计费开始请求发送失败后,用户保持在线

 

1.5.8  配置MAC地址认证最大用户数

当接入此无线服务模板的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。

表1-17 配置MAC地址认证最大用户数

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置MAC地址认证最大用户数

mac-authentication max-user count

缺省情况下,当前无线服务模板上允许接入的MAC地址认证最大用户数为4096个

 

1.5.9  配置MAC地址认证用户ISP域

从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。

表1-18 配置MAC地址认证用户ISP域

操作

命令

说明

进入系统视图

system-view

-

进入无线服务模板视图

wlan service-template service-template-name

-

配置MAC地址认证用户的ISP域

mac-autentication domain domain-name

缺省情况下,未指定无线服务模板下的MAC地址认证用户的ISP域

 

1.6  WLAN用户接入认证显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后用户接入认证的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除相关统计信息。

display dot1x connectiondisplay dot1xreset dot1x statistics命令的详细介绍,请参见“安全命令参考”中的“802.1X”。

display mac-authentication connectiondisplay mac-authenticationreset mac-authentication statistics命令的详细介绍,请参见“安全命令参考”中的“MAC地址认证”。

表1-19 WLAN用户接入认证显示和维护

操作

命令

显示802.1X在线用户的连接信息

display dot1x connection [ interface interface-type interface-number | user-mac mac-addr | user-name name-string ]

显示802.1X的会话连接信息、相关统计信息或配置信息

display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]

显示MAC地址认证连接信息

display mac-authentication connection [ interface interface-type interface-number | user-mac mac-addr | user-name name-string ]

显示MAC地址认证的相关信息

display mac-authentication [ interface interface-type interface-number ]

显示阻塞MAC地址信息

display wlan client-security block-mac

清除802.1X的统计信息

reset dot1x statistics [ interface interface-type interface-number ]

清除MAC地址认证的统计信息

reset mac-authentication statistics [ interface interface-type interface-number ]

 

1.7  WLAN用户接入认证典型配置举例

1.7.1  802.1X认证(CHAP非加密本地认证)典型配置举例

1. 组网需求

图1-5所示,客户端使用本地802.1X认证CHAP方式接入无线网络,

2. 组网图

图1-5 802.1X认证(CHAP非加密本地认证)典型配置组网图

 

3. 配置步骤

说明

下述配置步骤中包含了若干AAA/本地用户的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

 

(1)     配置802.1X认证方式及本地用户

# 配置802.1X认证方式为CHAP。

<AP> system-view

[AP] dot1x authentication-method chap

# 配置本地用户,用户名为chap1,所属的组为网络接入用户组,密码为明文123456,服务类型为lan-access。

[AP] local-user chap1 class network

[AP-luser-network-chap1] password simple 123456

[AP-luser-network-chap1] service-type lan-access

[AP-luser-network-chap1] quit

(2)     配置ISP域的AAA方法

# 配置名称为local的ISP域,并将认证、授权和计费的方式配置为本地。

[AP] domain local

[AP-isp-local] authentication lan-access local

[AP-isp-local] authorization lan-access local

[AP-isp-local] accounting lan-access local

[AP-isp-local] quit

(3)     配置无线服务模板

# 配置无线服务模板,名称为wlas_local_chap,用户认证方式为802.1X,ISP域为local,SSID为wlas_local_chap。

[AP] wlan service-template wlas_local_chap

[AP-wlan-st-wlas_local_chap] client-security authentication-mode dot1x

[AP-wlan-st-wlas_local_chap] dot1x domain local

[AP-wlan-st-wlas_local_chap] ssid wlas_local_chap

# 无线服务模板使能。

[AP-wlan-st-wlas_local_chap] service-template enable

[AP-wlan-st-wlas_local_chap] quit

(4)     将无线服务模板绑定到WLAN-Radio 0/1接口上

[AP] interface wlan-radio 0/1

[AP-WLAN-Radio0/1] undo shutdown

[AP-WLAN-Radio0/1] service template wlas_local_chap

[AP-WLAN-Radio0/1] quit

4. 验证结果

使用命令display wlan service-templatedisplay dot1x命令可以查看AP上的802.1X配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。

1.7.2  802.1X认证(EAP-PEAP加密)典型配置举例

1. 组网需求

·     AP和RADIUS服务器通过交换机建立连接,RADIUS服务器的IP地址为10.18.1.88。

·     要求使用EAP-PEAP方式进行远程802.1X用户身份认证。

2. 组网图

图1-6 802.1X认证(EAP-PEAP加密)典型配置组网图

 

3. 配置步骤

说明

·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全配置指导”中的“AAA”。

·     完成RADIUS服务器的配置,安装证书并添加用户账户,保证用户的认证/授权/计费功能正常运行。

·     完成客户端802.1X的配置,安装证书。

 

(1)     配置802.1X认证方式及Radius方案

# 配置802.1X认证方式为EAP。

<AP> system-view

[AP] dot1x authentication-method eap

# 配置Radius方案,名称为imcc,主认证服务器的IP地址为10.18.1.88,端口号为1812,配置主计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。

[AP] radius scheme imcc

[AP-radius-imcc] primary authentication 10.18.1.88  1812

[AP-radius-imcc] primary accounting 10.18.1.88  1813

[AP-radius-imcc] key authentication simple 12345678

[AP-radius-imcc] key accounting simple 12345678

[AP-radius-imcc] user-name-format without-domain

[AP-radius-imcc] quit

(2)     配置ISP域的AAA方法

# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用Radius方案imcc。

[AP] domain imc

[AP-isp-imc] authentication lan-access radius-scheme imcc

[AP-isp-imc] authorization lan-access radius-scheme imcc

[AP-isp-imc] accounting lan-access radius-scheme imcc

[AP-isp-imc] quit

(3)     配置无线服务模板

# 配置无线服务模板名称为wlas_imc_peap,用户认证方式为802.1X,ISP域为imc,SSID为wlas_imc_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。

[AP] wlan service-template wlas_imc_peap

[AP-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x

[AP-wlan-st-wlas_imc_peap] dot1x domain imc

[AP-wlan-st-wlas_imc_peap] ssid wlas_imc_peap

[AP-wlan-st-wlas_imc_peap] akm mode dot1x

[AP-wlan-st-wlas_imc_peap] cipher-suite ccmp

[AP-wlan-st-wlas_imc_peap] security-ie rsn

# 使能无线服务模板。

[AP-wlan-st-wlas_imc_tls] service-template enable

[AP-wlan-st-wlas_imc_tls] quit

(4)     将无线服务模板绑定到WLAN-Radio 0/1接口上

[AP] interface wlan-radio 0/1

[AP-WLAN-Radio0/1] undo shutdown

[AP-WLAN-Radio0/1] service template wlas_local_chap

[AP-WLAN-Radio0/1] quit

(5)     配置RADIUS server(iMC V7)

说明

·     下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。

·     在服务器上已经完成证书的安装。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

设置认证、计费共享密钥为12345678,其它保持缺省配置;

选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

图1-7 增加接入设备页面

 

# 增加服务策略。

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。

设置接入策略名为dot1x;

选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。

图1-8 增加服务策略页面

 

# 增加接入服务。

选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。

设置服务名为dot1x;

设置缺省接入策略为已经创建的dot1x策略。

图1-9 增加接入服务页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

添加用户user;

添加帐号名为user,密码为dot1x;

选中刚才配置的服务dot1x。

图1-10 增加接入用户页面

 

配置无线网卡

选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用Windows登录名和密码选项。然后“确定”。整个过程如下图所示。

说明

在客户端上已经完成证书安装。

 

图1-11 无线网卡配置过程

 

图1-12 无线网卡配置过程

 

图1-13 无线网卡配置过程

 

图1-14 无线网卡配置过程

 

图1-15 无线网卡配置过程

 

4. 验证结果

客户端通过802.1X认证成功关联AP,并且可以访问无线网络。

通过display dot1x connection命令显示802.1X用户连接信息,可以看到用户名和客户端输入的用户名一致。

[AP] display dot1x connection

User MAC address           : 0023-8933-2090

BSSID                      : 000f-e201-0003

User name                  : user

Authentication domain      : imc

Authentication method      : EAP

Initial VLAN               : 1

Authorization VLAN         : N/A

Authorization ACL number   : N/A

Authorization user profile : N/A

Termination action         : Default

Session timeout period     : 6001 s

Online from                : 2014/04/18 09:25:18

Online duration            : 0h 1m 1s

 

Total connections: 1.

通过display wlan client 显示命令查看无线客户端在线情况查看802.1X用户上线信息,可看到802.1X用户成功上线。

[AP] display wlan client

Total number of clients           : 1

 

MAC address    Username            APID/RID  IP address                    VLAN

0023-8933-2090 user                   1/1    10.18.1.100                   1

1.7.3  使用RADIUS服务器进行MAC地址认证典型配置举例

1. 组网需求

·     AP和RADIUS服务器通过交换机建立连接,RADIUS服务器的IP地址为10.18.1.88。

·     要求使用远程MAC认证认证方式进行用户身份认证。

2. 组网图

图1-16 使用RADIUS服务器进行MAC地址认证典型配置组网图

 

3. 配置步骤

说明

确保RADIUS服务器与设备路由可达,完成服务器的配置,并成功添加了接入用户账户:用户名为:abcd,密码为123456。

 

(1)     配置Radius方案

# 配置Radius 方案,名称为imcc,认证服务器的IP地址为10.18.1.88,端口号为1812,配置计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。

<AP> system-view

[AP] radius scheme imcc

[AP-radius-imcc] primary authentication 10.18.1.88  1812

[AP-radius-imcc] primary accounting 10.18.1.88  1813

[AP-radius-imcc] key authentication simple 12345678

[AP-radius-imcc] key accounting simple 12345678

[AP-radius-imcc] user-name-format without-domain

[AP-radius-imcc] quit

(2)     配置ISP域的AAA方法

# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用Radius方案imcc。

[AP] domain imc

[AP-isp-imc] authentication lan-access radius-scheme imcc

[AP-isp-imc] authorization lan-access radius-scheme imcc

[AP-isp-imc] accounting lan-access radius-scheme imcc

[AP-isp-imc] quit

(3)     配置MAC地址认证

# 配置MAC地址认证用户名格式为固定用户名格式,用户名为abcd,密码为明文123456(若配置成大写、不带连字符的mac地址格式,服务器需要配置与之对应的用户名格式;若配置成固定用户名格式,服务器也需要配置与其对应的用户名格式)。

[AP] mac-authentication user-name-format fixed account abcd password simple 123456

# 配置无线服务模板maca_imc的SSID为maca_imc,并设置用户认证方式为MAC地址认证,ISP域为imc。

[AP] wlan service-template maca_imc

[AP-wlan-st-maca_imc] ssid maca_imc

[AP-wlan-st-maca_imc] client-security authentication-mode mac

[AP-wlan-st-maca_imc] mac-authentication domain imc

# 无线服务模板使能。

[AP-wlan-st-maca_imc] service-template enable

[AP-wlan-st-maca_imc] quit

(4)     将无线服务模板绑定到WLAN-Radio 0/1接口上

[AP] interface wlan-radio 0/1

[AP-WLAN-Radio0/1] undo shutdown

[AP-WLAN-Radio0/1] service template wlas_local_chap

[AP-WLAN-Radio0/1] quit

配置RADIUS server(iMC V7)

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

设置认证、计费共享密钥为12345678,其它保持缺省配置;

选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。

增加接入设备页面

 

# 增加服务策略。

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。

设置接入策略名为dot1x;

选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。

增加服务策略页面

中文增加接入策略截图.jpg

 

# 增加接入服务。

选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。

设置服务名为dot1x;

设置缺省接入策略为已经创建的dot1x策略。

增加接入服务页面

中文增加接入服务截图.jpg

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

添加用户user;

添加帐号名为user,密码为dot1x;

选中刚才配置的服务dot1x。

增加接入用户页面

中文增加接入用户截图.jpg

 

4. 验证结果

# 客户端通过MAC认证成功关联AP,并且可以访问无线网络。

通过display mac-authentication connection命令显示MAC用户连接信息。

[AP] display mac-authentication connection

User MAC address              : 0023-8933-2098

BSSID                         : 000f-e201-0001

User name                     : 123

Authentication domain         : mac_imc

Initial VLAN                  : 1

Authorization VLAN            : N/A

Authorization ACL number      : N/A

Authorization user profile    : N/A

Termination action            : Radius-Request

Session timeout period        : 6001 s

Online from                   : 2014/04/17 17:21:12

Online duration               : 0h 0m 30s

 

Total connections: 1.

通过display wlan client显示命令查看无线客户端在线情况查看MAC地址认证用户上线信息,可看到MAC地址认证用户成功上线。

[AP] display wlan client

Total number of clients           : 1

 

MAC address    Username             APID/RID  IP address                    VLAN

0023-8933-2098 123                     1/1    10.18.1.100                   1

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们