选择区域语言: EN CN HK

10-安全配置

03-802.1X Client配置

本章节下载  (193.38 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Operation_Manual/H3C_CG(R5231)-6W106/10/201904/1173748_30005_0.htm

03-802.1X Client配置


1 802.1X Client

1.1  802.1X Client功能简介

802.1X的体系结构包括客户端、设备端和认证服务器。客户端通常有两种表现形式:安装了802.1X客户端软件的终端和网络设备。802.1X Client功能允许网络设备作为客户端。有关802.1X体系的详细介绍请参见“安全配置指导”中的“802.1X”。

应用了802.1X Client功能的典型组网图如图1-1所示:

图1-1 802.1X Client组网图

 

1.2  802.1X Client功能配置任务简介

表1-1 802.1X Client功能配置任务简介

配置任务

说明

详细配置

开启802.1X Client功能

必选

1.3.1 

配置802.1X Client认证用户名和密码

必选

1.3.2 

配置802.1X Client采用的EAP认证方法

必选

1.3.3 

配置802.1X Client匿名认证用户名

可选

1.3.4 

 

1.3  配置802.1X Client功能

1.3.1  开启802.1X Client功能

注意

如果被认证AP上有用户在线时,关闭802.1X Client功能会导致在线用户被强制下线。

 

开启802.1X Client功能前,请确保认证设备端上关于802.1X认证的配置已完成。有关802.1X认证的配置请参见“安全配置指导”中的“802.1X”。

表1-2 开启802.1X Client功能

操作

命令

说明

进入系统视图

system-view

-

创建手工AP,并进入AP视图

wlan ap ap-name [ model model-name ]

缺省情况下,未创建手工AP

创建AP时,需要输入型号名称

创建并进入AP provision视图

provision

缺省情况下,不存在provision视图

开启802.1X Client功能

dot1x supplicant enable

缺省情况下,802.1X Client功能处于关闭状态

 

1.3.2  配置802.1X Client认证用户名和密码

开启了802.1X Client功能的接入设备在进行802.1X认证时,会使用已配置的用户名和密码进行认证。

请确保接入设备上配置的用户名和密码与认证服务器上配置的用户名和密码保持一致,否则会导致802.1X认证失败,最终造成被认证设备无法接入网络。

表1-3 配置802.1X Client认证用户名和密码

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name [ model model-name ]

-

进入AP provision视图

provision

-

配置802.1X Client认证用户名

dot1x supplicant username username

缺省情况下,不存在802.1X Client认证用户名

配置802.1X Client认证密码

dot1x supplicant password { cipher | simple } password

缺省情况下,不存在802.1X Client认证密码

 

1.3.3  配置802.1X Client采用的EAP认证方法

802.1X Client支持的EAP认证方法分为以下几种:

·     MD5-Challenge(MD5-质询)

·     PEAP-MSCHAPv2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol v2,受保护的扩展认证协议-Microsoft质询握手身份验证协议版本2)

·     PEAP-GTC(Protected Extensible Authentication Protocol-Microsoft Generic Token Card,受保护的扩展认证协议-通用令牌卡)

·     TTLS-MSCHAPv2(Tunneled Transport Layer Security-Microsoft Challenge Handshake Authentication Protocol v2,管道式传输层安全-Microsoft质询握手身份验证协议版本2)

·     TTLS-GTC(Tunneled Transport Layer Security-Microsoft Generic Token Card,管道式传输层安全-通用令牌卡)

设备端(Authenticator)上支持两种EAP报文交互机制:EAP中继和EAP终结。MD5-Challenge认证方法支持以上两种EAP报文交互机制,而其余认证方法仅支持EAP中继。

说明

有关EAP报文交互机制的详细介绍,请参见“安全配置指导”中的“802.1X”。

 

需要注意的是,配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。

表1-4 配置802.1X Client采用的EAP认证方法

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name [ model model-name ]

-

进入AP provision视图

provision

-

配置802.1X Client认证方法

dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }

缺省情况下,802.1X Client采用的EAP认证方法为MD5-Challenge

 

1.3.4  配置802.1X Client匿名认证用户名

仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。

当802.1X Client认证采用的认证方法为MD5-Challenge时,被认证设备不会使用配置的匿名认证用户名认证,而是使用配置的认证用户名进行认证。

如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。

表1-5 配置802.1X Client匿名认证用户名

操作

命令

说明

进入系统视图

system-view

-

进入AP视图

wlan ap ap-name [ model model-name ]

-

进入AP provision视图

provision

-

配置802.1X Client匿名认证用户名

dot1x supplicant anonymous identify identifier

缺省情况下,不存在802.1X Client匿名认证用户名

 

1.4  802.1X Client功能典型配置举例

1.4.1  802.1X Client功能配置举例

1. 组网需求

AP通过交换机Switch的接口GigabitEthernet1/0/1接入网络,两台RADIUS服务器组成的服务器组与Switch相连,具体需求如下:

·     AP作为被认证设备,需要通过Switch上的802.1X认证才能连接AC。

·     主、备RADIUS服务器进行认证、授权,其IP地址分别为10.1.1.1/24和10.1.1.2/24。

·     Switch作为Authenticator采用EAP中继认证方式与RADIUS服务器交互。

·     AC下发预配置到AP,Switch开启802.1X Client认证。

·     AP属于ISP域bbb。

·     Switch与RADIUS认证服务器交互报文时的共享密钥为name。

·     802.1X Client认证用户名为aaa,密码为明文123456。

·     802.1X Client采用的EAP认证方法为PEAP-MSCHAPv2。

·     对AP进行基于端口的802.1X认证。

2. 组网图

图1-2 802.1X Client配置举例

 

3. 配置步骤

说明

·     下述配置步骤中包含了若干RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。

·     完成RADIUS服务器的配置,添加用户帐户,保证用户的认证/授权功能正常运行。

 

(1)     配置AC

·     配置各接口的IP地址(略)

·     配置802.1X Client功能

# 创建手工AP,名称为ap1,选择AP型号并配置序列号。

<AC> system-view

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

# 创建并进入AP provision视图。

[AC-wlan-ap-ap1] provision

# 配置802.1X Client认证方法为PEAP-MSCHAPv2。

[AC-wlan-ap-ap1-prvs] dot1x supplicant eap-method peap-mschapv2

# 配置802.1X Client认证用户名为aaa,认证密码为明文123456。

[AC-wlan-ap-ap1-prvs] dot1x supplicant username aaa

[AC-wlan-ap-ap1-prvs] dot1x supplicant password simple 123456

# 配置802.1X Client匿名认证用户名为bbb。

[AC-wlan-ap-ap1-prvs] dot1x supplicant anonymous identify bbb

# 开启802.1X Client功能。

[AC-wlan-ap-ap1-prvs] dot1x supplicant enable

# 将预配置信息下发到AP1。

[AC-wlan-ap-ap1-prvs] save wlan ap provision name ap1

[AC-wlan-ap-ap1-prvs] quit

[AC-wlan-ap-ap1] quit

(2)     配置Switch

·     配置各接口的IP地址(略)

·     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

<Switch> system-view

[Switch] radius scheme radius1

# 配置主认证RADIUS服务器的IP地址。

[Switch-radius-radius1] primary authentication 10.1.1.1

# 配置备份认证RADIUS服务器的IP地址。

[Switch-radius-radius1] secondary authentication 10.1.1.2

# 配置Switch与认证RADIUS服务器交互报文时的共享密钥。

[Switch-radius-radius1] key authentication simple name

# 配置发送给RADIUS服务器的用户名不携带域名。

[Switch-radius-radius1] user-name-format without-domain

[Switch-radius-radius1] quit

说明

发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:

·     若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Switch上指定不携带用户名(without-domain);

·     若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Switch上指定携带用户名(with-domain)。

 

·     配置ISP域

# 创建域bbb并进入其视图。

[Switch] domain bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权。

[Switch-isp-bbb] authentication lan-access radius-scheme radius1

[Switch-isp-bbb] authorization lan-access radius-scheme radius1

[Switch-isp-bbb] accounting lan-access none

[Switch-isp-bbb] quit

·     配置802.1X

# 配置802.1X系统的认证方法为EAP。

[Switch] dot1x authentication-method eap

# 配置对AP进行基于端口的802.1X认证。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] dot1x port-method portbased

# 指定接口上接入的802.1X用户使用强制认证域bbb。

[Switch-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

# 开启接口GigabitEthernet1/0/1的802.1X。

[Switch-GigabitEthernet1/0/1] dot1x

[Switch-GigabitEthernet1/0/1] quit

# 开启全局802.1X。

[Switch] dot1x

4. 验证配置

上述配置完成后,可通过Switch上输入display dot1x connection命令看到成功上线用户的信息。

[Switch] display dot1x connection

Total connections: 1

 

User MAC address: 70f9-6dd7-d1e0

Access interface: GigabitEthernet1/0/1

Username: aaa

Authentication domain: bbb

Authentication method: EAP

Initial VLAN: 1

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Termination action: N/A

Session timeout period: N/A

Online from: 2015/06/16 19:10:32

Online duration: 0h 1m 1s

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!