选择区域语言: EN CN HK

H3C WA系列Fat AP典型配置案例集-6W104

08-H3C WA系列WPA+802.1x无线认证和IAS配合典型配置举例

本章节下载  (213.44 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Typical_Configuration_Example/H3C_WA_Fat_AP-6W104/201909/1225115_30005_0.htm

08-H3C WA系列WPA+802.1x无线认证和IAS配合典型配置举例

H3C WA系列 WPA+802.1x无线认证和IAS配合

典型配置举例

关键词:wpa,802.1x,Radius,EAPOL

  :该文档简单介绍了在H3C WA系列AP上启用WPA+802.1x认证时必需的配置。

缩略语:

缩略语

英文全名

中文解释

WPA

Wi-Fi Protected Access

Wi-Fi防护访问

EAP

Extensible Authentication Protocol

可扩展认证协议

EAPOL

EAP over Lans

基于局域网的可扩展认证协议

Radius

Remote Authentication Dial In User Service

基于用户服务的远程拨号认证

AAA

Authentication Authorization Accounting

认证 授权 计费

 



1 特性简介

IEEE 802.1X定义了基于端口的网络接入控制协议(port based network access control),该协议适用于接入设备与接入端口间点到点的连接方式。通过开关端口的状态来实现对报文转发的控制。

2 应用场合

802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。

3 注意事项

l              接入设备上服务器端口配置正确;

l              相关AAA配置正确。

4 配置举例

4.1  组网需求

本配置举例中的AP使用的是WA2200无线局域网接入点。AP的IP地址为192.168.1.50/24,Radius Server的IP地址为8.1.1.4/8,Client通过DHCP服务器获取IP地址。

 

本典型配置案例简化组网为两台Client以及一台Fat AP,一台PC作为Server。

图4-1 WPA+802.1X无线认证和IAS配合组网图

 

4.2  配置思路

l              配置802.1X;

l              配置服务器。

4.3  使用版本

[AP]display version

H3C Comware Platform Software

Comware Software, Version 5.20, 0001

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes

 

 CPU type: AMCC PowerPC 266MHz

 64M bytes SDRAM Memory

 8M bytes Flash Memory

 Pcb Version: Ver.A

 Basic BootROM Version: 1.04

 Extend BootROM Version: 1.04

 [SLOT 1]CON (Hardware)Ver.A, (Driver)1.0

 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0

4.4  配置步骤

1. 配置dot1x:

<AP> display current-configuration

#

 version 5.00, 0001

#

 sysname AP

#

 configure-user count 1

#

 domain default enable ias

#

 port-security enable

#

 dot1x authentication-method eap

#

vlan 1

#

vlan 2 to 4094

#

radius scheme system

 primary authentication 127.0.0.1

 primary accounting 127.0.0.1

 key authentication h3c

 key accounting h3c

 accounting-on enable

radius scheme ias

 server-type extended

 primary authentication 8.20.1.2

 primary accounting 8.20.1.2

 key authentication h3c

 key accounting h3c

timer realtime-accounting 3

 user-name-format without-domain

 undo stop-accounting-buffer enable

 accounting-on enable

#

domain ias

 authentication default radius-scheme ias

 authorization default radius-scheme ias

 accounting default radius-scheme ias

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

wlan service-template 2 crypto

 ssid h3c-dot1x

authentication-method open-system

 cipher-suite tkip

 security-ie wpa

service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.50 255.255.255.0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface WLAN-BSS2

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key

#

interface WLAN-Radio1/0/1

#

interface WLAN-Radio1/0/2

 service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

#

user-interface con 0

 idle-timeout 0 0

user-interface vty 0 4

#

return

 

2. 主要配置步骤

802.1X接入端配置802.1X和认证。

(1)        启用port-security,配置802.1X认证方式为EAP。

[AP]port-security enable

[AP]dot1x authentication-method eap

(2)        配置认证策略

# 创建名为ias的RADIUS方案并进入其视图。

[AP]radius scheme ias

# 将RADIUS方案ias的RADIUS服务器类型设置为extended。

[AP-radius-ias]server-type extended

# 配置主RADIUS认证/授权服务器的IP地址为8.20.1.2。

[AP-radius-ias]primary authentication 8.20.1.2

# 配置主RADIUS计费服务器的IP地址为8.20.1.2。

[AP-radius-ias]primary accounting 8.20.1.2

# 将RADIUS方案ias的认证/授权报文的共享密钥设置为h3c。

[AP-radius-ias]key authentication h3c

# 将RADIUS方案ias的计费报文的共享密钥设置为h3c。

[AP-radius-ias]key accounting h3c

# 设置实时计费的时间间隔为3分钟。

[AP-radius-ias]timer realtime-accounting 3

# 指定发送给RADIUS方案ias中RADIUS服务器的用户名不得携带域名。

[AP-radius-ias]user-name-format without-domain

# 禁止在设备上缓存没有得到响应的停止计费请求报文。

[AP-radius-ias]undo stop-accounting-buffer enable

# 使能accounting-on功能。

[AP-radius-ias]accounting-on enable

(3)        配置认证域

# 创建一个新的ISP域ias,并进入其视图。

[AP-radius-cams]domain ias

# 在ISP域ias下,为lan-access用户配置方案名为ias的RADIUS认证方案。

[AP-isp-ias]authentication lan-access radius-scheme ias

# 在ISP域ias下,为lan-access用户配置方案名为ias的RADIUS授权方案。

[AP-isp-ias]authorization lan-access radius-scheme ias

# 在ISP域ias下,为lan-access用户配置方案名为ias的RADIUS计费方案。

[AP-isp- ias]accounting lan-access radius-scheme ias

[AP-isp- ias]

(4)        把配置的认证域IAS设置为系统缺省域

[AP-isp-cams]domain default enable ias

(5)        配置无线接口,DOT1X认证方式为EAP(对应的端口安全认证方式为userlogin-secure-ext)

[AP]interface WLAN-BSS2

# 配置无线端口WLAN-BSS2的端口安全模式为userlogin-secure-ext。

[AP-WLAN-BSS2]port-security port-mode userlogin-secure-ext

# 在接口WLAN-BSS2下使能11key类型的密钥协商功能。

[AP-WLAN-BSS2]port-security tx-key-type 11key

(6)        配置无线服务模板

# 创建crypto类型的服务模板2。

[AP-wlan-rp-rp]wlan service-template 2 crypto

# 设置服务模板2的SSID为h3c-dot1x。

[AP-wlan-st-2]ssid h3c-dot1x

# 使能开放式系统认证。

[AP-wlan-st-2]authentication-method open-system

# 使能TKIP加密套件。

[AP-wlan-st-2] cipher-suite tkip

# 配置信标和探查帧携带WPA IE信息。

[AP-wlan-st-2] security-ie wpa

# 使能服务模板2。

[AP-wlan-st-2]service-template enable

(7)        在射频口WLAN-Radio 1/0/2绑定无线服务模板2和无线口WLAN-BSS 2。

[AP]interface WLAN-Radio 1/0/2

[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2

[AP-WLAN-Radio1/0/2]

(8)        配置VLAN虚接口

[AP]interface Vlan-interface1

[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0

[AP-Vlan-interface1]

(9)        配置缺省路由

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

在IAS上配置802.1X认证项:

配置Radius客户端:

 

配置远程访问策略:

 

编辑拨入配置文件:

 

IAS相关的其他配置(比如采用证书认证时需要的证书、AD中的用户等)这里不再详细说明,请参考windows相关帮助文档。

4.5  验证结果

使用display dot1x sessions查看DOT1X用户,是否用户在线。

4.6  注意事项

(1)        如果采用EAP-TLS/EAP-PEAP认证,需要IAS服务器上有服务器验证证书。

(2)        还需要在AD中配置认证用户,并允许该用户远程拨入(windows创建一个用户后,缺省是禁止拨入的)。

相关配置请参考windows IAS配置说明。

5 相关资料

5.1  相关协议和标准

表5-1 相关协议与标准

标准号

标题

RFC 2284

PPP Extensible Authentication Protocol (EAP)

IEEE 802.1x

Port-Based Network Access Control

 

5.1.1  其它相关资料

l              《H3C WA系列无线局域网接入点设备 用户手册》“安全分册”中的“端口安全”、“AAA”和“802.1X”。

l              《H3C WA系列无线局域网接入点设备 用户手册》“WLAN分册”中的“WLAN”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!