08-H3C WA系列WPA+802.1x无线认证和IAS配合典型配置举例
本章节下载: 08-H3C WA系列WPA+802.1x无线认证和IAS配合典型配置举例 (213.44 KB)
H3C WA系列 WPA+802.1x无线认证和IAS配合
典型配置举例
关键词:wpa,802.1x,Radius,EAPOL
摘 要:该文档简单介绍了在H3C WA系列AP上启用WPA+802.1x认证时必需的配置。
缩略语:
缩略语 |
英文全名 |
中文解释 |
WPA |
Wi-Fi Protected Access |
Wi-Fi防护访问 |
EAP |
Extensible Authentication Protocol |
可扩展认证协议 |
EAPOL |
EAP over Lans |
基于局域网的可扩展认证协议 |
Radius |
Remote Authentication Dial In User Service |
基于用户服务的远程拨号认证 |
AAA |
Authentication Authorization Accounting |
认证 授权 计费 |
IEEE 802.1X定义了基于端口的网络接入控制协议(port based network access control),该协议适用于接入设备与接入端口间点到点的连接方式。通过开关端口的状态来实现对报文转发的控制。
802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。
l 接入设备上服务器端口配置正确;
l 相关AAA配置正确。
本配置举例中的AP使用的是WA2200无线局域网接入点。AP的IP地址为192.168.1.50/24,Radius Server的IP地址为8.1.1.4/8,Client通过DHCP服务器获取IP地址。
本典型配置案例简化组网为两台Client以及一台Fat AP,一台PC作为Server。
图4-1 WPA+802.1X无线认证和IAS配合组网图
l 配置802.1X;
l 配置服务器。
[AP]display version
H3C Comware Platform Software
Comware Software, Version 5.20, 0001
Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes
CPU type: AMCC PowerPC 266MHz
64M bytes SDRAM Memory
8M bytes Flash Memory
Pcb Version: Ver.A
Basic BootROM Version: 1.04
Extend BootROM Version: 1.04
[SLOT 1]CON (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0
<AP> display current-configuration
#
version 5.00, 0001
#
sysname AP
#
configure-user count 1
#
domain default enable ias
#
port-security enable
#
dot1x authentication-method eap
#
vlan 1
#
vlan 2 to 4094
#
radius scheme system
primary authentication 127.0.0.1
primary accounting 127.0.0.1
key authentication h3c
key accounting h3c
accounting-on enable
radius scheme ias
server-type extended
primary authentication 8.20.1.2
primary accounting 8.20.1.2
key authentication h3c
key accounting h3c
timer realtime-accounting 3
user-name-format without-domain
undo stop-accounting-buffer enable
accounting-on enable
#
domain ias
authentication default radius-scheme ias
authorization default radius-scheme ias
accounting default radius-scheme ias
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template 2 crypto
ssid h3c-dot1x
authentication-method open-system
cipher-suite tkip
security-ie wpa
service-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 192.168.1.50 255.255.255.0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface WLAN-BSS2
port-security port-mode userlogin-secure-ext
port-security tx-key-type 11key
#
interface WLAN-Radio1/0/1
#
interface WLAN-Radio1/0/2
service-template 2 interface wlan-bss 2
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
#
user-interface con 0
idle-timeout 0 0
user-interface vty 0 4
#
return
在802.1X接入端配置802.1X和认证。
(1) 启用port-security,配置802.1X认证方式为EAP。
[AP]port-security enable
[AP]dot1x authentication-method eap
(2) 配置认证策略
# 创建名为ias的RADIUS方案并进入其视图。
[AP]radius scheme ias
# 将RADIUS方案ias的RADIUS服务器类型设置为extended。
[AP-radius-ias]server-type extended
# 配置主RADIUS认证/授权服务器的IP地址为8.20.1.2。
[AP-radius-ias]primary authentication 8.20.1.2
# 配置主RADIUS计费服务器的IP地址为8.20.1.2。
[AP-radius-ias]primary accounting 8.20.1.2
# 将RADIUS方案ias的认证/授权报文的共享密钥设置为h3c。
[AP-radius-ias]key authentication h3c
# 将RADIUS方案ias的计费报文的共享密钥设置为h3c。
[AP-radius-ias]key accounting h3c
# 设置实时计费的时间间隔为3分钟。
[AP-radius-ias]timer realtime-accounting 3
# 指定发送给RADIUS方案ias中RADIUS服务器的用户名不得携带域名。
[AP-radius-ias]user-name-format without-domain
# 禁止在设备上缓存没有得到响应的停止计费请求报文。
[AP-radius-ias]undo stop-accounting-buffer enable
# 使能accounting-on功能。
[AP-radius-ias]accounting-on enable
(3) 配置认证域
# 创建一个新的ISP域ias,并进入其视图。
[AP-radius-cams]domain ias
# 在ISP域ias下,为lan-access用户配置方案名为ias的RADIUS认证方案。
[AP-isp-ias]authentication lan-access radius-scheme ias
# 在ISP域ias下,为lan-access用户配置方案名为ias的RADIUS授权方案。
[AP-isp-ias]authorization lan-access radius-scheme ias
# 在ISP域ias下,为lan-access用户配置方案名为ias的RADIUS计费方案。
[AP-isp- ias]accounting lan-access radius-scheme ias
[AP-isp- ias]
(4) 把配置的认证域IAS设置为系统缺省域
[AP-isp-cams]domain default enable ias
(5) 配置无线接口,DOT1X认证方式为EAP(对应的端口安全认证方式为userlogin-secure-ext)
[AP]interface WLAN-BSS2
# 配置无线端口WLAN-BSS2的端口安全模式为userlogin-secure-ext。
[AP-WLAN-BSS2]port-security port-mode userlogin-secure-ext
# 在接口WLAN-BSS2下使能11key类型的密钥协商功能。
[AP-WLAN-BSS2]port-security tx-key-type 11key
(6) 配置无线服务模板
# 创建crypto类型的服务模板2。
[AP-wlan-rp-rp]wlan service-template 2 crypto
# 设置服务模板2的SSID为h3c-dot1x。
[AP-wlan-st-2]ssid h3c-dot1x
# 使能开放式系统认证。
[AP-wlan-st-2]authentication-method open-system
# 使能TKIP加密套件。
[AP-wlan-st-2] cipher-suite tkip
# 配置信标和探查帧携带WPA IE信息。
[AP-wlan-st-2] security-ie wpa
# 使能服务模板2。
[AP-wlan-st-2]service-template enable
(7) 在射频口WLAN-Radio 1/0/2绑定无线服务模板2和无线口WLAN-BSS 2。
[AP]interface WLAN-Radio 1/0/2
[AP-WLAN-Radio1/0/2]service-template 2 interface WLAN-BSS 2
[AP-WLAN-Radio1/0/2]
(8) 配置VLAN虚接口
[AP]interface Vlan-interface1
[AP-Vlan-interface1]ip address 192.168.1.50 255.255.255.0
[AP-Vlan-interface1]
(9) 配置缺省路由
[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
在IAS上配置802.1X认证项:
配置Radius客户端:
配置远程访问策略:
编辑拨入配置文件:
IAS相关的其他配置(比如采用证书认证时需要的证书、AD中的用户等)这里不再详细说明,请参考windows相关帮助文档。
使用display dot1x sessions查看DOT1X用户,是否用户在线。
(1) 如果采用EAP-TLS/EAP-PEAP认证,需要IAS服务器上有服务器验证证书。
(2) 还需要在AD中配置认证用户,并允许该用户远程拨入(windows创建一个用户后,缺省是禁止拨入的)。
相关配置请参考windows IAS配置说明。
标准号 |
标题 |
RFC 2284 |
PPP Extensible Authentication Protocol (EAP) |
IEEE 802.1x |
Port-Based Network Access Control |
l 《H3C WA系列无线局域网接入点设备 用户手册》“安全分册”中的“端口安全”、“AAA”和“802.1X”。
l 《H3C WA系列无线局域网接入点设备 用户手册》“WLAN分册”中的“WLAN”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!