国家 / 地区

13-用户接入与认证配置指导

08-802.1X Client配置

本章节下载  (263.63 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Operation_Manual/H3C_WAC_WiNet_WX2500H-LI_WX3500H-LI_CG-6W101/13/202004/1281724_30005_0.htm

08-802.1X Client配置


1 802.1X Client

1.1  802.1X Client功能简介

802.1X的体系结构包括客户端、设备端和认证服务器。客户端通常有两种表现形式:安装了802.1X客户端软件的终端和网络设备。802.1X Client功能允许网络设备作为客户端。有关802.1X体系的详细介绍请参见“用户接入与认证配置指导”中的“802.1X”。

应用了802.1X Client功能的典型组网图如图1-1所示:

图1-1 802.1X Client组网图

 

1.2  802.1X Client配置限制和指导

关闭802.1X Client功能会导致已在线用户被强制下线,请谨慎操作。

1.3  802.1X Client功能配置任务简介

802.1X Client功能配置任务如下:

(1)     开启802.1X Client功能

(2)     配置802.1X Client认证用户名和密码

(3)     配置802.1X Client采用的EAP认证方法

(4)     (可选)配置802.1X Client匿名认证用户名

1.4  开启802.1X Client功能

(1)     进入系统视图。

system-view

(2)     创建手工AP,并进入AP视图。

wlan ap ap-name [ model model-name ]

创建AP时,需要输入型号名称。

(3)     创建并进入AP预配置视图。

provision

(4)     开启802.1X Client功能。

dot1x supplicant enable

缺省情况下,802.1X Client功能处于关闭状态。

1.5  配置802.1X Client认证用户名和密码

1. 配置限制和指导

为确保认证成功,请将接入设备上配置的用户名和密码与认证服务器上配置的用户名和密码保持一致。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入AP视图。

wlan ap ap-name [ model model-name ]

(3)     进入AP预配置视图。

provision

(4)     配置802.1X Client认证用户名。

dot1x supplicant username username

(5)     配置802.1X Client认证密码。

dot1x supplicant password { cipher | simple } string

1.6  配置802.1X Client采用的EAP认证方法

1. 802.1X Client支持的EAP认证方法

802.1X Client支持的EAP认证方法分为MD5-Challenge、PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC。

2. 配置限制和指导

若802.1X Client采用MD5-Challenge认证方法,则设备端(Authenticator)的802.1X认证方法可以配置为PAP、CHAP或EAP.。

若802.1X Client采用其它认证方法,则设备端的认证方法必须配置为EAP。

有关设备端认证方法的详细介绍,请参见“用户接入与认证配置指导”中的“802.1X”。

配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入AP视图。

wlan ap ap-name [ model model-name ]

(3)     进入AP预配置视图。

provision

(4)     配置802.1X Client认证方法。

dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }

缺省情况下,802.1X Client采用的EAP认证方法为MD5-Challenge。

1.7  配置802.1X Client匿名认证用户名

1. 功能简介

仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。

当802.1X Client认证采用的认证方法为MD5-Challenge时,被认证设备不会使用配置的匿名认证用户名认证,而是使用配置的认证用户名进行认证。

2. 配置限制和指导

如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入AP视图。

wlan ap ap-name [ model model-name ]

(3)     进入AP预配置视图。

provision

(4)     配置802.1X Client匿名认证用户名。

dot1x supplicant anonymous identify identifier

1.8  802.1X Client功能典型配置举例

说明

本手册中的AP型号和序列号仅为举例,具体支持的AP型号和序列号请以设备的实际情况为准。

 

1.8.1  802.1X Client功能基本组网配置举例

1. 组网需求

AP通过交换机Switch的接口GigabitEthernet1/0/1接入网络,两台RADIUS服务器组成的服务器组与Switch相连,具体需求如下:

·     AP作为被认证设备,需要通过Switch上的802.1X认证才能连接AC。

·     主、备RADIUS服务器进行认证、授权,其IP地址分别为10.1.1.1/24和10.1.1.2/24。

·     Switch作为Authenticator采用EAP中继认证方式与RADIUS服务器交互。

·     AC下发预配置到AP,Switch开启802.1X认证。

·     AP属于ISP域bbb。

·     Switch与RADIUS认证服务器交互报文时的共享密钥为name。

·     802.1X Client认证用户名为aaa,密码为明文123456。

·     802.1X Client采用的EAP认证方法为PEAP-MSCHAPv2。

·     对AP进行基于端口的802.1X认证。

2. 组网图

图1-2 802.1X Client配置举例

3. 配置AC

(1)     配置各接口的IP地址(略)

(2)     配置802.1X Client功能

# 创建手工AP,名称为ap1,选择AP型号并配置序列号。

<AC> system-view

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

# 创建并进入AP预配置视图。

[AC-wlan-ap-ap1] provision

# 配置802.1X Client认证方法为PEAP-MSCHAPv2。

[AC-wlan-ap-ap1-prvs] dot1x supplicant eap-method peap-mschapv2

# 配置802.1X Client认证用户名为aaa,认证密码为明文123456。

[AC-wlan-ap-ap1-prvs] dot1x supplicant username aaa

[AC-wlan-ap-ap1-prvs] dot1x supplicant password simple 123456

# 配置802.1X Client匿名认证用户名为bbb。

[AC-wlan-ap-ap1-prvs] dot1x supplicant anonymous identify bbb

# 开启802.1X Client功能。

[AC-wlan-ap-ap1-prvs] dot1x supplicant enable

# 将预配置信息下发到AP1。

[AC-wlan-ap-ap1-prvs] save wlan ap provision name ap1

[AC-wlan-ap-ap1-prvs] quit

[AC-wlan-ap-ap1] quit

4. 配置Switch

说明

·     下述配置步骤中包含了若干RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证命令参考”中的“AAA”。

·     完成RADIUS服务器的配置,添加用户账户,保证用户的认证/授权功能正常运行。

 

(1)     配置各接口的IP地址(略)

(2)     配置RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

<Switch> system-view

[Switch] radius scheme radius1

# 配置主认证RADIUS服务器的IP地址。

[Switch-radius-radius1] primary authentication 10.1.1.1

# 配置备份认证RADIUS服务器的IP地址。

[Switch-radius-radius1] secondary authentication 10.1.1.2

# 配置Switch与认证RADIUS服务器交互报文时的共享密钥。

[Switch-radius-radius1] key authentication simple name

[Switch-radius-radius1] quit

说明

发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:

·     若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Switch上指定不携带用户名(without-domain);

·     若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Switch上指定携带用户名(with-domain

 

(3)     配置ISP域

# 创建域bbb并进入其视图。

[Switch] domain name bbb

# 配置802.1X用户使用RADIUS方案radius1进行认证、授权。

[Switch-isp-bbb] authentication lan-access radius-scheme radius1

[Switch-isp-bbb] authorization lan-access radius-scheme radius1

[Switch-isp-bbb] accounting lan-access none

[Switch-isp-bbb] quit

(4)     配置802.1X

# 配置802.1X系统的认证方法为EAP。

[Switch] dot1x authentication-method eap

# 配置对AP进行基于端口的802.1X认证。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] dot1x port-method portbased

# 指定接口上接入的802.1X用户使用强制认证域bbb。

[Switch-GigabitEthernet1/0/1] dot1x mandatory-domain bbb

# 开启接口GigabitEthernet1/0/1的802.1X。

[Switch-GigabitEthernet1/0/1] dot1x

[Switch-GigabitEthernet1/0/1] quit

# 开启全局802.1X。

[Switch] dot1x

5. 验证配置

上述配置完成后,可通过Switch上输入display dot1x connection命令看到成功上线用户的信息。

[Switch] display dot1x connection

Total connections: 1

 

User MAC address: 70f9-6dd7-d1e0

Access interface: GigabitEthernet1/0/1

Username: aaa

Authentication domain: bbb

Authentication method: EAP

Initial VLAN: 1

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: N/A

Authorization ACL ID: N/A

Authorization user profile: N/A

Termination action: N/A

Session timeout period: N/A

Online from: 2015/06/16 19:10:32

Online duration: 0h 1m 1s

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!