登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-无线认证典型案例

目录

06-远程802.1X认证典型配置举例(专家模式Web版)

本章节下载 06-远程802.1X认证典型配置举例(专家模式Web版)  (1.08 MB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Typical_Configuration_Example/H3C_(MSG360_WAC_WX2500H-WiNet)_CE/07/202108/1436680_30005_0.htm

06-远程802.1X认证典型配置举例(专家模式Web版)

远程802.1X认证典型配置举例(专家模式Web版)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

  录

1 简介

2 特性使用指南

2.1 使用场合

2.2 配置前提

3 配置举例

3.1 组网需求

3.2 配置AC

3.3 配置客户端和服务器的连通性

3.4 配置RADIUS server

3.5 配置客户端

3.6 验证结果

4 相关资料

 

1  简介

本文档介绍远程802.1X认证配置举例。

2  特性使用指南

2.1  使用场合

用于客户端进行远程802.1X认证场景。

2.2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3  配置举例

3.1  组网需求

图1所示,Switch作为DHCP server为AP和Client分配IP地址,采用iMC作为RADIUS服务器对用户进行认证、授权和计费,要求:

·     对无线用户进行远程802.1X认证。

·     客户端链路层认证使用开放式系统认证。

·     通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理模式确保用户数据的传输安全。

图1 802.1X身份认证与密钥管理模式组网图

 

3.2  配置AC

1. 配置AP及Cleint的相关VLAN及对应虚接口的IP地址

(1)     创建VLAN 29及其对应的VLAN接口,并为该接口配置IP地址。开启DHCP服务,作为AP的管理VLAN。

a.     点击页面底部的<系统>按钮,进入“系统”菜单页面。

b.     点击页面左侧导航栏的[网络配置/VLAN],创建VLAN 29。

图2 创建VLAN

 

(2)     点击VLAN 29右侧的“”按钮,进入“修改VLAN”页面,进行如下配置:

¡     将G1/0/3添加到untagged端口中。

¡     勾选“创建vlan接口”,配置VLAN接口IP地址为:192.168.29.1/24。

图3 修改VLAN

 

(3)     点击页面左侧导航栏的[网络配置/服务/DHCP/DNS],然后选择“DHCP”页签,进行如下配置。

a.     点击<启动DHCP>按钮,开启DHCP服务。

b.     点击<增加地址池>按钮,在弹出的“增加DHCP服务器地址池”对话框中输入地址池名称“29”。

c.     点击<确认>按钮。

图4 添加DHCP地址池

 

d.     配置地址池29动态分配的地址段为192.168.29.0\24,然后点击<确认>按钮。

图5 添加动态分配地址段

 

e.     选择“地址池选项”页签,配置网关和DNS服务器地址均为192.168.29.1,然后点击“+”符号完成添加。本步骤配置的网关和DNS服务器地址仅为举例,请根据实际组网环境进行配置。

图6 添加网关及DNS服务器

 

说明

创建VLAN 39及其对应的VLAN接口,并为该接口配置IP地址。开启DHCP服务,Client使用该VLAN接入无线网络。具体操作同上,此处不再重复。

 

2. 配置RADIUS方案

(1)     点击左侧导航栏[网络安全/认证],然后点击“RADIUS”页签,再点击“”按钮,添加RADIUS方案,进行如下配置:

¡     方案名称为radius1。

¡     指定主认证服务器IP地址为192.168.100.175,端口号为1812,共享密钥为12345678。设置主认证服务器状态为活动。

¡     指定主计费服务器IP地址为192.168.100.175,端口号为1813,共享密钥为12345678。设置主计费服务器状态为活动。

图7 配置RADIUS方案

 

(2)     点击“显示高级设置”,在显示高级设置里指定发送RADIUS报文使用的源IPv4地址为192.168.100.133,发送给RADIUS服务器的用户名格式为不携带域名,其他保持缺省配置。然后点击<确定>按钮完成配置。

图8 显示高级设置

 

(3)     点击“RADIUS”页签右上角“高级设置”,开启接收session control报文功能。

图9 开启接收session control报文

 

3. 配置ISP域

点击左侧导航栏的[网络安全/认证],进入“ISP域”页面配置,进行如下配置:

¡     点击“”按钮,添加ISP域。

¡     名称为dot1x,并将该ISP域的状态设置为活动。

¡     指定接入方式为LAN接入。

¡     指定LAN接入AAA方案的认证、授权和计费的方法均为RADIUS,方案都选择1x。

¡     单击<确定>按钮。

图10 配置ISP域

 

(2)     配置802.1X

点击页面底部的<网络>按钮,然后点击左侧导航栏[网络安全/访问控制],然后再点击页面右上角的“”按钮,认证方式选择EAP,点击<确定>按钮。

图11 认证方式选择

 

4. 创建AP

单击左侧导航栏的[无线配置/AP管理],选择“AP”页签,进入AP管理配置页面,点击“”按钮新增AP,进行如下配置:

¡     配置AP名称为ap1,型号名称选择WAP722S,并配置序列号219801A0VX9174G00709。提示:此处根据实际的AP序列号来填写。

¡     单击<确定>按钮。

图12 新建AP

 

5. 配置无线服务

(1)     单击左侧导航栏的[无线配置/无线网络],进入无线网络配置页面,点击“”按钮新增无线服务,进行如下配置:

¡     基础设置部分配置无线服务名称为1x、SSID为1x、开启无线服务模板、配置VLAN为39。

¡     安全认证部分认证模式选择802.1X认证。

¡     域名为dot1x。

¡     单击<确定并进入高级设置>按钮。

图13 配置无线服务

 

(2)     在高级设置页面,点击“链路层认证”页签,进行如下配置:

¡     配置安全模式为WPA2。

¡     配置加密套件为CCMP。

¡     单击<确认>按钮。

图14 配置链路层认证

(3)     点击“绑定”页签,将“ap1”和无线服务模板“1x”做绑定,然后点击<确定>按钮。

图15 绑定AP

 

3.3  配置客户端和服务器的连通性

由于客户端网关就在AC上,且AC和服务器同网段。所以添加服务器侧 客户端192.168.39.0/24网段的路由即可,此处略。

3.4  配置RADIUS server

说明

·     下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0303)、iMC UAM 7.1(E0304)),说明AAA服务器的基本配置。

·     在服务器上已经完成证书的安装。

 

1. 增加接入设备

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入配置管理页面。在该页面中点击<增加>按钮,进入增加接入设备页面。

·     设置认证、计费共享密钥为12345678;

·      选择证书认证为EAP证书认证;

·     选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。

·     选择或手工增加接入设备,添加IP地址为192.168.100.133的接入设备;

·     点击<确定>按钮完成操作。

图16 增加接入设备页面

 

2. 增加接入策略

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入增加接入策略页面。

·     设置接入策略名输入dot1x;

·     其它保持缺省配置,点击<确定>按钮完成操作;

图17 增加服务策略页面

 

3. 增加接入服务

选择“用户”页签,单击导航树[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。

·     设置服务名为dot1x;

·     设置缺省接入策略为已经创建的dot1x策略;

·     其它保持缺省配置,点击<确定>按钮完成操作。

图18 增加接入服务页面

 

4. 增加接入用户

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·     添加用户dot1x;

·     添加账号名为dot1x,密码为123456;

·     选中之前配置的服务dot1x;

·     其它保持缺省配置,点击<确定>按钮完成操作。

图19 增加接入用户页面

 

3.5  配置客户端

下面以Windows 7系统电脑终端为例,说明无线网卡的配置。

(1)     打开“开始”菜单,单击“控制面板”,进入控制面板窗口,然后单击“查看网络状态和任务”,进入到了“网络和共享中心”。

(2)     单击“管理无线网络”,进入管理无线网络窗口,然后<添加>按钮,选择“手动创建网络配置文件(M)”添加无线网络信息。

¡     输入网络名:1x;

¡     选择安全类型:WPA2-企业;

¡     加密类型:AES;

¡     其它保持缺省配置,然后单击“下一步”。

(3)     网络创建成功后,选择“更改连接设置(H)”,进入无线网络属性对话框,然后单击“安全”页签,在“选择网络身份验证方法”下拉框中选择“Microsoft:受保护的EAP(PEAP)”,将“每次登录时记住此连接的凭据”前的复选框中的勾去掉。

(4)     单击<设置>按钮,进入“保护的EAP属性”对话框。

¡      去掉“验证服务器证书(V)”前复选框中的勾;

¡     去掉“启用快速重新连接”前复选框中的勾;

¡     单击“选择身份验证方法(S)”后面的<配置>按钮;

¡     在弹出的“EAP MSCHAPv2属性”对话框中,去掉复选框中的勾;

¡     单击<确定>按钮,返回“受保护的EAP属性”界面,再单击<确定>按钮。

(5)     选择“更改连接设置(H)”,进入无线网络属性对话框。在无线网络属性对话框中,单击<高级设置>按钮,进入高级设置对话框。在802.1X设置页签中,勾选“指定身份验证模式”,然后,在下拉框中选择“用户身份验证”。

(6)     单击“802.11设置”页签,去掉“启用成对主密钥(PMK)缓存”前的复选框中的勾,然后单击<确定>按钮。

3.6  验证结果

用电脑连接1x无线后,在弹出的登录认证页面中输入认证账号和密码:dot1x/123456通过认证后才能成功连接无线。

4  相关资料

·     《H3C 无线控制器产品Web网管配置指导》

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们