1 802.1X本地认证PEAP-GTC认证方法典型配置

1.1  简介

本文档介绍802.1X本地认证PEAP-GTC认证方法的典型配置。

1.2  组网需求

如图1所示组网，Switch作为DHCP server为AP和Client分配IP地址，Client连接无线服务并进行PEAP-GTC方式认证，认证成功后可以访问网络资源，要求：

·     对无线用户进行本地802.1X认证。

·     客户端链路层认证使用开放式系统认证。

·     加密套件采用CCMP，安全IE为RSN。

图1 802.1X本地认证PEAP-GTC认证方法组网图

 

1.3  配置注意事项

配置AP的序列号时请确保该序列号与AP唯一对应。

1.4  配置步骤

1.4.1  配置AC

(1)     导入本地证书和CA证书

请通过FTP或TFTP的方式将本地证书、CA证书文件导入AC的存储介质的根目录下。

(2)     配置AC的接口

# 创建VLAN 100以及对应的VLAN接口，并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 10.1.1.46 24

[AC-Vlan-interface100] quit

# 创建VLAN 200及其对应的VLAN接口，并为该接口配置IP地址。Client将使用该VLAN接入无线网络。

[AC] vlan 200

[AC-vlan200] quit

[AC] interface vlan-interface 200

[AC-Vlan-interface200] ip address 10.1.2.1 24

[AC-Vlan-interface200] quit

# 配置AC与Switch相连的接口GigabitEthernet1/0/1的属性为Trunk，允许VLAN 100和VLAN 200通过。

[AC] interface gigabitethernet 1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200

[AC-GigabitEthernet1/0/1] quit

(3)     创建PKI域，并导入本地证书和CA证书

[AC] pki domain eap-gtc

[AC-pki-domain-eap-gtc] quit

# 在PKI域导入CA证书，证书文件格式为PEM编码，证书文件名称为cacert.crt。

[AC] pki import domain eap-gtc pem ca filename cacert.crt

The trusted CA's finger print is:

    MD5 fingerprint:CEA3 E3EF C7B6 6BFD 8D9E 8174 606C 8D8E

    SHA1 fingerprint:4D25 EA37 4885 5E94 3B0E 1B83 7AA7 290D 23A6 4EC3

Is the finger print correct?(Y/N):y

# 向PKI域中导入本地证书，证书文件格式为PKCS#12编码，证书文件名称为local.pfx，证书文件中包含了密钥对。

[AC] pki import domain eap-gtc p12 local filename local.pfx

Please input the password: ******

(4)     配置SSL服务器策略

# 创建名称为ssl-eap的SSL服务器策略，并配置使用的PKI域为eap-gtc。

[AC] ssl server-policy ssl-eap

[AC-ssl-server-policy-ssl-eap] pki-domain eap-gtc

[AC-ssl-server-policy-ssl-eap] quit

(5)     创建EAP认证方案

# 创建名称为eap-srv的EAP认证方案，配置认证方法为PEAP-GTC，引用名称为ssl-eap的SSL服务器端策略。

[AC] eap-profile eap-srv

[AC-eap-profile-eap-srv] method peap-gtc

[AC-eap-profile-eap-srv] ssl-server-policy ssl-eap

[AC-eap-profile-eap-srv] quit

(6)     配置802.1X认证方式为EAP

[AC] dot1x authentication-method eap

(7)     配置ISP域

# 创建并进入名称为eap-gtc的ISP域。

[AC] domain eap-gtc

# 为802.1X和MAC认证用户配置AAA认证方法为本地认证、授权和计费。

[AC-isp-eap-gtc] authentication lan-access local

[AC-isp-eap-gtc] authorization lan-access none

[AC-isp-eap-gtc] accounting lan-access none

[AC-isp-eap-gtc] quit

(8)     配置本地用户

# 创建网络接入本地用户localuser。

[AC] local-user localuser class network

# 配置用户密码为明文123456。

[AC-luser-network-localuser] password simple 123456

# 配置服务类型为lan-access。

[AC-luser-network-localuser] service-type lan-access

[AC-luser-network-localuser] quit

(9)     配置无线服务模板

# 创建一个名称为1x-local的无线服务模板，配置SSID为bendi1x，AKM模式为802.1X，加密套件为CCMP，安全IE为RSN。

[AC] wlan service-template 1x-local

[AC-wlan-st-1x-local] ssid bendi1x

[AC-wlan-st-1x-local] akm mode dot1x

[AC-wlan-st-1x-local] cipher-suite ccmp

[AC-wlan-st-1x-local] security-ie rsn

# 配置无线服务模板VLAN为200。

[AC-wlan-st-1x-local] vlan 200

# 配置用户接入认证模式为802.1X。

[AC-wlan-st-1x-local] client-security authentication-mode dot1x

# 配置802.1X用户使用认证域为eap-gtc。

[AC-wlan-st-1x-local] dot1x domain eap-gtc

# 配置802.1X认证采用EAP终结方式时引用的EAP认证方案为eap-srv。

[AC-wlan-st-1x-local] dot1x eap-termination eap-profile eap-srv

# 配置客户端数据报文转发位置为AC。（如果客户端数据报文的缺省转发位置与本配置相同，请跳过此步骤）

[AC-wlan-st-1x-local] client forwarding-location ac

# 开启无线服务模板。

[AC-wlan-st-1x-local] service-template enable

[AC-wlan-st-1x-local] quit

(10)     配置AP

 

# 创建名称为aptest的AP模板并进入AP视图。

[AC] wlan ap aptest model WA6320

# 配置serial-id。

[AC-wlan-ap-aptest] serial-id 219801A28N819CE0002T

[AC-wlan-ap-aptest] quit

# 创建AP组group1，并配置AP名称入组规则。

[AC] wlan ap-group group1

[AC-wlan-ap-group-group1] ap aptest

# 将无线服务模板1x-local绑定到AP组group1下的Radio 1上，并开启Radio 1的射频功能。

[AC-wlan-ap-group-group1] ap-model WA6320

[AC-wlan-ap-group-group1-ap-model-WA6320] radio 1

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template 1x-local

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] quit

# 将无线服务模板1x-local绑定到AP组group1下的Radio 2上，并开启Radio 2的射频功能。

[AC-wlan-ap-group-group1-ap-model-WA6320] radio 2

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template 1x-local

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable

[AC-wlan-ap-group-group1-ap-model-WA6320] quit

[AC-wlan-ap-group-group1] quit

1.4.2  配置Switch

# 创建VLAN 100，用于转发AC和AP间CAPWAP隧道内的流量。

<Switch> system-view

[Switch] vlan 100

[Switch-vlan100] quit

# 创建VLAN 200，用于转发Client无线报文。

[Switch] vlan 200

[Switch-vlan200] quit

# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk，允许VLAN 100和VLAN 200通过。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200

[Switch-GigabitEthernet1/0/1] quit

# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access，并允许VLAN 100通过。

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port access vlan 100

# 使能PoE功能。

[Switch-GigabitEthernet1/0/2] poe enable

[Switch-GigabitEthernet1/0/2] quit

# 配置VLAN 100接口的IP地址。

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] ip address 10.1.1.2 24

[Switch-Vlan-interface100] quit

# 配置VLAN 200接口的IP地址。

[Switch] interface vlan-interface 200

[Switch-Vlan-interface200] ip address 10.1.2.2 24

[Switch-Vlan-interface200] quit

# 配置DHCP地址池100，用于为AP分配IP地址。

[Switch] dhcp server ip-pool 100

[Switch-dhcp-pool-100] network 10.1.1.0 mask 255.255.255.0

[Switch-dhcp-pool-100] gateway-list 10.1.1.2

[Switch-dhcp-pool-100] quit

# 配置DHCP地址池200，用于为Client分配IP地址，为Client分配的DNS服务器地址为网关地址（实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址）。

[Switch] dhcp server ip-pool 200

[Switch-dhcp-pool-200] network 10.1.2.0 mask 255.255.255.0

[Switch-dhcp-pool-200] gateway-list 10.1.2.1

[Switch-dhcp-pool-200] dns-list 10.1.2.2

[Switch-dhcp-pool-200] quit

# 开启DHCP服务。

[Switch] dhcp enable

1.4.3  配置PC端接入

 

(1)     选择无线服务

# 打开iNode智能客户端，单击“无线连接”。

图2 打开iNode智能客户端

 

# 如图3所示，单击无线连接页面右上角的三角按钮，在下拉框中双击SSID为“bendi1x”的无线服务，并输入用户名和密码。用户名和密码应与配置的本地认证用户名和密码相同。

图3 输入用户名和密码

 

 

(2)     802.1X属性设置

# 单击<连接>按钮右侧的倒三角，然后单击“属性”，进入属性设置对话框。在“安全”页签下，将安全类型设置为“WPA2”、加密类型设置为“AES”。

图4 属性设置

 

# 单击<802.1X属性>按钮，弹出802.1X属性对话框。如图5、图6所示，完成“连接设置”、“网络设置”页签的设置。

图5 802.1X属性连接设置

 

图6 802.1X属性网络设置

 

# 完成设置后，单击802.1X连接页面的<连接>按钮，即可进行802.1X认证。

图7 802.1X认证成功

 

1.4.4  配置手机端接入

 

终端搜索并接入名称为“bendi1x”的无线服务，EAP方法选择“PEAP”、阶段2身份验证选择“GTC”，CA证书选择不验证，输入用户名和密码即可连接成功。用户名和密码应与配置的本地认证用户名和密码相同。

1.5  验证配置

客户端通过802.1X认证成功关联AP，并且可以访问无线网络。

# 在AC上可以通过display dot1x connection命令查看dot1x用户上线情况。

[AC] display dot1x connection

Total connections: 1

User MAC address                   : 1044-0037-2e9f

AP name                            : aptest

Radio ID                           : 1

SSID                               : bendi1x

BSSID                              : d461-fe62-1537

Username                           : localuser

Authentication domain              : eap-gtc

IPv4 address                       : 10.1.2.3

Authentication method              : EAP

Initial VLAN                       : 200

Authorization VLAN                 : 200

Authorization ACL number           : N/A

Authorization user profile         : N/A

Authorization CAR                  : N/A

Termination action                 : N/A

Session timeout last from          : N/A

Session timeout period             : N/A

Online from                        : 2025/05/22 11:54:58

Online duration                    : 0h 0m 20s

1.6  配置文件

·     AC：

#

 dot1x authentication-method eap

#

vlan 100

#

vlan 200

#

wlan service-template 1x-local

 ssid bendi1x

 vlan 200

 client forwarding-location ac 

 akm mode dot1x

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode dot1x

 dot1x domain eap-gtc

 dot1x eap-termination eap-profile eap-srv

service-template enable

#

interface Vlan-interface100

 ip address 10.1.1.46 255.255.255.0

#

interface Vlan-interface200

 ip address 10.1.2.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 100 200

#

eap-profile eap-srv

 method peap-gtc

 ssl-server-policy ssl-eap

#

 local-user localuser class network

 password cipher $c$3$gYegKoWKFRWTi2ta9tmawxbqqMzJOB5q8w==

 service-type lan-access

#

 pki domain eap-gtc

#

 pki import domain eap-gtc pem ca filename cacert.crt

 pki import domain eap-gtc p12 local filename local.pfx

#

ssl server-policy ssl-eap

 pki-domain eap-gtc

#

domain eap-gtc

 authentication lan-access local

 authorization lan-access none

 accounting lan-access none

#

wlan ap-group group1

 ap aptest

 ap-model WA6320

  radio 1

   radio enable

   service-template 1x-local

  radio 2

   radio enable

   service-template 1x-local

  gigabitethernet 1

#

wlan ap aptest model WA6320

 serial-id 219801A28N819CE0002T

#

·     Switch：

#

 dhcp enable

#

vlan 100

#

vlan 200

#

dhcp server ip-pool 100

 gateway-list 10.1.1.2

 network 10.1.1.0 mask 255.255.255.0

#

dhcp server ip-pool 200

 gateway-list 10.1.2.1

 network 10.1.2.0 mask 255.255.255.0

 dns-list 10.1.2.2

#

interface Vlan-interface100

 ip address 10.1.1.2 255.255.255.0

#

interface Vlan-interface200

 ip address 10.1.2.2 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan 1 100 200

#

interface GigabitEthernet1/0/2

 port link-type access

 port access vlan 100

 poe enable

#

1.7  相关资料

·     《H3C 无线控制器产品 配置指导》中的“用户接入与认证配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“用户接入与认证命令参考”。

·     《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。