- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-802.1X Client配置
本章節下載: 03-802.1X Client配置 (191.55 KB)
802.1X的體係結構包括客戶端、設備端和認證服務器。客戶端通常有兩種表現形式:安裝了802.1X客戶端軟件的終端和網絡設備。802.1X Client功能允許網絡設備作為客戶端。有關802.1X體係的詳細介紹請參見“安全配置指導”中的“802.1X”。
應用了802.1X Client功能的典型組網圖如圖1-1所示:
表1-1 802.1X Client功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
開啟802.1X Client功能 |
必選 |
|
|
配置802.1X Client認證用戶名和密碼 |
必選 |
|
|
配置802.1X Client采用的EAP認證方法 |
必選 |
|
|
配置802.1X Client匿名認證用戶名 |
可選 |
如果被認證AP上有用戶在線時,關閉802.1X Client功能會導致在線用戶被強製下線。
開啟802.1X Client功能前,請確保認證設備端上關於802.1X認證的配置已完成。有關802.1X認證的配置請參見“安全配置指導”中的“802.1X”。
表1-2 開啟802.1X Client功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建手工AP,並進入AP視圖 |
wlan ap ap-name [ model model-name ] |
缺省情況下,未創建手工AP 創建AP時,需要輸入型號名稱 |
|
創建並進入AP provision視圖 |
provision |
缺省情況下,不存在provision視圖 |
|
開啟802.1X Client功能 |
dot1x supplicant enable |
缺省情況下,802.1X Client功能處於關閉狀態 |
開啟了802.1X Client功能的接入設備在進行802.1X認證時,會使用已配置的用戶名和密碼進行認證。
請確保接入設備上配置的用戶名和密碼與認證服務器上配置的用戶名和密碼保持一致,否則會導致802.1X認證失敗,最終造成被認證設備無法接入網絡。
表1-3 配置802.1X Client認證用戶名和密碼
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AP視圖 |
wlan ap ap-name [ model model-name ] |
- |
|
進入AP provision視圖 |
provision |
- |
|
配置802.1X Client認證用戶名 |
dot1x supplicant username username |
缺省情況下,不存在802.1X Client認證用戶名 |
|
配置802.1X Client認證密碼 |
dot1x supplicant password { cipher | simple } password |
缺省情況下,不存在802.1X Client認證密碼 |
802.1X Client支持的EAP認證方法分為以下幾種:
· MD5-Challenge(MD5-質詢)
· PEAP-MSCHAPv2(Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol v2,受保護的擴展認證協議-Microsoft質詢握手身份驗證協議版本2)
· PEAP-GTC(Protected Extensible Authentication Protocol-Microsoft Generic Token Card,受保護的擴展認證協議-通用令牌卡)
· TTLS-MSCHAPv2(Tunneled Transport Layer Security-Microsoft Challenge Handshake Authentication Protocol v2,管道式傳輸層安全-Microsoft質詢握手身份驗證協議版本2)
· TTLS-GTC(Tunneled Transport Layer Security-Microsoft Generic Token Card,管道式傳輸層安全-通用令牌卡)
設備端(Authenticator)上支持兩種EAP報文交互機製:EAP中繼和EAP終結。MD5-Challenge認證方法支持以上兩種EAP報文交互機製,而其餘認證方法僅支持EAP中繼。
有關EAP報文交互機製的詳細介紹,請參見“安全配置指導”中的“802.1X”。
需要注意的是,配置的802.1X Client認證方法必須和認證服務器端支持的EAP認證方法保持一致。
表1-4 配置802.1X Client采用的EAP認證方法
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AP視圖 |
wlan ap ap-name [ model model-name ] |
- |
|
進入AP provision視圖 |
provision |
- |
|
配置802.1X Client認證方法 |
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 } |
缺省情況下,802.1X Client采用的EAP認證方法為MD5-Challenge |
僅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC認證方法時,才需要配置匿名認證用戶名。802.1X Client在第一階段的認證過程中,優先發送匿名認證用戶名,而在第二階段將在被加密的報文中發送配置的認證用戶名。配置了802.1X Client匿名認證用戶名可有效保護認證用戶名不在第一階段的認證過程中被泄露。如果設備上沒有配置匿名認證用戶名,則兩個認證階段均使用配置的認證用戶名進行認證。
當802.1X Client認證采用的認證方法為MD5-Challenge時,被認證設備不會使用配置的匿名認證用戶名認證,而是使用配置的認證用戶名進行認證。
如果認證服務器廠商不支持匿名認證用戶名,則不要配置匿名認證用戶名。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AP視圖 |
wlan ap ap-name [ model model-name ] |
- |
|
進入AP provision視圖 |
provision |
- |
|
配置802.1X Client匿名認證用戶名 |
dot1x supplicant anonymous identify identifier |
缺省情況下,不存在802.1X Client匿名認證用戶名 |
AP通過交換機Switch的接口GigabitEthernet1/0/1接入網絡,兩台RADIUS服務器組成的服務器組與Switch相連,具體需求如下:
· AP作為被認證設備,需要通過Switch上的802.1X認證才能連接AC。
· 主、備RADIUS服務器進行認證、授權,其IP地址分別為10.1.1.1/24和10.1.1.2/24。
· Switch作為Authenticator采用EAP中繼認證方式與RADIUS服務器交互。
· AC下發預配置到AP,Switch開啟802.1X Client認證。
· AP屬於ISP域bbb。
· Switch與RADIUS認證服務器交互報文時的共享密鑰為name。
· 802.1X Client認證用戶名為aaa,密碼為明文123456。
· 802.1X Client采用的EAP認證方法為PEAP-MSCHAPv2。
· 對AP進行基於端口的802.1X認證。
圖1-2 802.1X Client配置舉例
· 下述配置步驟中包含了若幹RADIUS協議的配置命令,關於這些命令的詳細介紹請參見“安全命令參考”中的“AAA”。
· 完成RADIUS服務器的配置,添加用戶帳戶,保證用戶的認證/授權功能正常運行。
(1) 配置AC
· 配置各接口的IP地址(略)
· 配置802.1X Client功能
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
<AC> system-view
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454
# 創建並進入AP provision視圖。
[AC-wlan-ap-ap1] provision
# 配置802.1X Client認證方法為PEAP-MSCHAPv2。
[AC-wlan-ap-ap1-prvs] dot1x supplicant eap-method peap-mschapv2
# 配置802.1X Client認證用戶名為aaa,認證密碼為明文123456。
[AC-wlan-ap-ap1-prvs] dot1x supplicant username aaa
[AC-wlan-ap-ap1-prvs] dot1x supplicant password simple 123456
# 配置802.1X Client匿名認證用戶名為bbb。
[AC-wlan-ap-ap1-prvs] dot1x supplicant anonymous identify bbb
# 開啟802.1X Client功能。
[AC-wlan-ap-ap1-prvs] dot1x supplicant enable
# 將預配置信息下發到AP1。
[AC-wlan-ap-ap1-prvs] save wlan ap provision name ap1
[AC-wlan-ap-ap1-prvs] quit
[AC-wlan-ap-ap1] quit
(2) 配置Switch
· 配置各接口的IP地址(略)
· 配置RADIUS方案
# 創建RADIUS方案radius1並進入其視圖。
<Switch> system-view
[Switch] radius scheme radius1
# 配置主認證RADIUS服務器的IP地址。
[Switch-radius-radius1] primary authentication 10.1.1.1
# 配置備份認證RADIUS服務器的IP地址。
[Switch-radius-radius1] secondary authentication 10.1.1.2
# 配置Switch與認證RADIUS服務器交互報文時的共享密鑰。
[Switch-radius-radius1] key authentication simple name
# 配置發送給RADIUS服務器的用戶名不攜帶域名。
[Switch-radius-radius1] user-name-format without-domain
[Switch-radius-radius1] quit
發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名以及服務器端的配置有關:
· 若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則Switch上指定不攜帶用戶名(without-domain);
· 若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則Switch上指定攜帶用戶名(with-domain)。
· 配置ISP域
# 創建域bbb並進入其視圖。
[Switch] domain bbb
# 配置802.1X用戶使用RADIUS方案radius1進行認證、授權。
[Switch-isp-bbb] authentication lan-access radius-scheme radius1
[Switch-isp-bbb] authorization lan-access radius-scheme radius1
[Switch-isp-bbb] accounting lan-access none
[Switch-isp-bbb] quit
· 配置802.1X
# 配置802.1X係統的認證方法為EAP。
[Switch] dot1x authentication-method eap
# 配置對AP進行基於端口的802.1X認證。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x port-method portbased
# 指定接口上接入的802.1X用戶使用強製認證域bbb。
[Switch-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
# 開啟接口GigabitEthernet1/0/1的802.1X。
[Switch-GigabitEthernet1/0/1] dot1x
[Switch-GigabitEthernet1/0/1] quit
# 開啟全局802.1X。
[Switch] dot1x
上述配置完成後,可通過Switch上輸入display dot1x connection命令看到成功上線用戶的信息。
[Switch] display dot1x connection
Total connections: 1
User MAC address: 70f9-6dd7-d1e0
Access interface: GigabitEthernet1/0/1
Username: aaa
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 1
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Termination action: N/A
Session timeout period: N/A
Online from: 2015/06/16 19:10:32
Online duration: 0h 1m 1s
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
