- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-遠程802.1X認證典型配置舉例(專家模式Web版)
本章節下載: 06-遠程802.1X認證典型配置舉例(專家模式Web版) (1.08 MB)
遠程802.1X認證典型配置舉例(專家模式Web版)
Copyright © 2021 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹遠程802.1X認證配置舉例。
用於客戶端進行遠程802.1X認證場景。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
如圖1所示,Switch作為DHCP server為AP和Client分配IP地址,采用iMC作為RADIUS服務器對用戶進行認證、授權和計費,要求:
· 對無線用戶進行遠程802.1X認證。
· 客戶端鏈路層認證使用開放式係統認證。
· 通過配置客戶端和AP之間的數據報文采用802.1X身份認證與密鑰管理模式確保用戶數據的傳輸安全。
圖1 802.1X身份認證與密鑰管理模式組網圖
(1) 創建VLAN 29及其對應的VLAN接口,並為該接口配置IP地址。開啟DHCP服務,作為AP的管理VLAN。
a. 點擊頁麵底部的<係統>按鈕,進入“係統”菜單頁麵。
b. 點擊頁麵左側導航欄的[網絡配置/VLAN],創建VLAN 29。
圖2 創建VLAN
(2) 點擊VLAN 29右側的“
”按鈕,進入“修改VLAN”頁麵,進行如下配置:
¡ 將G1/0/3添加到untagged端口中。
¡ 勾選“創建vlan接口”,配置VLAN接口IP地址為:192.168.29.1/24。
圖3 修改VLAN
(3) 點擊頁麵左側導航欄的[網絡配置/服務/DHCP/DNS],然後選擇“DHCP”頁簽,進行如下配置。
a. 點擊<啟動DHCP>按鈕,開啟DHCP服務。
b. 點擊<增加地址池>按鈕,在彈出的“增加DHCP服務器地址池”對話框中輸入地址池名稱“29”。
c. 點擊<確認>按鈕。
圖4 添加DHCP地址池
d. 配置地址池29動態分配的地址段為192.168.29.0\24,然後點擊<確認>按鈕。
圖5 添加動態分配地址段
e. 選擇“地址池選項”頁簽,配置網關和DNS服務器地址均為192.168.29.1,然後點擊“+”符號完成添加。本步驟配置的網關和DNS服務器地址僅為舉例,請根據實際組網環境進行配置。
圖6 添加網關及DNS服務器
創建VLAN 39及其對應的VLAN接口,並為該接口配置IP地址。開啟DHCP服務,Client使用該VLAN接入無線網絡。具體操作同上,此處不再重複。
(1) 點擊左側導航欄[網絡安全/認證],然後點擊“RADIUS”頁簽,再點擊“
”按鈕,添加RADIUS方案,進行如下配置:
¡ 方案名稱為radius1。
¡ 指定主認證服務器IP地址為192.168.100.175,端口號為1812,共享密鑰為12345678。設置主認證服務器狀態為活動。
¡ 指定主計費服務器IP地址為192.168.100.175,端口號為1813,共享密鑰為12345678。設置主計費服務器狀態為活動。
圖7 配置RADIUS方案
(2) 點擊“顯示高級設置”,在顯示高級設置裏指定發送RADIUS報文使用的源IPv4地址為192.168.100.133,發送給RADIUS服務器的用戶名格式為不攜帶域名,其他保持缺省配置。然後點擊<確定>按鈕完成配置。
圖8 顯示高級設置
(3) 點擊“RADIUS”頁簽右上角“高級設置”,開啟接收session control報文功能。
圖9 開啟接收session control報文
點擊左側導航欄的[網絡安全/認證],進入“ISP域”頁麵配置,進行如下配置:
¡ 點擊“
”按鈕,添加ISP域。
¡ 名稱為dot1x,並將該ISP域的狀態設置為活動。
¡ 指定接入方式為LAN接入。
¡ 指定LAN接入AAA方案的認證、授權和計費的方法均為RADIUS,方案都選擇1x。
¡ 單擊<確定>按鈕。
圖10 配置ISP域
(2) 配置802.1X
點擊頁麵底部的<網絡>按鈕,然後點擊左側導航欄[網絡安全/訪問控製],然後再點擊頁麵右上角的“
”按鈕,認證方式選擇EAP,點擊<確定>按鈕。
圖11 認證方式選擇
單擊左側導航欄的[無線配置/AP管理],選擇“AP”頁簽,進入AP管理配置頁麵,點擊“
”按鈕新增AP,進行如下配置:
¡ 配置AP名稱為ap1,型號名稱選擇WAP722S,並配置序列號219801A0VX9174G00709。提示:此處根據實際的AP序列號來填寫。
¡ 單擊<確定>按鈕。
圖12 新建AP
(1) 單擊左側導航欄的[無線配置/無線網絡],進入無線網絡配置頁麵,點擊“
”按鈕新增無線服務,進行如下配置:
¡ 基礎設置部分配置無線服務名稱為1x、SSID為1x、開啟無線服務模板、配置VLAN為39。
¡ 安全認證部分認證模式選擇802.1X認證。
¡ 域名為dot1x。
¡ 單擊<確定並進入高級設置>按鈕。
圖13 配置無線服務
(2) 在高級設置頁麵,點擊“鏈路層認證”頁簽,進行如下配置:
¡ 配置安全模式為WPA2。
¡ 配置加密套件為CCMP。
¡ 單擊<確認>按鈕。
圖14 配置鏈路層認證
(3) 點擊“綁定”頁簽,將“ap1”和無線服務模板“1x”做綁定,然後點擊<確定>按鈕。
圖15 綁定AP
由於客戶端網關就在AC上,且AC和服務器同網段。所以添加服務器側 客戶端192.168.39.0/24網段的路由即可,此處略。
· 下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1(E0303)、iMC UAM 7.1(E0304)),說明AAA服務器的基本配置。
· 在服務器上已經完成證書的安裝。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入配置管理頁麵。在該頁麵中點擊<增加>按鈕,進入增加接入設備頁麵。
· 設置認證、計費共享密鑰為12345678;
· 選擇證書認證為EAP證書認證;
· 選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。
· 選擇或手工增加接入設備,添加IP地址為192.168.100.133的接入設備;
· 點擊<確定>按鈕完成操作。
圖16 增加接入設備頁麵
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入策略頁麵。
· 設置接入策略名輸入dot1x;
· 其它保持缺省配置,點擊<確定>按鈕完成操作;
圖17 增加服務策略頁麵
選擇“用戶”頁簽,單擊導航樹[接入策略管理/接入服務管理]菜單項,進入接入服務管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入服務頁麵。
· 設置服務名為dot1x;
· 設置缺省接入策略為已經創建的dot1x策略;
· 其它保持缺省配置,點擊<確定>按鈕完成操作。
圖18 增加接入服務頁麵
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 添加用戶dot1x;
· 添加賬號名為dot1x,密碼為123456;
· 選中之前配置的服務dot1x;
· 其它保持缺省配置,點擊<確定>按鈕完成操作。
圖19 增加接入用戶頁麵
下麵以Windows 7係統電腦終端為例,說明無線網卡的配置。
(1) 打開“開始”菜單,單擊“控製麵板”,進入控製麵板窗口,然後單擊“查看網絡狀態和任務”,進入到了“網絡和共享中心”。
(2) 單擊“管理無線網絡”,進入管理無線網絡窗口,然後<添加>按鈕,選擇“手動創建網絡配置文件(M)”添加無線網絡信息。
¡ 輸入網絡名:1x;
¡ 選擇安全類型:WPA2-企業;
¡ 加密類型:AES;
¡ 其它保持缺省配置,然後單擊“下一步”。
(3) 網絡創建成功後,選擇“更改連接設置(H)”,進入無線網絡屬性對話框,然後單擊“安全”頁簽,在“選擇網絡身份驗證方法”下拉框中選擇“Microsoft:受保護的EAP(PEAP)”,將“每次登錄時記住此連接的憑據”前的複選框中的勾去掉。
(4) 單擊<設置>按鈕,進入“保護的EAP屬性”對話框。
¡ 去掉“驗證服務器證書(V)”前複選框中的勾;
¡ 去掉“啟用快速重新連接”前複選框中的勾;
¡ 單擊“選擇身份驗證方法(S)”後麵的<配置>按鈕;
¡ 在彈出的“EAP MSCHAPv2屬性”對話框中,去掉複選框中的勾;
¡ 單擊<確定>按鈕,返回“受保護的EAP屬性”界麵,再單擊<確定>按鈕。
(5) 選擇“更改連接設置(H)”,進入無線網絡屬性對話框。在無線網絡屬性對話框中,單擊<高級設置>按鈕,進入高級設置對話框。在802.1X設置頁簽中,勾選“指定身份驗證模式”,然後,在下拉框中選擇“用戶身份驗證”。
(6) 單擊“802.11設置”頁簽,去掉“啟用成對主密鑰(PMK)緩存”前的複選框中的勾,然後單擊<確定>按鈕。
用電腦連接1x無線後,在彈出的登錄認證頁麵中輸入認證賬號和密碼:dot1x/123456通過認證後才能成功連接無線。
· 《H3C 無線控製器產品Web網管配置指導》
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
