- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-802.1X Client配置
本章節下載: 04-802.1X Client配置 (261.86 KB)
目 錄
802.1X的體係結構包括客戶端、設備端和認證服務器。客戶端通常有兩種表現形式:安裝了802.1X客戶端軟件的終端和網絡設備。802.1X Client功能允許網絡設備作為客戶端。有關802.1X體係的詳細介紹請參見“用戶接入與認證配置指導”中的“802.1X”。有關802.1X體係的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證。”
應用了802.1X Client功能的典型組網圖如圖1-1所示:
關閉802.1X Client功能會導致已在線用戶被強製下線,請謹慎操作。
(4) (可選)配置802.1X Client匿名認證用戶名
(1) 進入係統視圖。
system-view
(2) 創建手工AP,並進入AP視圖。
wlan ap ap-name [ model model-name ]
創建AP時,需要輸入型號名稱。
(3) 創建並進入AP預配置視圖。
provision
(4) 開啟802.1X Client功能。
dot1x supplicant enable
為確保認證成功,請將接入設備上配置的用戶名和密碼與認證服務器上配置的用戶名和密碼保持一致。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖。
wlan ap ap-name [ model model-name ]
(3) 進入AP預配置視圖。
provision
(4) 配置802.1X Client認證用戶名。
dot1x supplicant username username
(5) 配置802.1X Client認證密碼。
dot1x supplicant password { cipher | simple } string
802.1X Client支持的EAP認證方法分為MD5-Challenge、PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC。
若802.1X Client采用MD5-Challenge認證方法,則設備端(Authenticator)的802.1X認證方法可以配置為CHAP或EAP。
若802.1X Client采用其它認證方法,則設備端的認證方法必須配置為EAP。
有關設備端認證方法的詳細介紹,請參見“用戶接入與認證配置指導”中的“WLAN用戶接入認證”。
配置的802.1X Client認證方法必須和認證服務器端支持的EAP認證方法保持一致。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖。
wlan ap ap-name [ model model-name ]
(3) 進入AP預配置視圖。
provision
(4) 配置802.1X Client認證方法。
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }
缺省情況下,802.1X Client采用的EAP認證方法為MD5-Challenge。
僅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC認證方法時,才需要配置匿名認證用戶名。802.1X Client在第一階段的認證過程中,優先發送匿名認證用戶名,而在第二階段將在被加密的報文中發送配置的認證用戶名。配置了802.1X Client匿名認證用戶名可有效保護認證用戶名不在第一階段的認證過程中被泄露。如果設備上沒有配置匿名認證用戶名,則兩個認證階段均使用配置的認證用戶名進行認證。
當802.1X Client認證采用的認證方法為MD5-Challenge時,被認證設備不會使用配置的匿名認證用戶名認證,而是使用配置的認證用戶名進行認證。
如果認證服務器廠商不支持匿名認證用戶名,則不要配置匿名認證用戶名。
(1) 進入係統視圖。
system-view
(2) 進入AP視圖。
wlan ap ap-name [ model model-name ]
(3) 進入AP預配置視圖。
provision
(4) 配置802.1X Client匿名認證用戶名。
dot1x supplicant anonymous identify identifier
AP通過交換機Switch的接口GigabitEthernet1/0/1接入網絡,兩台RADIUS服務器組成的服務器組與Switch相連,具體需求如下:
· AP作為被認證設備,需要通過Switch上的802.1X認證才能連接AC。
· 主、備RADIUS服務器進行認證、授權,其IP地址分別為10.1.1.1/24和10.1.1.2/24。
· Switch作為Authenticator采用EAP中繼認證方式與RADIUS服務器交互。
· AC下發預配置到AP,Switch開啟802.1X認證。
· AP屬於ISP域bbb。
· Switch與RADIUS認證服務器交互報文時的共享密鑰為name。
· 802.1X Client認證用戶名為aaa,密碼為明文123456。
· 802.1X Client采用的EAP認證方法為PEAP-MSCHAPv2。
· 對AP進行基於端口的802.1X認證。
圖1-2 802.1X Client配置舉例
(1) 配置各接口的IP地址(略)
(2) 配置802.1X Client功能
# 創建手工AP,名稱為ap1,選擇AP型號並配置序列號。
<AC> system-view
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 創建並進入AP預配置視圖。
[AC-wlan-ap-ap1] provision
# 配置802.1X Client認證方法為PEAP-MSCHAPv2。
[AC-wlan-ap-ap1-prvs] dot1x supplicant eap-method peap-mschapv2
# 配置802.1X Client認證用戶名為aaa,認證密碼為明文123456。
[AC-wlan-ap-ap1-prvs] dot1x supplicant username aaa
[AC-wlan-ap-ap1-prvs] dot1x supplicant password simple 123456
# 配置802.1X Client匿名認證用戶名為bbb。
[AC-wlan-ap-ap1-prvs] dot1x supplicant anonymous identify bbb
# 開啟802.1X Client功能。
[AC-wlan-ap-ap1-prvs] dot1x supplicant enable
# 將預配置信息下發到AP1。
[AC-wlan-ap-ap1-prvs] save wlan ap provision name ap1
[AC-wlan-ap-ap1-prvs] quit
[AC-wlan-ap-ap1] quit
· 下述配置步驟中包含了若幹RADIUS協議的配置命令,關於這些命令的詳細介紹請參見“用戶接入與認證命令參考”中的“AAA”。
· 完成RADIUS服務器的配置,添加用戶賬戶,保證用戶的認證/授權功能正常運行。
(1) 配置各接口的IP地址(略)
(2) 配置RADIUS方案
# 創建RADIUS方案radius1並進入其視圖。
<Switch> system-view
[Switch] radius scheme radius1
# 配置主認證RADIUS服務器的IP地址。
[Switch-radius-radius1] primary authentication 10.1.1.1
# 配置備份認證RADIUS服務器的IP地址。
[Switch-radius-radius1] secondary authentication 10.1.1.2
# 配置Switch與認證RADIUS服務器交互報文時的共享密鑰。
[Switch-radius-radius1] key authentication simple name
[Switch-radius-radius1] quit
發送給服務器的用戶名是否攜帶域名與服務器端是否接受攜帶域名的用戶名以及服務器端的配置有關:
· 若服務器端不接受攜帶域名的用戶名,或者服務器上配置的用戶認證所使用的服務不攜帶域名後綴,則Switch上指定不攜帶用戶名(without-domain);
· 若服務器端可接受攜帶域名的用戶名,且服務器上配置的用戶認證所使用的服務攜帶域名後綴,則Switch上指定攜帶用戶名(with-domain)。
(3) 配置ISP域
# 創建域bbb並進入其視圖。
[Switch] domain name bbb
# 配置802.1X用戶使用RADIUS方案radius1進行認證、授權。
[Switch-isp-bbb] authentication lan-access radius-scheme radius1
[Switch-isp-bbb] authorization lan-access radius-scheme radius1
[Switch-isp-bbb] accounting lan-access none
[Switch-isp-bbb] quit
(4) 配置802.1X
# 配置802.1X係統的認證方法為EAP。
[Switch] dot1x authentication-method eap
# 配置對AP進行基於端口的802.1X認證。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x port-method portbased
# 指定接口上接入的802.1X用戶使用強製認證域bbb。
[Switch-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
# 開啟接口GigabitEthernet1/0/1的802.1X。
[Switch-GigabitEthernet1/0/1] dot1x
[Switch-GigabitEthernet1/0/1] quit
# 開啟全局802.1X。
[Switch] dot1x
上述配置完成後,可通過Switch上輸入display dot1x connection命令看到成功上線用戶的信息。
[Switch] display dot1x connection
Total connections: 1
User MAC address: 70f9-6dd7-d1e0
Access interface: GigabitEthernet1/0/1
Username: aaa
Authentication domain: bbb
Authentication method: EAP
Initial VLAN: 1
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
Termination action: N/A
Session timeout period: N/A
Online from: 2015/06/16 19:10:32
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
