- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-WLAN用戶接入認證配置
本章節下載: 06-WLAN用戶接入認證配置 (973.38 KB)
目 錄
1.5.4 配置設備向802.1X客戶端發送認證請求報文最大次數
1.6.24 配置RADIUS報文攜帶用戶IP地址學習方式的功能
1.8 配置802.1X認證采用EAP終結方式時與認證服務器之間進行交互認證的方法
1.10.1 802.1X認證(CHAP本地認證)典型配置舉例
1.10.2 802.1X認證(EAP-PEAP加密)典型配置舉例
1.10.3 使用RADIUS服務器進行MAC地址認證典型配置舉例
WLAN用戶接入認證是一種基於用戶的安全接入管理機製,根據用戶MAC地址來進行訪問控製。本特性主要實現802.1X、MAC地址認證和OUI認證三種認證方式。
· 802.1X認證係統使用EAP(Extensible Authentication Protocol,可擴展認證協議)來實現客戶端、設備端和認證服務器之間認證信息的交換。
· MAC地址認證不需要用戶安裝任何客戶端軟件。設備在檢測到用戶的MAC地址以後,對該用戶進行認證操作。認證過程中,不需要用戶手動輸入用戶名或者密碼,若該用戶認證成功,則允許其訪問網絡資源,否則該用戶則無法訪問網絡資源。
· OUI(Organizationally Unique Identifier,全球統一標識符)是MAC地址的前24位(二進製),是IEEE為不同設備供應商分配的一個全球唯一的標識符。采用OUI認證方式後,如果用戶的MAC地址與設備配置的OUI能匹配上,則認證成功,否則認證失敗。
WLAN用戶接入認證支持以下幾種認證模式:
表1-1 WLAN用戶接入認證模式描述表
|
認證模式 |
工作機製 |
入侵檢測 |
|
|
缺省情況 |
bypass |
不對用戶進行認證 |
無效 |
|
采用802.1X認證 |
dot1x |
隻進行802.1X認證 |
可觸發 |
|
采用MAC地址認證 |
mac |
隻進行MAC地址認證 |
可觸發 |
|
采用802.1X和MAC地址認證組合認證 |
mac-or-dot1x |
先進行MAC地址認證,如果失敗,再進行802.1X認證,如果認證成功,則不進行802.1X認證 |
可觸發 |
|
dot1x-or-mac |
先進行802.1X認證,如果失敗,再進行MAC地址認證,如果認證成功,則不進行MAC地址認證 |
||
|
oui-or-dot1x |
先進行OUI認證,如果失敗,再進行802.1X認證,如果認證成功,則不進行802.1X認證 |
||
有關802.1X的體係結構、EAP中繼、EAP終結及EAP報文的封裝的詳細介紹請參見“安全配置指導”中的“802.1X”。
目前設備支持兩種方式的802.1X認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA”。
當無線組網方式為AC和Fit AP時,若用戶認證位置(可通過client-security authentication-location命令配置)在AP上,則AP為認證設備,由AP處理認證過程,若用戶認證位置在AC上,則AC為認證設備,由AC處理認證過程。
在客戶端與設備端之間,EAP協議報文使用EAPOL(Extensible Authentication Protocol over LAN,局域網上的可擴展認證協議)封裝格式的802.11報文,直接承載於無線環境中。在設備端與RADIUS服務器之間,可以使用兩種方式來交換信息。一種是EAP協議報文由設備端進行中繼,使用RADIUS協議封裝EAPOR報文;另一種是EAP協議報文由設備端進行終結,采用包含PAP或CHAP屬性的報文與RADIUS服務器進行認證交互。
有關EAP報文的封裝的詳細介紹,請參見“安全配置指導”中的“802.1X”。
EAP中繼認證方式將EAP承載在其它高層協議中,如EAP over RADIUS,以便EAP報文穿越複雜的網絡到達認證服務器。一般來說,需要RADIUS服務器支持EAP屬性:EAP-Message和Message-Authenticator。
如圖1-1所示,以MD5-Challenge類型的EAP認證為例,具體認證過程如下。
圖1-1 AC和Fit AP 802.1X認證係統的EAP中繼方式認證流程
(1) 當用戶需要訪問外部網絡時打開802.1X客戶端程序,輸入用戶名和密碼,發起連接請求。此時,客戶端程序將向設備發出認證請求幀(EAPOL-Start),開始啟動一次認證過程。有關客戶端與AP建立連接的過程,請參見“WLAN配置指導”中的“WLAN用戶安全”。
(2) 設備收到認證請求幀後,將發出一個Identity類型的請求幀(EAP-Request/Identity)要求客戶端程序發送用戶名。
(3) 客戶端程序響應設備發出的請求,將用戶名信息通過Identity類型的響應幀(EAP-Response/Identity)發送給設備。
(4) 設備將由客戶端發送的響應幀中的EAP報文封裝在RADIUS報文(RADIUS Access-Request)中,並發送給認證服務器進行處理。
(5) RADIUS服務器收到設備轉發的用戶名信息後,將該信息與數據庫中的用戶名列表對比,找到該用戶名對應的密碼信息,用隨機生成的一個MD5 Challenge對密碼進行加密處理,同時將此MD5 Challenge通過RADIUS Access-Challenge報文發送給設備。
(6) 設備將RADIUS服務器發送的MD5 Challenge轉發給客戶端。
(7) 客戶端收到由設備傳來的MD5 Challenge後,用該Challenge對密碼進行加密處理,生成EAP-Response/MD5 Challenge報文,並發送給設備。
(8) 設備將此EAP-Response/MD5 Challenge報文封裝在RADIUS報文(RADIUS Access-Request)中發送給RADIUS服務器。
(9) RADIUS服務器將收到的已加密的密碼信息和本地經過加密運算後的密碼信息進行對比,如果相同,則認為該用戶為合法用戶,並向設備發送認證通過報文(RADIUS Access-Accept)。
(10) 設備收到認證通過報文後向客戶端發送認證成功幀(EAP-Success),允許用戶訪問網絡。
(11) 用戶在線期間,設備會通過向客戶端定期發送握手報文的方法,對用戶的在線情況進行監測。
(12) 客戶端收到握手報文後,向設備發送應答報文,表示用戶仍然在線。缺省情況下,若設備端發送的兩次握手請求報文都未得到客戶端應答,設備就會讓用戶下線,防止用戶因為異常原因下線而設備無法感知。
(13) 客戶端可以發送EAPOL-Logoff幀給設備,主動要求下線。
(14) 設備向客戶端發送EAP-Failure報文。
這種方式將EAP報文在設備終結並映射到RADIUS報文中,利用標準RADIUS協議完成認證、授權和計費。設備與RADIUS服務器之間可以采用PAP或者CHAP認證方法。如圖1-2所示,以CHAP認證為例,具體的認證流程如下。
圖1-2 AC和Fit AP 802.1X認證係統的EAP終結方式認證流程
EAP終結方式與EAP中繼方式的認證流程相比,不同之處在於對用戶密碼信息進行加密處理的MD5 challenge由認證設備生成的,之後認證設備會把用戶名、MD5 challenge和客戶端加密後的密碼信息一起發送給RADIUS服務器,進行相關的認證處理。
802.1X認證觸發方式有兩種:當客戶端收到設備關聯回應報文後,會向設備發送EAPOL-Start報文觸發認證;當設備發送客戶端關聯回應報文後,會主動向該客戶端發送Identity類型的EAP-Request幀來觸發認證,若設備端在設置的時長內沒有收到客戶端的響應,則重發該報文。
目前設備支持兩種方式的MAC地址認證,通過RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)服務器進行遠程認證和在接入設備上進行本地認證。有關遠程RADIUS認證和本地認證的詳細介紹請參見“安全配置指導”中的“AAA”。
當無線組網方式為AC和Fit AP時,若認證位置(可通過client-security authentication-location命令配置)在AP上,則AP為接入設備,由AP處理認證過程,若認證位置在AC上,則AC為接入設備,由AC處理認證過程。
根據設備最終用於驗證用戶身份的用戶名格式和內容的不同,可以將MAC地址認證使用的用戶賬戶格式分為兩種類型:
· MAC地址用戶名密碼:使用用戶的MAC地址作為用戶名和密碼進行認證,即每個用戶使用不同的用戶名和密碼進行認證。
· 固定用戶名密碼:設備上所有MAC地址認證用戶均使用所配置的用戶名和密碼進行認證,即所有用戶使用同一個用戶名和密碼進行認證。用戶名為1~55個字符的字符串,區分大小寫,不能包括字符‘@’。密碼可以設置為明文或者密文,明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
圖1-3 不同用戶名格式下的MAC地址認證示意圖
(1) RADIUS服務器認證方式進行MAC地址認證
當選用RADIUS服務器認證方式進行MAC地址認證時,設備作為RADIUS客戶端,與RADIUS服務器配合完成MAC地址認證操作:
¡ 若采用MAC地址用戶名格式,則設備將檢測到的用戶MAC地址作為用戶名和密碼發送給RADIUS服務器進行驗證。
¡ 若采用固定用戶名格式,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼,發送給RADIUS服務器進行驗證。
RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問網絡。
(2) 本地認證方式進行MAC地址認證
當選用本地認證方式進行MAC地址認證時,直接在設備上完成對用戶的認證。需要在設備上配置本地用戶名和密碼:
¡ 若采用MAC地址用戶名格式,則設備將檢測到的用戶MAC地址作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
¡ 若采用固定用戶名格式,則設備將一個已經在本地指定的MAC地址認證用戶使用的固定用戶名和對應的密碼作為待認證用戶的用戶名和密碼與配置的本地用戶名和密碼進行匹配。
用戶名和密碼匹配成功後,用戶可以訪問網絡。
當設備檢測到一個未通過認證的用戶試圖訪問網絡時,如果開啟入侵檢測功能,設備將對其所在的BSS采取相應的安全策略。
入侵檢測所采取的安全模式,包括以下幾種:
· temporary-block:缺省模式。如果設備檢測到未通過認證用戶的關聯請求報文,臨時將該報文的源MAC地址加入阻塞MAC地址列表中,在一段時間內,源MAC地址為此非法MAC地址的無線客戶端將不能和AP建立連接,在這段時間過後恢複正常。該MAC地址的阻塞時間由阻塞非法入侵用戶時長決定。
· service-stop:直接關閉收到未通過認證用戶的關聯請求報文的BSS所提供的服務,直到用戶在Radio口上重新生成該BSS。
· temporary-service-stop:關閉收到未通過認證用戶的關聯請求報文的BSS一段時間,該時間由臨時關閉服務時長決定。
用戶通過802.1X或MAC地址認證方式認證成功後,授權服務器可以下發授權VLAN,用來限製用戶訪問網絡資源。下發的授權VLAN信息可以有多種形式,包括數字型VLAN和字符型VLAN,字符型VLAN又可分為VLAN名稱、VLAN組名。
服務器向設備下發授權VLAN信息後,設備首先對其進行解析,隻要解析成功,即以對應的方法下發授權VLAN;如果解析不成功,則用戶授權失敗。
· 若認證服務器下發的授權VLAN信息為一個VLAN ID,則該VLAN是有效的授權VLAN。
· 若認證服務器下發的授權VLAN信息為一個VLAN名稱,則僅當對應的VLAN存在時該VLAN才是有效的授權VLAN。
· 若認證服務器下發的授權VLAN信息為一個VLAN組名,則設備首先會通過組名查找該組內配置的VLAN列表,然後將該組VLAN中負載最小的VLAN作為有效的授權VLAN。關於VLAN組的相關配置,請參見“二層技術-以太網交換配置指導”中的“VLAN”。
· 若認證服務器下發的授權VLAN信息為一個包含若幹VLAN編號以及若幹VLAN名稱的字符串,則設備首先將其解析為一組VLAN ID,然後將該組VLAN中ID最小的VLAN作為有效的授權VLAN。
解析出來有效的授權VLAN後,則需要進行下發。
由於授權信息是用來控製數據報文轉發的,因此,授權信息必須在授權點下發。這也就意味著,在認證設備和授權設備分離場景下,用戶在認證設備上獲取授權信息後,認證設備需要將授權信息攜帶至授權設備下發。
基於上述考慮,下發的方式分為本地下發授權VLAN和遠端下發授權VLAN:
(1) 本地下發授權VLAN
在認證設備和授權設備未分離場景下,在認證設備上獲取用戶授權VLAN信息後,直接在認證設備下發。
(2) 遠端下發授權VLAN
在認證設備和授權設備分離場景下,認證設備上獲取用戶授權VLAN信息後,需要將該信息發送至遠端授權設備,授權信息在遠端設備上解析後下發。
Fail VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Fail VLAN。需要注意的是,這裏的認證失敗是指認證服務器因某種原因明確拒絕用戶認證通過,比如用戶名錯誤或密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。需要注意的是,如果采用RSNA安全機製的802.1X用戶認證失敗,則用戶會直接下線,不會加入認證失敗VLAN。
Fail VLAN優先級高於入侵檢測。因此,用戶身份認證失敗後,如果配置了Fail VLAN則加入Fail VLAN;如果沒有配置Fail VLAN,再判斷是否開始入侵檢測功能,如果開啟了,則出發入侵檢測。如果既沒有配置Fail VLAN,也沒有開啟入侵檢測功能,則不進行任何認證失敗處理。
Critical VLAN功能允許用戶在認證時,當所有認證服務器都不可達的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Critical VLAN。配置Critical VLAN後,當用戶認證時,若所有認證服務器都不可達,則用戶將被加入該VLAN,同時設備會啟動一個30秒的定時器,以定期對用戶進行重新認證:
· 如果重認證通過,設備將根據授權服務器是否下發VLAN來重新指定該用戶所在VLAN,即如果授權服務器下發了VLAN,則該用戶將被加入該下發的VLAN,否則該用戶將被加入其原來所屬的VLAN。
· 如果重認證未通過,當認證服務不可達時,用戶仍然僅可訪問Critical VLAN中的資源,當認證服務器可達但因某種原因明確拒絕用戶認證通過,且配置了Fail VLAN時,用戶可以訪問Fail VLAN中的資源。如果沒有配置Fail VLAN,則判斷是否開始入侵檢測功能,如果開啟了,則觸發入侵檢測。如果既沒有配置Fail VLAN,也沒有開啟入侵檢測功能,則不進行任何認證失敗處理。
需要注意的是,如果采用RSNA安全機製的802.1X用戶認證時所有認證服務器都不可達,則用戶會直接下線,不會加入Critical VLAN。
用戶通過802.1X認證或MAC地址認證後,支持授權ACL(Access Control List,訪問控製列表)下發,授權ACL(Access Control List,訪問控製列表)下發提供了對上線用戶訪問網絡資源的過濾與控製功能。當用戶上線時,如果RADIUS服務器上或接入設備的本地用戶視圖中指定了要下發給該用戶的授權ACL,則設備會根據下發的授權ACL對用戶數據流進行過濾,僅允許ACL規則中允許的數據流通過。由於服務器上或設備本地用戶視圖下指定的是授權ACL的編號,因此還需要在設備上創建該ACL並配置對應的ACL規則。管理員可以通過改變授權的ACL編號或設備上對應的ACL規則來改變用戶的訪問權限。
用戶通過802.1X認證或MAC地址認證後,支持授權User Profile下發,User Profile下發提供了對上線用戶訪問網絡資源的過濾與控製功能。當用戶上線時,如果RADIUS服務器上或接入設備的本地用戶視圖中指定了要下發給該用戶的授權User Profile,則設備會根據服務器下發的授權User Profile對用戶所在端口的數據流進行過濾,僅允許User Profile策略中允許的數據流通過該端口。由於服務器上指定的是授權User Profile名稱,因此還需要在設備上創建該User Profile並配置該對應的User Profile策略。管理員可以通過改變授權的User Profile名稱或設備上對應的User Profile配置來改變用戶的訪問權限。
本功能目前僅支持使用iMC服務器作為RADIUS服務器。
用戶通過802.1X認證或MAC地址認證後,設備會從DHCP報文中獲取到Option55屬性,並將它上傳給RADIUS服務器(如果RADIUS服務器為iMC服務器,則將Option55屬性上傳到UAM組件)。
支持BYOD功能的RADIUS服務器可以根據Option55屬性來判斷終端設備的類型、操作係統、廠商等信息,並根據這些信息向不同類型的終端設備推送不同的注冊頁麵和下發不同的授權屬性信息。
設備對無線控製器功能的支持情況請參見“WLAN特性與硬件適配關係(AC)”。
WLAN用戶接入認證配置任務如下:
· 配置全局認證參數
· 配置802.1X認證采用EAP終結方式時與認證服務器之間進行交互認證的方法
802.1X需要AAA的配合才能實現對用戶的身份認證。因此,需要首先完成以下配置任務:
· 配置802.1X用戶所屬的ISP域及其使用的AAA方案,即本地認證方案或RADIUS方案。
· 如果需要通過RADIUS服務器進行認證,則應該在RADIUS服務器上配置相應的用戶名和密碼。
· 如果需要本地認證,則應該在設備上手動添加認證的用戶名和密碼。配置本地認證時,用戶使用的服務類型必須設置為lan-access。
缺省情況下,對接入的用戶進行MAC地址認證時,使用係統缺省的ISP域(由命令domain default enable指定)。若需要使用非缺省的ISP域進行MAC地址認證,則需指定MAC地址認證用戶使用的ISP域,並配置該ISP域。ISP域的具體配置請參見“安全配置指導”中的“AAA”。
· 若采用本地認證方式,還需創建本地用戶並設置其密碼,且本地用戶的服務類型應設置為lan-access。
· 若采用遠程RADIUS認證方式,需要確保設備與RADIUS服務器之間的路由可達,並添加MAC地址認證的用戶帳號。
當用戶接入認證模式為oui-then-dot1x時,需要配置OUI。
目前設備支持配置最多16個OUI。
(1) 進入係統視圖。
system-view
(2) 配置允許通過認證的用戶OUI值。
port-security oui index index-value mac-address oui-value
缺省情況下,不存在允許通過認證的用戶OUI值。
本命令的詳細介紹,請參見“安全命令參考”中的“端口安全”。
如果采用EAP中繼認證方式,則設備會把客戶端輸入的內容直接封裝後發給服務器,這種情況下user-name-format命令的設置無效,user-name-format的介紹請參見“安全命令參考”中的“AAA”。
EAP中繼方式下,需要保證在客戶端和RADIUS服務器上選擇一致的EAP認證方法,而在設備上,隻需要通過dot1x authentication-method eap命令啟動EAP中繼方式即可。
(1) 進入係統視圖。
system-view
(2) 配置802.1X係統的認證方法。
dot1x authentication-method { chap | eap | pap }
缺省情況下,設備啟用EAP終結方式,並采用CHAP認證方法。
本命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
(1) 進入係統視圖。
system-view
(2) 指定802.1X支持的域名分隔符。
dot1x domain-delimiter string
缺省情況下,僅支持域名分隔符@。
本命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
(1) 進入係統視圖。
system-view
(2) 配置設備向接入用戶發送認證請求報文的最大次數。
dot1x retry retries
缺省情況下,設備最多可向接入用戶發送2次認證請求報文。
本命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
802.1X認證過程中會啟動多個定時器以控製客戶端、設備以及RADIUS服務器之間進行合理、有序的交互。可配置的802.1X認證定時器包括以下四種:
· 客戶端認證超時定時器:當設備向客戶端發送了EAP-Request/MD5 Challenge/EAP-Request/Identity請求報文後,設備啟動此定時器,若在該定時器設置的時長內,設備沒有收到客戶端的響應,設備將重發該報文。若在dot1x retry命令配置的次數內,沒有收到客戶端響應,則客戶端認證失敗。
· 認證服務器超時定時器:當設備向認證服務器發送了RADIUS Access-Request請求報文後,設備啟動該定時器,若在該定時器設置的時長內,設備沒有收到認證服務器的響應,設備將重發認證請求報文。
· 握手定時器:用戶認證成功之後,如果開啟了握手功能,該定時器將啟動。設備會以該定時器配置的時間為周期向用戶發送握手報文,若在該定時器設置的時間內,設備沒有收到客戶端的回應報文,設備將重發該握手報文,若在dot1x retry命令配置的次數內,沒有收到客戶端回應,則強製該客戶端下線。
· 周期性重認證定時器:如果設備開啟了周期認證功能,設備將以該定時器配置的時間為周期發起重認證。配置該定時器後,對於新上線的802.1X用戶,會按新配置的重認證周期進行重認證,對於已經在線的用戶,新配置不會生效。
一般情況下,無需改變定時器的值,除非在一些特殊或惡劣的網絡環境下,才需要通過命令來調節。例如,用戶網絡狀況比較差的情況下,可以適當地將客戶端認證超時定時器值調大一些;還可以通過調節認證服務器超時定時器的值來適應不同認證服務器的性能差異。
(1) 進入係統視圖。
system-view
(2) 配置客戶端認證超時定時器。
dot1x timer supp-timeout supp-timeout-value
缺省情況下,客戶端認證超時定時器的值為30秒。
本命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
(3) 配置認證服務器超時定時器。
dot1x timer server-timeout server-timeout-value
缺省情況下,認證服務器超時定時器的值為100秒。
本命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
(4) 配置握手定時器。
dot1x timer handshake-period handshake-period-value
缺省情況下,握手定時器的值為15秒。
本命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
(5) 配置周期性重認證定時器。
dot1x timer reauth-period reauth-period-value
缺省情況下,周期性重認證定時器的值為3600秒。
本命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證用戶的用戶名格式。請選擇其中一項進行配置。
¡ MAC地址格式:
mac-authentication user-name-format mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ]
¡ 固定用戶名格式:
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } password ]
缺省情況下,使用用戶的MAC地址作為用戶名與密碼,其中字母為小寫,且不帶連字符“-”。
本命令的詳細介紹,請參見“安全命令參考”中的“MAC地址認證”。
從無線服務模板上接入的MAC地址認證用戶將按照如下先後順序進行選擇ISP域:無線服務模板下指定的ISP域-->全局MAC地址ISP域-->係統缺省的ISP域。
(1) 進入係統視圖。
system-view
(2) 指定MAC地址認證用戶使用的ISP域。
mac-authentication domain domain-name
缺省情況下,未指定MAC地址認證用戶使用的ISP域。
可配置的MAC地址認證定時器包括以下幾種:
· 下線檢測定時器(offline-detect):用來設置用戶空閑超時的時間間隔。若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。
· 靜默定時器(quiet):用來設置用戶認證失敗以後,設備停止對其提供認證服務的時間間隔。在靜默期間,設備不對來自認證失敗用戶的報文進行認證處理,直接丟棄。靜默期後,如果設備再次收到該用戶的報文,則依然可以對其進行認證處理。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
(1) 進入係統視圖。
system-view
(2) 配置MAC地址認證定時器。
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
缺省情況下,下線檢測定時器為300秒,靜默定時器為60秒,服務器超時定時器取值為100秒。
本命令的詳細介紹,請參見“安全命令參考”中的“MAC地址認證”。
當無線客戶端進行802.1X或者MAC地址認證時,設備會檢查自身是否存在該無線客戶端的表項:
· 當不存在該無線客戶端表項時,客戶端進行認證上線。
· 當存在該無線客戶端表項時,設備會刪除該無線客戶端的表項並向RADUIS服務器發送認證請求報文。有一些RADIUS服務器收到認證請求報文後,若發現本地已經存在該無線客戶端的表項,會向設備回複認證失敗的報文,導致客戶端無法通過認證上線。
為了解決此類RADIUS服務器上因表項衝突而導致用戶無法上線的問題,建議開啟本功能。開啟本功能後,在設備刪除表項的同時會向RADIUS服務器發送計費停止報文。當RADIUS服務器收到該報文後,會刪除本地存在的無線客戶端表項,客戶端可以進行認證上線。
開啟本功能後,802.1X重認證功能、Fail VLAN功能和Critical VLAN功能將不能生效。
(1) 進入係統視圖。
system-view
(2) 開啟已認證無線客戶端再次上線認證清除舊連接功能。
wlan client-security authentication clear-previous-connection
缺省情況下,已認證無線客戶端再次上線清除舊連接功能處於關閉狀態。
WLAN用戶接入認證參數配置任務如下:
(1) 配置WLAN用戶接入認證模式
(2) (可選)配置WLAN用戶接入認證位置
(3) (可選)配置802.1X認證參數
(4) (可選)配置MAC地址認證參數
(5) (可選)配置WLAN用戶接入認證高級功能
¡ 配置忽略授權信息
¡ 配置入侵檢測功能
¡ 配置認證優化參數
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置WLAN用戶接入認證模式。
client-security authentication-mode
{ dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x | mac-and-dot1x }
缺省情況下,不對用戶進行認證即Bypass認證,直接接入。
AC、AP均可以處理用戶的認證請求,即對用戶進行本地認證或將用戶的認證信息上送給RADIUS服務器進行集中式認證。當配置的用戶接入認證位置為AC時,表示認證位置在AC上。
當客戶端數據報文轉發位置為AC時,配置的用戶接入認證位置不能為AP,否則會導致用戶認證失敗。有關客戶端數據報文轉發位置的詳細介紹,請參見“WLAN配置指導”中的“WLAN接入”。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置客戶端用戶接入認證位置。
client-security authentication-location { ac | ap }
缺省情況下,WLAN用戶接入認證位置在AC上。
配置802.1X認證的EAP協議模式,可以控製客戶端和設備使用的EAP協議規範和報文格式。802.1X認證的EAP協議模式:
· extended:表示EAP協議模式為擴展的EAP協議,即要求客戶端和設備按照私有EAP協議的規範和報文格式進行交互。
· standard:表示EAP協議模式為標準的EAP協議,即要求客戶端和設備按照標準EAP協議的規範和報文格式進行交互。
僅當使用iMC作為RADIUS服務器時,需要配置802.1X認證的EAP協議模式:如果采用H3C iNode作為802.1X客戶端,則配置EAP協議模式為extended;如果采用其它類型的802.1X客戶端,則配置EAP協議模式為standard。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X認證的EAP協議模式。
dot1x eap { extended | standard }
缺省情況下,EAP協議模式為standard。
當客戶端使用了RADIUS服務器不支持的認證方法,並采用EAP中繼方式進行認證,造成認證失敗時,可以配置本特性,設備采用EAP終結方式將客戶端認證請求報文封裝在標準RADIUS報文中發送給認證服務器,從而使客戶端通過認證
目前本特性僅支持采用PEAP-GTC認證方式的認證請求報文進行處理。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X認證采用EAP終結方式時引用的EAP認證方案。
dot1x eap-termination eap-profile eap-profile-name
缺省情況下,未配置802.1X認證采用EAP終結方式時引用的EAP認證方案。
開啟802.1X握手功能之後,設備將定期向通過802.1X認證的在線用戶發送握手報文,即單播EAP-Request/Identity報文,來檢測用戶的在線狀態。握手報文發送的時間間隔由802.1X握手定時器控製(時間間隔通過命令dot1x timer handshake-period設置)。如果連續發送握手報文的次數達到802.1X報文最大重發次數,而還沒有收到用戶響應,則強製該用戶下線。
由於802.1X握手成功,設備不會再對用戶進行回複,導致某些客戶端在一段時間後會進行重認證或者下線。請根據實際情況配置本功能。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X在線用戶握手功能。
dot1x handshake enable
缺省情況下,無線服務模板下的802.1X在線用戶握手功能處於關閉狀態。
802.1X安全握手是指在握手報文中加入驗證信息,以防止非法用戶仿冒正常用戶的在線的802.1X的客戶端與設備進行握手報文的交互。開啟802.1X安全握手功能後,支持安全握手的客戶端需要在每次向設備發送的握手應答報文中攜帶驗證信息,設備將其與認證服務器下發的驗證信息進行對比,如果不一致,則強製用戶下線。
驗證信息由認證服務器下發,當用戶上線認證成功時,服務器在認證回複報文中攜帶驗證密鑰和驗證信息。設備保存驗證信息,而將驗證密鑰發送給客戶端。之後,當用戶需要響應設備的握手報文時,首先使用驗證密鑰計算出一個驗證信息,然後將該驗證信息攜帶在握手回應報文EAPOL EAP-Response Identity中發給設備。
服務器會周期性地更新驗證密鑰與驗證信息,並通過計費響應報文下發給設備。設備同樣會將驗證密鑰發送給客戶端,而保存驗證信息用於校驗客戶端響應報文的合法性。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X在線用戶握手功能。
dot1x handshake enable
缺省情況下,無線服務模板下的802.1X在線用戶握手功能處於關閉狀態。
(4) 配置802.1X在線用戶安全握手功能。
dot1x handshake secure enable
缺省情況下,802.1X的在線用戶的安全握手功能處於關閉狀態。
本命令隻對進行802.1X認證且成功上線的用戶有效。
從無線服務模板上接入的802.1X用戶將按照如下先後順序進行選擇ISP域:無線服務模板下指定的ISP域-->用戶名中指定的ISP域-->係統缺省的ISP域。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X用戶ISP域。
dot1x domain domain-name
缺省情況下,未指定無線服務模板下的802.1X用戶的ISP域。
當單個射頻下單個無線服務模板上同時接入的802.1X用戶數超過最大值後,新接入的用戶將被拒絕。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X最大用戶數。
dot1x max-user count
缺省情況下,單個射頻下單個無線服務模板上允許同時接入的802.1X最大用戶數為512個。
在無線服務模板下啟動了802.1X的周期性重認證功能後,設備會根據周期性重認證定時器設定的時間間隔(由命令dot1x timer reauth-period設置)定期向在線802.1X用戶發起重認證,以檢測用戶連接狀態的變化、確保用戶的正常在線,並及時更新服務器下發的授權屬性(例如ACL、VLAN、User Profile)。
認證服務器可以通過下發RADIUS屬性(session-timeout、termination-action)來指定用戶會話超時時長以及會話中止的動作類型。認證服務器上如何下發以上RADIUS屬性的具體配置以及是否可以下發重認證周期的情況與服務器類型有關,請參考具體的認證服務器實現。
802.1X用戶認證通過後,用戶的重認證功能具體實現如下:
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止動作為要求用戶進行重認證,則無論設備上是否開啟周期性重認證功能,都會在用戶會話超時時長到達後對該用戶發起重認證。
· 當認證服務器下發了用戶會話超時時長,且指定的會話中止動作為要求用戶下線時:
¡ 若設備上開啟了周期性重認證功能,且設備上配置的重認證定時器值小於用戶會話超時時長,則用戶會以重認證定時器的值為周期發起重認證;若設備上配置的重認證定時器值大於等於用戶會話超時時長,則在用戶會話超時時長到達後下線。
¡ 若設備上未開啟周期性重認證功能,則用戶在會話超時時長到達後下線。
· 當認證服務器未下發用戶會話超時時長時,是否對用戶進行重認證,由設備上配置的重認證功能決定。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X重認證功能。
dot1x re-authenticate enable
缺省情況下,無線服務模板上的802.1X周期性重認證功能處於關閉狀態。
當單個射頻下單個無線服務模板上同時接入的MAC地址認證用戶數超過最大值後,新接入的用戶將被拒絕。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置MAC地址認證最大用戶數。
mac-authentication max-user count
缺省情況下,當前無線服務模板上允許接入的MAC地址認證最大用戶數為512個。
從無線服務模板上接入的MAC地址認證用戶將按照如下先後順序進行選擇ISP域:無線服務模板下指定的ISP域-->全局MAC地址ISP域-->係統缺省的ISP域。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置MAC地址認證用戶的ISP域。
mac-autentication domain domain-name
缺省情況下,未指定無線服務模板下的MAC地址認證用戶的ISP域。
本功能適用於以下兩種用戶:
· 對於進行802.1X認證的無線用戶,開啟本功能後,當802.1X認證失敗時,設備會忽略這一認證結果,允許用戶訪問網絡資源。
· 對於通過RADIUS服務器進行遠程MAC地址認證+Portal認證的無線用戶,需要依次通過MAC地址認證和Portal認證才能訪問網絡資源,且每次都需要輸入Portal用戶名和密碼。配置本功能後,可以簡化上述認證過程。簡化後的認證過程如下:
¡ 若RADIUS服務器上已經記錄了用戶和客戶端MAC地址的對應信息,判斷用戶通過MAC地址認證,且不需要進行Portal認證即可訪問網絡資源。
¡ 若RADIUS服務器上未記錄用戶和客戶端MAC地址的對應信息,判斷MAC地址認證失敗。此時,設備忽略這一認證結果,直接進行Portal認證。Portal認證通過後即可訪問網絡資源,同時RADIUS服務器將記錄該用戶和客戶端MAC地址的對應信息。
若某無線服務模板下有漫遊的RSN+802.1X認證方式的無線用戶上線,請勿配置本功能,否則會導致漫遊失敗。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置忽略802.1X或MAC地址認證結果。
client-security ignore-authentication
缺省情況下,對於802.1X認證方式的無線用戶,應用802.1X認證結果,對於通過RADIUS服務器進行遠程MAC地址認證的無線用戶,應用MAC地址認證結果。
在用戶進行MAC地址認證上線過程中,如果RADIUS服務器上沒有記錄用戶及其MAC地址的對應信息,但仍需要用戶進行認證時,可以通過在設備上開啟URL重定向功能。開啟後,用戶可以根據RADIUS服務器下發的重定向URL,跳轉到指定的Web認證界麵進行用戶認證。用戶認證通過後,RADIUS服務器將記錄用戶的MAC地址信息,並通過DM報文強製用戶下線,此後該用戶即可正常完成MAC地址認證。有關DM報文的詳細介紹請參見“安全配置指導”中的“AAA”。
設備開啟URL重定向功能後,MAC地址認證過程如下:
(1) RADIUS服務器下發授權ACL和重定向URL。
(2) 用戶試圖通過HTTP或HTTPS訪問外網時,該HTTP或HTTPS請求會匹配授權ACL的deny規則,然後該請求會被重定向到重定向URL所指向的認證頁麵。
(3) 在認證頁麵,用戶輸入運營商提供的用戶名和密碼,完成Web頁麵認證並記錄該用戶及其MAC地址的對應信息。
(4) 認證完成後,RADIUS服務器通過發送DM請求報文強製用戶下線。
(5) 用戶下線後,再次進行MAC地址認證,由於RADIUS服務器上已記錄該用戶及其MAC地址的對應信息,用戶可以完成MAC地址認證。
對於有信息推廣需求的客戶,需要指定URL重定向為本地重定向,RADIUS服務器下發重定向URL後,設備就會對初次上線進行MAC地址認證的用戶進行一次URL重定向,一旦確定用戶訪問過重定向URL,設備將不再進行重定向,此後用戶可以正常完成MAC地址認證:
· 對於HTTP的報文,用戶隻要訪問過重定向URL,設備就會認為用戶訪問過重定向URL。
· 對於HTTPS的報文,用戶隻有在指定的重定向時間內訪問重定向IP地址達到指定次數,設備才會認為用戶訪問過重定向URL。
隻要設備上沒有用戶Cache相關信息,就認為該用戶為初次上線用戶。
在RADIUS服務器或接入設備上配置授權ACL和重定向URL時有如下注意事項:
· 本功能僅適用於客戶端采用RADIUS服務器認證方式進行的MAC地址認證。
· 授權ACL需要允許客戶端與認證頁麵交互的報文通過。有關授權ACL的詳細介紹請參見“安全配置指導”中的“MAC地址認證”。
· 若無線客戶端通過DHCP動態獲取IP地址,則授權ACL需要允許無線客戶端與DHCP服務器交互的報文通過;若采用手工方式配置IP地址,則無此限製。
· 其他報文缺省不允許通過。
· 重定向URL即為用戶進行用戶認證時Web頁麵的地址。
· 由於URL重定向功能需要使用授權ACL,當某些業務也需要下發授權ACL時,必須配置客戶端URL重定向的授權ACL。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置URL重定向功能。
client url-redirect enable [ mode native [ https [ redirect-stop-timer seconds ][ count number ] ] ]
缺省情況下,客戶端URL重定向功能處於關閉狀態。
(4) (可選)配置客戶端URL重定向的授權ACL。
client url-redirect acl
未配置客戶端URL重定向的授權ACL。
如果配置了認證失敗VLAN,認證失敗的用戶將被加入該VLAN,同時設備會啟動一個30秒的定時器,以定期對用戶進行重新認證。如果重認證通過,設備將根據AAA服務器是否下發VLAN來重新指定該用戶所在VLAN,即如果AAA服務器下發了VLAN,則該用戶將被加入該下發的VLAN,否則該用戶將被加入其原來所屬的VLAN;如果重認證未通過,則該用戶仍然留在認證失敗VLAN中。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置認證失敗VLAN。
client-security authentication fail-vlan vlan-id
缺省情況下,沒有配置認證失敗VLAN。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置服務模板下的Critical VLAN。
client-security authentication critical-vlan vlan-id
缺省情況下,未配置Critical VLAN。
授權信息包括VLAN、ACL和User Profile,分為RADIUS服務器下發的授權信息和設備本地下發的授權信息。若用戶不想使用授權信息,則可以配置忽略授權信息。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置忽略RADIUS服務器或設備本地下發的授權信息。
client-security ignore-authorization
缺省情況下,應用RADIUS服務器或設備本地下發的授權信息。
如果開啟了授權失敗後的用戶下線功能,當下發的授權ACL、User Profile不存在、已授權ACL、User Profile被刪除,或者ACL、User Profile下發失敗時,將強製用戶下線;
如果沒有開啟授權失敗後的用戶下線功能,當下發的授權ACL、User Profile不存在、已授權ACL、User Profile被刪除,或者ACL、User Profile下發失敗時,用戶保持在線,授權ACL、User Profile不生效,設備打印Log信息。
對於授權VLAN失敗的情況下,設備會直接讓用戶下線,與此功能無關。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置授權失敗強製用戶下線。
client-security authorization-fail offline
缺省情況下,設置授權信息失敗後,用戶保持在線。
當檢測到一個非法用戶試圖訪問網絡時,如果開啟了入侵檢測功能,設備將對其所在的BSS采取相應的安全模式。有關安全模式的詳細介紹,請參見“1.1.4 入侵檢測”。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置入侵檢測功能。
client-security intrusion-protection enable
缺省情況下,入侵保護功能處於關閉狀態。
(4) 配置入侵檢測模式。
client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }
缺省情況下,入侵檢測模式為temporary-block模式。
(5) (可選)配置臨時阻塞非法入侵用戶時長。
client-security intrusion-protection timer temporary-block time
缺省情況下,臨時阻塞非法入侵用戶時間為180秒。
(6) (可選)配置臨時關閉BSS服務時長。
client-security intrusion-protection timer temporary-service-stop time
缺省情況下,臨時關閉BSS服務時長為20秒。
無線客戶端通過802.1X認證或者MAC地址認證方式上線後,設備會根據配置的計費延時的時間和觸發計費開始的無線客戶端IP地址類型決定是否向計費服務器發送計費開始請求報文,當計費服務器返回計費開始響應報文後開始對客戶端進行計費。有關計費的詳細介紹請參見“安全配置指導”中的“AAA”。
配置觸發計費開始的無線客戶端IP地址類型時,需要開啟相應的客戶端IP地址類型學習功能,配置才會生效。有關客戶端IP地址學習功能的詳細介紹請參見“WLAN配置指導”中的“WLAN IP Snooping”。
無線服務模板開啟後,再配置本特性,則配置隻對新上線的客戶端生效,對已經上線的客戶端無效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置觸發計費開始的無線客戶端IP地址類型。
client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none }
缺省情況下,觸發計費開始的無線客戶端IP地址類型為IPv4。
(4) (可選)開啟無線客戶端計費延時功能。
client-security accounting-delay time time [ no-ip-logoff ]
缺省情況下,設備學習到無線客戶端的IP地址後,才會向計費服務器發起計費開始請求。
在實際網絡環境中,客戶端學習到的IP地址有可能會發生變化,為了對客戶端進行精準計費,有必要配置發送計費更新報文的觸發條件。當指定類型的客戶端的IP地址發生變化時,便會觸發設備發送計費更新報文,發送周期由RADIUS服務器的實時計費間隔配置決定。有關RADIUS實時計費間隔的詳細介紹請參見“安全配置指導”中的“AAA”。
無線服務模板開啟後,再配置本特性,則配置隻對新上線的客戶端生效,對已經上線的客戶端無效。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置觸發計費更新的無線客戶端IP地址類型。
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
缺省情況下,根據計費服務器下發或設備配置的實時計費的時間間隔規則周期性發送計費更新請求報文。
開啟本功能後,當客戶端IPv4地址發生變化時,首先設備會立即向計費服務器發送計費停止報文,然後經過配置的重新發送計費開始報文的延時時間,再重新向計費服務器發送計費開始報文,對客戶端進行重新計費。
client-security accounting-restart trigger ipv4命令的優先級高於client-security accounting-update trigger命令。
本命令隻能在無線服務模板處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟IPv4地址變化客戶端的重新計費功能。
client-security accounting-restart trigger ipv4 [ delay interval ]
缺省情況下,IPv4地址變化客戶端的重新計費功能處於關閉狀態。
認證成功率是指802.1X認證、MAC地址認證及二層Portal認證時認證成功的總次數占認證總次數的百分比。在線用戶異常下線率是指在線用戶異常斷開連接的總次數占在線用戶認證成功的總次數與當前在線用戶總數之和的百分比。
設備會重新對802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率進行優化計算。
隻有802.1X認證、MAC地址認證及二層Portal認證采用RADIUS服務器進行遠程認證時,本特性配置的優化參數才會生效。
(1) 進入係統視圖。
system-view
(2) 配置802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率的優化參數值。
wlan authentication optimization value
缺省情況下,802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率的優化參數值為0,即不對802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率進行優化,采用實際值。
開啟本功能,在無線802.1X認證或MAC地址認證的RADIUS報文中攜帶RADIUS擴展屬性,標識用戶IP地址學習方式。設備支持的RADIUS擴展屬性Vendor-ID為25506,屬性的具體介紹請參見“安全配置指導”中的“AAA”的“附錄C RADIUS擴展屬性(Vendor-ID=25506)”。
RADIUS服務器可以根據通過RADIUS擴展屬性判斷IP地址是否屬於服務器分配。
本功能隻能在無線服務模板處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟RADIUS報文攜帶用戶IP地址學習方式的功能。
client-security aaa attribute ip-snooping-method
缺省情況下,RADIUS報文攜帶用戶IP地址學習方式的功能處於關閉狀態。
當網絡狀況較好時,建議開啟BYOD觸發授權功能,用戶認證完成後,接入設備會在獲取到客戶端BYOD信息後觸發BYOD授權。有關BYOD授權的詳細信息,請參見“安全配置指導”的“AAA”。
本功能隻能在無線服務模板處於關閉狀態時配置。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 開啟BYOD觸發授權功能。
client-security authorization trigger byod
缺省情況下,BYOD觸發授權功能處於關閉狀態。
當客戶端采用EAP中繼方式通過認證服務器認證失敗時,可以配置本命令,設備采用EAP終結方式以指定的認證方法與認證服務器進行交互,從而使客戶端通過認證。
目前本特性僅支持采用PEAP-GTC認證方式的認證請求報文進行處理。
(1) 進入係統視圖。
system-view
(2) 進入無線服務模板視圖。
wlan service-template service-template-name
(3) 配置802.1X認證采用EAP終結方式時與認證服務器之間進行交互認證的方法。
dot1x eap-termination authentication-method { chap | pap }
缺省情況下,采用CHAP方法進行認證。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後用戶接入認證的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相關統計信息。
display dot1x connection、display dot1x和reset dot1x statistics命令的詳細介紹,請參見“安全命令參考”中的“802.1X”。
display mac-authentication connection、display mac-authentication和reset mac-authentication statistics命令的詳細介紹,請參見“安全命令參考”中的“MAC地址認證”。
表1-2 WLAN用戶接入認證顯示和維護
|
操作 |
命令 |
|
顯示802.1X的會話連接信息、相關統計信息或配置信息 |
display dot1x [ sessions | statistics ] [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
|
顯示802.1X在線用戶的連接信息 |
(獨立運行模式) display dot1x connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | user-mac mac-addr | user-name name-string ] (IRF模式) display dot1x connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name name-string ] |
|
顯示MAC地址認證的相關信息 |
display mac-authentication [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
|
顯示MAC地址認證連接信息 |
(獨立運行模式) display mac-authentication connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | user-mac mac-addr | user-name name-string ] (IRF模式) display mac-authentication connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name name-string ] |
|
顯示阻塞MAC地址信息 |
display wlan client-security block-mac [ ap ap-name [ radio radio-id ] ] |
|
查看無線客戶端的RADIUS計費報文統計信息 |
display wlan statistics accounting |
|
清除802.1X的統計信息 |
reset dot1x statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
|
清除MAC地址認證的統計信息 |
reset mac-authentication statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
· AC和AP通過交換機建立連接。AC的IP地址為10.18.1.1。
· 要求使用802.1X CHAP非加密方式進行用戶身份認證。
圖1-4 802.1X認證(CHAP本地認證)典型配置組網圖
下述配置步驟中包含了若幹AAA/本地用戶的配置命令,關於這些命令的詳細介紹請參見“安全命令參考”中的“AAA”。
(1) 配置802.1X認證方式及本地用戶
# 配置802.1X認證方式為CHAP。
<AC> system-view
[AC] dot1x authentication-method chap
# 配置本地用戶,用戶名為chap1,所屬的組為網絡接入用戶組,密碼為明文123456TESTplat&!,服務類型為lan-access。
[AC] local-user chap1 class network
[AC-luser-network-chap1] password simple 123456TESTplat&!
[AC-luser-network-chap1] service-type lan-access
[AC-luser-network-chap1] quit
(2) 配置ISP域的AAA方法
# 配置名稱為local的ISP域,並將認證、授權和計費的方式配置為本地。
[AC] domain local
[AC-isp-local] authentication lan-access local
[AC-isp-local] authorization lan-access local
[AC-isp-local] accounting lan-access local
[AC-isp-local] quit
(3) 配置無線服務模板
# 配置無線服務模板,名稱為wlas_local_chap,用戶認證方式為802.1X,ISP域為local,SSID為wlas_local_chap。
[AC] wlan service-template wlas_local_chap
[AC-wlan-st-wlas_local_chap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_local_chap] dot1x domain local
[AC-wlan-st-wlas_local_chap] ssid wlas_local_chap
# 使能無線服務模板。
[AC-wlan-st-wlas_local_chap] service-template enable
[AC-wlan-st-wlas_local_chap] quit
(4) 配置手工AP,並將無線服務模板綁定到radio上
# 創建ap1,並配置序列號。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置Radio信道為149,並使能射頻。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 將無線服務模板wlas_local_chap綁定到radio1上。
[AC-wlan-ap-ap1-radio-1] service-template wlas_local_chap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
使用命令display wlan service-template可以查看AP上的802.1X配置情況。當802.1X用戶輸入正確的用戶名和密碼成功上線後,可使用命令display dot1x connection查看到上線用戶的連接情況。
· AC和RADIUS服務器通過交換機建立連接。AC的IP地址為10.18.1.1,與AC相連的RADIUS服務器的IP地址為10.18.1.88。
· 要求使用EAP-PEAP方式進行802.1X用戶身份認證。
圖1-5 802.1X認證(EAP-PEAP加密)典型配置組網圖
· 下述配置步驟中包含了若幹AAA/RADIUS協議的配置命令,關於這些命令的詳細介紹請參見“安全配置指導”中的“AAA”。
· 完成RADIUS服務器的配置,安裝證書並添加用戶賬戶,保證用戶的認證/授權/計費功能正常運行。
· 完成客戶端802.1X的配置,安裝證書。
(1) 配置802.1X認證方式及Radius方案
# 配置802.1X認證方式為EAP。
<AC> system-view
[AC] dot1x authentication-method eap
# 配置RADIUS方案,名稱為imcc,主認證服務器的IP地址為10.18.1.88,端口號為1812,配置主計費服務器的IP地址為10.18.1.88,端口號為1813,認證密鑰為明文12345678,計費密鑰為明文12345678,用戶名格式為without-domain。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名稱為imc的ISP域,並將認證、授權和計費的方式配置為使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置無線服務模板
# 配置無線服務模板名稱為wlas_imc_peap,用戶認證方式為802.1X,ISP域為imc,SSID為wlas_imc_peap,AKM模式為802.1X,加密套件為CCMP,安全IE為RSN。
[AC] wlan service-template wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_imc_peap] dot1x domain imc
[AC-wlan-st-wlas_imc_peap] ssid wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] akm mode dot1x
[AC-wlan-st-wlas_imc_peap] cipher-suite ccmp
[AC-wlan-st-wlas_imc_peap] security-ie rsn
# 使能無線服務模板。
[AC-wlan-st-wlas_imc_peap] service-template enable
[AC-wlan-st-wlas_imc_peap] quit
(4) 配置手工AP,並將無線服務模板綁定到radio上
# 創建ap1。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置信道為149,並使能射頻。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 綁定無線服務模板。
[AC-wlan-ap-ap1-radio-1] service-template wlas_imc_peap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置RADIUS server(iMC V7)
· 下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1、iMC UAM 7.1),說明RADIUS server的基本配置。
· 在服務器上已經完成證書的安裝。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理菜單項,進入接入設備管理頁麵,點擊頁麵中的接入設備配置按鈕,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
¡ 設置認證、計費共享密鑰為12345678,其它保持缺省配置;
¡ 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
圖1-6 增加接入設備頁麵
# 增加服務策略。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入策略頁麵。
¡ 設置接入策略名為dot1x;
¡ 選擇證書認證為EAP證書認證;
¡ 選擇認證證書類型為EAP-PEAP認證,認證證書子類型為MS-CHAPV2認證。認證證書子類型需要與客戶端的身份驗證方法一致。
圖1-7 增加服務策略頁麵
# 增加接入服務。
選擇“用戶”頁簽,單擊導航欄中的[接入策略管理/接入服務管理]菜單項,進入接入服務管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入服務頁麵。
¡ 設置服務名為dot1x;
¡ 設置缺省接入策略為已經創建的dot1x策略。
圖1-8 增加接入服務頁麵
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
¡ 添加用戶user;
¡ 添加帳號名為user,密碼為dot1x;
¡ 選中之前配置的服務dot1x。
圖1-9 增加接入用戶頁麵
(6) 配置無線網卡
選擇無線網卡,在驗證對話框中,選擇EAP類型為PEAP,點擊“屬性”,去掉驗證服務器證書選項(此處不驗證服務器證書),點擊“配置”,去掉自動使用Windows登錄名和密碼選項。然後“確定”。整個過程如下圖所示。
在客戶端上已經完成證書安裝。
圖1-10 無線網卡配置過程
圖1-11 無線網卡配置過程
圖1-12 無線網卡配置過程
圖1-13 無線網卡配置過程
圖1-14 無線網卡配置過程
客戶端通過802.1X認證成功關聯AP,並且可以訪問無線網絡。
· 通過display dot1x connection命令顯示802.1X用戶連接信息,可以看到用戶名和客戶端輸入的用戶名一致。
[AC] display dot1x connection
User MAC address : 0023-8933-2090
AP name :ap1
Radio ID : 1
SSID : wlas_imc_peap
BSSID : 000f-e201-0003
User name : user
Authentication domain : imc
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : Default
Session timeout period : 6001 s
Online from : 2014/04/18 09:25:18
Online duration : 0h 1m 1s
Total connections: 1.
· 通過display wlan client顯示命令查看無線客戶端在線情況查看802.1X用戶上線信息,可看到802.1X用戶成功上線。
[AC] display wlan client
Total number of clients : 1
MAC address Username AP name R IP address VLAN
0023-8933-2090 user ap1 1 10.18.1.100 1
· AC和RADIUS服務器通過交換機建立連接。AC的IP地址為10.18.1.1,與AC相連的RADIUS服務器的IP地址為10.18.1.88。
· 要求使用MAC認證方式進行用戶身份認證。
圖1-15 使用RADIUS服務器進行MAC地址認證典型配置組網圖
確保RADIUS服務器與設備路由可達,完成服務器的配置,並成功添加了接入用戶賬戶,用戶名:123,密碼為aaa_maca。
(1) 配置RADIUS方案
# 配置RADIUS方案,名稱為imcc,認證服務器的IP地址為10.18.1.88,端口號為1812,配置計費服務器的IP地址為10.18.1.88,端口號為1813,認證密鑰為明文12345678,計費密鑰為明文12345678,用戶名格式為without-domain。
<AC> system-view
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名稱為imc的ISP域,並將認證、授權和計費的方式配置為使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置MAC地址認證
# 配置MAC地址認證用戶名格式為固定用戶名格式,用戶名為123,密碼為明文aaa_maca(若配置成大寫、不帶連字符的mac地址格式,服務器需要配置與之對應的用戶名格式;若配置成固定用戶名格式,服務器也需要配置與其對應的用戶名格式)。
[AC] mac-authentication user-name-format fixed account 123 password simple aaa_maca
# 配置無線服務模板maca_imc的SSID為maca_imc,並設置用戶認證方式為MAC地址認證,ISP域為imc。
[AC] wlan service-template maca_imc
[AC-wlan-st-maca_imc] ssid maca_imc
[AC-wlan-st-maca_imc] client-security authentication-mode mac
[AC-wlan-st-maca_imc] mac-authentication domain imc
# 無線服務模板使能。
[AC-wlan-st-maca_imc] service-template enable
[AC-wlan-st-maca_imc] quit
(4) 配置手工AP並將無線服務模板綁定到radio上
# 創建ap1。
[AC] wlan ap ap1 model WA6320
[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
# 配置信道為149,並使能射頻。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 綁定無線服務模板。
[AC-wlan-ap-ap1-radio-1] service-template maca_imc
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置RADIUS server(iMC V7)
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1、iMC UAM 7.1),說明RADIUS server的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備管理頁麵,點擊頁麵中的進入接入設備配置按鈕,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
¡ 設置認證、計費共享密鑰為12345678,其它保持缺省配置;
¡ 選擇或手工增加接入設備,添加IP地址為10.18.1.1的接入設備。
圖1-16 增加接入設備頁麵
# 增加服務策略。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入策略頁麵。
設置接入策略名為aaa_maca,其他保持缺省配置。
圖1-17 增加服務策略頁麵
# 增加接入服務。
選擇“用戶”頁簽,單擊導航欄中的[接入策略管理/接入服務管理]菜單項,進入接入服務管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入服務頁麵。
¡ 設置服務名為aaa_maca;
¡ 設置缺省接入策略為已經創建的aaa_maca策略。
圖1-18 增加接入服務頁麵
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
¡ 添加用戶123;
¡ 添加帳號名為123,密碼為aaa_maca;
¡ 選中剛才配置的服務aaa_maca。
圖1-19 增加接入用戶頁麵
# 客戶端通過MAC認證成功關聯AP,並且可以訪問無線網絡。
· 通過display mac-authentication connection命令顯示MAC用戶連接信息。
[AC] display mac-authentication connection
User MAC address : 0023-8933-2098
AP name :ap1
Radio ID : 1
SSID : maca_imc
BSSID : 000f-e201-0001
User name : 123
Authentication domain : imc
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : Default
Session timeout period : 6001 s
Online from : 2014/04/17 17:21:12
Online duration : 0h 0m 30s
Total connections: 1.
· 通過display wlan client顯示命令查看無線客戶端在線情況查看MAC地址認證用戶上線信息,可看到MAC地址認證用戶成功上線。
[AC] display wlan client
Total number of clients : 1
MAC address Username AP name R IP address VLAN
0023-8933-2098 123 ap1 1 10.18.1.100 1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
