H3C WX系列AC+Fit AP 8021x无线认证和IAS配合CWord下载.docx
《H3C WX系列AC+Fit AP 8021x无线认证和IAS配合CWord下载.docx》由会员分享,可在线阅读,更多相关《H3C WX系列AC+Fit AP 8021x无线认证和IAS配合CWord下载.docx(10页珍藏版)》请在冰豆网上搜索。
(1)
配置802.1X
(2)
配置服务器
4.3
使用版本
<
AC>
displayversion
H3CComwarePlatformSoftware
ComwareSoftware,Version5.00,0001
Copyright(c)2004-2007HangzhouH3CTech.Co.,Ltd.Allrightsreserved.
CompiledJul13200714:
32:
12,RELEASESOFTWARE
H3CWX5002-128uptimeis0week,2days,17hours,3minutes
CPUtype:
BCMMIPS1250700MHz
512MbytesDDRSDRAMMemory
32MbytesFlashMemory
Pcb
Version:
A
Logic
1.0
Basic
BootROM
1.13
ExtendBootROM
1.14
[SLOT
1]CON
(Hardware)A,
(Driver)1.0,
(Cpld)1.0
1]GE1/0/1
1]GE1/0/2
1]M-E1/0/1
(Cpld)1.0.
4.4
配置步骤
配置802.1X:
displaycurrent-configuration
#
version5.00,0001
sysnameAC
configure-usercount1
domaindefaultenableias
port-securityenable
dot1xauthentication-methodeap
vlan1
vlan2to4094
radiusschemesystem
primaryauthentication127.0.0.1
primaryaccounting127.0.0.1
keyauthenticationh3c
keyaccountingh3c
accounting-onenable
radiusschemeias
server-typeextended
primaryauthentication8.1.1.4
primaryaccounting8.1.1.4
keyauthenticationh3c
keyaccountingh3c
timerrealtime-accounting3
user-name-formatwithout-domain
undostop-accounting-bufferenable
accounting-onenablee
domainias
authenticationdefaultradius-schemeias
authorizationdefaultradius-schemeias
accountingdefaultradius-schemeias
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domainsystem
wlanradio-policyrp
beacon-interval500
wlanservice-template2crypto
ssidh3c-dot1x
bindWLAN-ESS2
authentication-methodopen-system
cipher-suiteccmp
security-iersn
gtk-rekeymethodtime-based180
service-templateenable
interfaceNULL0
interfaceVlan-interface1
ipaddress192.168.1.50255.255.255.0
interfaceGigabitEthernet1/0/1
interfaceGigabitEthernet1/0/2
interfaceM-Ethernet1/0/1
interfaceWLAN-ESS2
port-securityport-modeuserlogin-secure-ext
port-securitytx-key-type11key
wlanapap3modelWA2100
serial-id210235A29G007C000020
radio1type11g
radio-policyrp
service-template2
radioenable
iproute-static0.0.0.00.0.0.0192.168.1.1
4.4.1
主要配置步骤
1.在802.1X接入端配置802.1X和认证
启用port-security,配置802.1X认证方式为EAP
[AC]port-securityenable
[AC]dot1xauthentication-methodeap
配置认证策略
#创建RADIUS方案ias并进入其视图。
[AC]radiusschemeias
#将RADIUS方案ias的RADIUS服务器类型设置为extended。
[AC-radius-ias]server-typeextended
#设置主认证RADIUS服务器的IP地址8.1.1.4。
[AC-radius-ias]primaryauthentication8.1.1.4
#设置主计费RADIUS服务器的IP地址8.1.1.4。
[AC-radius-ias]primaryaccounting8.1.1.4
#设置系统与认证RADIUS服务器交互报文时的共享密钥为h3c。
[AC-radius-ias]keyauthenticationh3c
#设置系统与计费RADIUS服务器交互报文时的共享密钥为h3c。
[AC-radius-ias]keyaccountingh3c
#将RADIUS方案ias的实时计费的时间间隔设置为3分钟。
[AC-radius-ias]timerrealtime-accounting3
#指定发送给RADIUS方案ias中RADIUS服务器的用户名不得携带域名。
[AC-radius-ias]user-name-formatwithout-domain
#禁止在设备上缓存没有得到响应的停止计费请求报文。
[AC-radius-ias]undostop-accounting-bufferenable
#使能accounting-on功能。
[AC-radius-ias]accounting-onenable
(3)
配置认证域
#创建ias域并进入其视图。
[AC-radius-ias]domainias
#在ISP域ias下,为所有类型的用户配置方案名为ias的RADIUS认证方案。
[AC-isp-ias]authenticationdefaultradius-schemeias
#在ISP域ias下,为所有类型的用户配置方案名为ias的RADIUS授权方案。
[AC-isp-ias]authorizationdefaultradius-schemeias
#在ISP域ias下,为所有类型的用户配置方案名为ias的RADIUS计费方案。
[AC-isp-ias]accountingdefaultradius-schemeias
(4)
把配置的认证域IAS设置为系统缺省域
[AC-isp-ias]domaindefaultenableias
(5)
配置射频策略
#创建一个名为rp的射频策略。
[AC]wlanradio-policyrp
#设置发送信标帧的时间间隔为500TU。
[AC-wlan-rp-rp]beacon-interval500
(6)
配置无线接口,认证方式为EAP
[AC-wlan-rp-rp]interfaceWLAN-ESS2
#配置无线端口WLAN-ESS2的端口安全模式为userlogin-secure-ext。
[AC-WLAN-ESS2]port-securityport-modeuserlogin-secure-ext
#在接口WLAN-ESS2下使能11key类型的密钥协商功能。
[AC-WLAN-ESS2]port-securitytx-key-type11key
(7)
配置无线服务模板
#创建crypto类型的服务模板2。
[AC-wlan-rp-rp]wlanservice-template2crypto
#设置当前服务模板的SSID(服务模板的标识)为h3c-dot1x。
[AC-wlan-st-2]ssidh3c-dot1x
#将WLAN-ESS2接口绑定到服务模板2。
[AC-wlan-st-2]bindWLAN-ESS2
#设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-2]authentication-methodopen-system
#使能CCMP加密套件。
[AC-wlan-st-2]cipher-suiteccmp
#配置信标和探查帧携带RSNIE信息。
[AC-wlan-st-2]security-iersn
#使能服务模板。
[AC-wlan-st-2]service-templateenable
(8)
配置FitAP
#创建AP管理模板,其名称为ap3,型号名称这里选择WA2100。
[AC-WLAN-ESS2]wlanapap3modelWA2100
#设置AP的序列号为210235A29G007C000020。
[AC-wlan-ap-ap3]serial-id210235A29G007C000020
#设置radio1的射频类型为802.11g。
[AC-wlan-ap-ap3]radio1type11g
#将射频策略rp映射到射频1。
[AC-wlan-ap-ap3-radio-1]radio-policyrp
#将在AC上配置的crypto类型的服务模板2与射频1进行关联。
[AC-wlan-ap-ap3-radio-1]service-template2
#使能AP的radio1。
[AC-wlan-ap-ap3-radio-1]radioenable
(9)
配置VLAN虚接口
[AC-wlan-ap-ap3-radio-1]interfaceVlan-interface1
[AC-Vlan-interface1]ipaddress192.168.1.50255.255.255.0
(10)
配置缺省路由
[AC-Vlan-interface1]iproute-static0.0.0.00.0.0.0192.168.1.1
2.在IAS上配置802.1X认证项:
配置Radius客户端:
配置远程访问策略:
编辑拨入配置文件:
IAS相关的其他配置(比如采用证书认证时需要的证书、AD中的用户等)这里不再详细说明,请参考windows相关帮助文档。
4.5
验证结果
使用displaydot1xsessions查看802.1X用户,是否用户在线。
4.6
注意事项
如果采用EAP-TL