H3C WX系列AC+Fit AP 8021x无线认证和IAS配合CWord下载.docx

H3C WX系列AC+Fit AP 8021x无线认证和IAS配合CWord下载.docx

《H3C WX系列AC+Fit AP 8021x无线认证和IAS配合CWord下载.docx》由会员分享，可在线阅读，更多相关《H3C WX系列AC+Fit AP 8021x无线认证和IAS配合CWord下载.docx（10页珍藏版）》请在冰豆网上搜索。

（1） 

配置802.1X

（2） 

配置服务器

4.3 

使用版本

<

AC>

displayversion

H3CComwarePlatformSoftware

ComwareSoftware,Version5.00,0001

Copyright（c）2004-2007HangzhouH3CTech.Co.,Ltd.Allrightsreserved.

CompiledJul13200714:

32:

12,RELEASESOFTWARE

H3CWX5002-128uptimeis0week,2days,17hours,3minutes

CPUtype:

BCMMIPS1250700MHz

512MbytesDDRSDRAMMemory

32MbytesFlashMemory

Pcb 

Version:

A

Logic 

1.0

Basic 

BootROM 

1.13

ExtendBootROM 

1.14

[SLOT 

1]CON 

（Hardware）A, 

（Driver）1.0, 

（Cpld）1.0

1]GE1/0/1 

1]GE1/0/2 

1]M-E1/0/1 

（Cpld）1.0.

4.4 

配置步骤

配置802.1X：

displaycurrent-configuration

# 

version5.00,0001 

sysnameAC 

configure-usercount1 

domaindefaultenableias 

port-securityenable 

dot1xauthentication-methodeap 

vlan1 

vlan2to4094 

radiusschemesystem 

primaryauthentication127.0.0.1 

primaryaccounting127.0.0.1 

keyauthenticationh3c 

keyaccountingh3c 

accounting-onenable 

radiusschemeias

server-typeextended

primaryauthentication8.1.1.4

primaryaccounting8.1.1.4

keyauthenticationh3c

keyaccountingh3c

timerrealtime-accounting3

user-name-formatwithout-domain

undostop-accounting-bufferenable

accounting-onenablee 

domainias

authenticationdefaultradius-schemeias

authorizationdefaultradius-schemeias

accountingdefaultradius-schemeias 

access-limitdisable 

stateactive 

idle-cutdisable 

self-service-urldisable 

domainsystem 

wlanradio-policyrp

beacon-interval500 

wlanservice-template2crypto

ssidh3c-dot1x

bindWLAN-ESS2

authentication-methodopen-system

cipher-suiteccmp

security-iersn

gtk-rekeymethodtime-based180

service-templateenable 

interfaceNULL0 

interfaceVlan-interface1

ipaddress192.168.1.50255.255.255.0 

interfaceGigabitEthernet1/0/1 

interfaceGigabitEthernet1/0/2 

interfaceM-Ethernet1/0/1 

interfaceWLAN-ESS2

port-securityport-modeuserlogin-secure-ext

port-securitytx-key-type11key

wlanapap3modelWA2100

serial-id210235A29G007C000020

radio1type11g

radio-policyrp

service-template2

radioenable 

iproute-static0.0.0.00.0.0.0192.168.1.1 

4.4.1 

主要配置步骤

1.在802.1X接入端配置802.1X和认证

启用port-security，配置802.1X认证方式为EAP

[AC]port-securityenable

[AC]dot1xauthentication-methodeap

配置认证策略

#创建RADIUS方案ias并进入其视图。

[AC]radiusschemeias

#将RADIUS方案ias的RADIUS服务器类型设置为extended。

[AC-radius-ias]server-typeextended

#设置主认证RADIUS服务器的IP地址8.1.1.4。

[AC-radius-ias]primaryauthentication8.1.1.4

#设置主计费RADIUS服务器的IP地址8.1.1.4。

[AC-radius-ias]primaryaccounting8.1.1.4

#设置系统与认证RADIUS服务器交互报文时的共享密钥为h3c。

[AC-radius-ias]keyauthenticationh3c

#设置系统与计费RADIUS服务器交互报文时的共享密钥为h3c。

[AC-radius-ias]keyaccountingh3c

#将RADIUS方案ias的实时计费的时间间隔设置为3分钟。

[AC-radius-ias]timerrealtime-accounting3

#指定发送给RADIUS方案ias中RADIUS服务器的用户名不得携带域名。

[AC-radius-ias]user-name-formatwithout-domain

#禁止在设备上缓存没有得到响应的停止计费请求报文。

[AC-radius-ias]undostop-accounting-bufferenable

#使能accounting-on功能。

[AC-radius-ias]accounting-onenable 

（3） 

配置认证域

#创建ias域并进入其视图。

[AC-radius-ias]domainias

#在ISP域ias下，为所有类型的用户配置方案名为ias的RADIUS认证方案。

[AC-isp-ias]authenticationdefaultradius-schemeias

#在ISP域ias下，为所有类型的用户配置方案名为ias的RADIUS授权方案。

[AC-isp-ias]authorizationdefaultradius-schemeias

#在ISP域ias下，为所有类型的用户配置方案名为ias的RADIUS计费方案。

[AC-isp-ias]accountingdefaultradius-schemeias

（4） 

把配置的认证域IAS设置为系统缺省域

[AC-isp-ias]domaindefaultenableias 

（5） 

配置射频策略

#创建一个名为rp的射频策略。

[AC]wlanradio-policyrp

#设置发送信标帧的时间间隔为500TU。

[AC-wlan-rp-rp]beacon-interval500

（6） 

配置无线接口，认证方式为EAP

[AC-wlan-rp-rp]interfaceWLAN-ESS2 

#配置无线端口WLAN-ESS2的端口安全模式为userlogin-secure-ext。

[AC-WLAN-ESS2]port-securityport-modeuserlogin-secure-ext

#在接口WLAN-ESS2下使能11key类型的密钥协商功能。

[AC-WLAN-ESS2]port-securitytx-key-type11key

（7） 

配置无线服务模板

#创建crypto类型的服务模板2。

[AC-wlan-rp-rp]wlanservice-template2crypto

#设置当前服务模板的SSID（服务模板的标识）为h3c-dot1x。

[AC-wlan-st-2]ssidh3c-dot1x

#将WLAN-ESS2接口绑定到服务模板2。

[AC-wlan-st-2]bindWLAN-ESS2

#设置无线客户端接入该无线服务（SSID）的认证方式为开放式系统认证。

[AC-wlan-st-2]authentication-methodopen-system

#使能CCMP加密套件。

[AC-wlan-st-2]cipher-suiteccmp

#配置信标和探查帧携带RSNIE信息。

[AC-wlan-st-2]security-iersn

#使能服务模板。

[AC-wlan-st-2]service-templateenable

（8） 

配置FitAP

#创建AP管理模板，其名称为ap3，型号名称这里选择WA2100。

[AC-WLAN-ESS2]wlanapap3modelWA2100

#设置AP的序列号为210235A29G007C000020。

[AC-wlan-ap-ap3]serial-id210235A29G007C000020

#设置radio1的射频类型为802.11g。

[AC-wlan-ap-ap3]radio1type11g

#将射频策略rp映射到射频1。

[AC-wlan-ap-ap3-radio-1]radio-policyrp

#将在AC上配置的crypto类型的服务模板2与射频1进行关联。

[AC-wlan-ap-ap3-radio-1]service-template2

#使能AP的radio1。

[AC-wlan-ap-ap3-radio-1]radioenable 

（9） 

配置VLAN虚接口

[AC-wlan-ap-ap3-radio-1]interfaceVlan-interface1 

[AC-Vlan-interface1]ipaddress192.168.1.50255.255.255.0 

（10） 

配置缺省路由

[AC-Vlan-interface1]iproute-static0.0.0.00.0.0.0192.168.1.1 

2.在IAS上配置802.1X认证项：

配置Radius客户端：

配置远程访问策略：

编辑拨入配置文件：

IAS相关的其他配置（比如采用证书认证时需要的证书、AD中的用户等）这里不再详细说明，请参考windows相关帮助文档。

4.5 

验证结果

使用displaydot1xsessions查看802.1X用户，是否用户在线。

4.6 

注意事项

如果采用EAP-TL