WLAN认证实验.docx
《WLAN认证实验.docx》由会员分享,可在线阅读,更多相关《WLAN认证实验.docx(31页珍藏版)》请在冰豆网上搜索。
WLAN认证实验
1认证实验
1.1802.1x认证测试-PEAP
组网图
应用场景
客户端通过无线802.1x认证接入网络
技术实现
无线上的802.1x实现类似有线的802.1x,区别在于无线在设置802.1x时通常称为WPA2-enterprise,且将有线实现中客户端与交换机之间的802.3报文变为了无线的客户端与AP之间的802.11报文。
使用版本
产品名称
版本号
备注
WNC6000-200
SoftWareVersion6.2.200.56
注意要点
WPA2-enterprise在进行使用时需要对PC进行设置,并且需要网络中有一台可以支持PEAP协议的AAA服务器。
配置步骤
1、配置AC的radius服务:
WNC6000(config)#radius-serverauthenticationhost10.1.1.1key0maipu//设置认证服务IP、key
WNC6000(config)#radius-serveraccountinghost10.1.1.1key0maipu//设置记账服务IP、key
WNC6000(config)#aaa-accountingenable//开启记账服务
WNC6000(config)#aaaenable//开启认证服务
WNC6000(config)#radiusnas-ipv410.1.1.254//指定nas设备地址
WNC6000(config)#aaagroupserverradiusmaipu//配置aaa服务组
WNC6000(config-sg-radius)#server10.1.1.1//指定服务器地址
2、指定认证方式:
WNC6000(config)#network1//关联network模板
WNC6000(config-network)#radiusserver-nameauthmaipu//指定认证服务组
WNC6000(config-network)#radiusserver-nameacctmaipu//指定记账服务组
WNC6000(config-network)#securitymodewpa-enterprise//设置SSID加密方式
WNC6000(config-network)#ssidmp-le2//设置广播SSID名
注意:
network下的服务组名要和全局组名设置对应
3、AAS配置
1)http:
//x.x.x.x:
8000进入AAS配置页面,默认用户密码admin
2)添加用户组:
选择用户管理->用户组配置,点击增加
3)添加用户:
选择用户管理->用户配置,点击增加
4)添加设备组:
选择设备管理->设备组配置,点击增加
5)添加设备:
选择设备管理->设备配置,点击增加
6)设备组和用户组绑定:
选择“绑定关系”->选择对应的用户组和设备组,点击“绑定”
客户端设置
1、点击无线网络,选择属性
2、按图中选择安全、加密方式、身份验证方法
1、可在AAS的访问日志中查看认证状态。
1.2802.1x认证测试-EAP-TLS
组网图
应用场景
客户端通过无线802.1x认证接入网络
技术实现
无线上的802.1x实现类似有线的802.1x,区别在于无线在设置802.1x时通常称为WPA2-enterprise,且将有线实现中客户端与交换机之间的802.3报文变为了无线的客户端与AP之间的802.11报文。
使用版本
产品名称
版本号
备注
WNC6000-200
SoftWareVersion6.2.200.56
注意要点
WPA2-enterprise在进行使用时需要对PC进行设置,并且需要网络中有一台可以支持EAP-TLS协议的AAA服务器。
配置步骤
1、配置AC的radius服务:
WNC6000(config)#radius-serverauthenticationhost10.1.1.1key0maipu//设置认证服务IP、key
WNC6000(config)#radius-serveraccountinghost10.1.1.1key0maipu//设置记账服务IP、key
WNC6000(config)#aaa-accountingenable//开启记账服务
WNC6000(config)#aaaenable//开启认证服务
WNC6000(config)#radiusnas-ipv410.1.1.254//指定nas设备地址
WNC6000(config)#aaagroupserverradiusaaa//配置aaa服务组
WNC6000(config-sg-radius)#server10.1.1.1//指定服务器地址
2、指定认证方式:
WNC6000(config)#network1//关联network模板
WNC6000(config-network)#radiusserver-nameauthmaipu//指定认证服务组
WNC6000(config-network)#radiusserver-nameacctmaipu//指定记账服务组
WNC6000(config-network)#securitymodewpa-enterprise//设置SSID加密方式
WNC6000(config-network)#ssidmp-le2//设置广播SSID名
注意:
network下的服务组名要和全局组名设置对应
2、下载证书
首先下载客户端证书,详细请见附件:
注意:
申请用户证书时所使用的用户名,需要和AAS上创建的用户名一致,如:
在申请证书时使用的用户名为“maipu”,则需要在AAS上增加一个“maipu”的用户,密码为任意即可。
其次下载服务器证书,详细请见附件:
4、AAS配置
1)http:
//x.x.x.x:
8000进入AAS配置页面,默认用户密码admin
2)添加用户组:
选择用户管理->用户组配置,点击增加
3)添加用户:
选择用户管理->用户配置,点击增加
4)添加设备组:
选择设备管理->设备组配置,点击增加
5)添加设备:
选择设备管理->设备配置,点击增加
6)设备组和用户组绑定:
选择“绑定关系”->选择对应的用户组和设备组,点击“绑定”
7)AAS导入根证书:
选择“系统配置”->“证书信任配置”点浏览,选择CA证书后,点击“导入CA证书”
8)AAS导入服务器证书:
选择“系统配置”->“服务器证书配置”点浏览,选择服务器证书,再输入证书密钥,最后点击“导入服务器证书(含私钥)”
客户端设置
1)、点击无线网络,选择属性
2)、按图中选择安全、加密方式、身份验证方法
5、可在AAS的访问日志中查看认证状态。
1.3WebPortal认证
组网图
应用场景
当客户需要使用简便的认证操作,不需要对传输数据进行加密时,需要使用WebPortal认证。
技术实现
认证功能是为管理和控制使用网络资源的用户的一种方法。
认证功能将客户端的认证信息按照一定的原则存储在认证服务器中,当用户需要使用网络资源时,captiveportal功能将用户的网络请求重定向到认证服务器上,这时需要用户提供被允许的用户名和密码等信息,由认证服务器对用户提供的信息进行判断,以决定是否允许该用户使用网络资源。
AC和AP在认证功能中主要起着传递用户和认证服务器之间通信的作用。
通过在AC上进行配置使得客户端可以与认证服务器进行连接和沟通,并且在认证服务器对客户端信息判断完成后将认证结果和相应处理推向用户。
认证功能是建立在重定向功能基础之上的。
重定向功能是一种将原请求重新连接到设定好的地点后再进行后续操作的功能。
该功能是在AP接收到客户端的请求后,将客户端的请求转到一个已经设定好的地址上,之后的操作由客户端和重定向之后的地址进行操作,以此完成某些特定的功能和操作。
该操作可以实现达到管理和监控用户的目的。
客户端被重定向portal认证界面,需要用户填写用户名和密码,只有当该用户名和密码通过认证后才允许用户使用网络资源。
Portal认证方式可以实现对不同类型用户的不同控制策略。
使用版本
产品名称
版本号
备注
WNC6000-200
SoftWareVersion6.2.200.56
注意要点
认证和Portal功能是分开的,即使使用内置Portal也需要使用AAA认证服务器。
Portal属于三层认证,与二层认证方式无关,例如可以二层认证方式使用WPA2-enterprise,而三层认证使用Portal。
配置步骤
说明:
10.1.12.22是portal服务器地址,
1、AC配置:
radiussource-ipv410.1.12.1
radius-serverauthenticationhost10.1.12.22key0maipu
radius-serveraccountinghost10.1.12.22key0maipu
aaa-accountingenable
aaaenable
radiusnas-ipv410.1.12.1
aaagroupserverradiusmaipu
server10.1.12.22
ipdhcppoolmam
network-address10.1.12.0255.255.255.0
default-router10.1.12.1
ipdhcppooluser
network-address10.3.12.0255.255.255.0
default-router10.3.12.1
interfaceVlan1
descriptionmanage
ipaddress10.1.12.1255.255.255.0
interfaceVlan2
descriptionuser
ipaddress10.3.12.1255.255.255.0
wireless
enable
l2tunnelvlan-listadd1,2
static-ip10.1.12.1
network3
ssidmp-3
vlan2
approfile1
nameDefault
hwtype22
radio1
dot11nchannel-bandwidth20
vap0
vap1
enable
vap2
enable
captive-portal
enable
externalportal-serverserver-namemaipuipv410.1.12.22port2000
free-resource1destinationipv410.1.12.22/32sourceany
configuration1
enable
radiusaccounting
radius-acct-servermaipu
radius-auth-servermaipu
redirectattributessidenable
redirectattributenas-ipenable
ac-nameAC
redirecturl-headhttp:
//10.