B58新特性H3C WX进行本地8011x认证EAP.docx

B58新特性H3C WX进行本地8011x认证EAP.docx

《B58新特性H3C WX进行本地8011x认证EAP.docx》由会员分享，可在线阅读，更多相关《B58新特性H3C WX进行本地8011x认证EAP.docx（13页珍藏版）》请在冰豆网上搜索。

B58新特性H3CWX进行本地8011x认证EAP

H3CWX系列本地802.1X认证（EAP-PEAP方式的典

型配置举例

关键词:

eap-profile,user-Group,ssl,pki,eap_mschapv2,local-user

摘要:

本文介绍了用H3C公司WX系列本地801.1X认证（eap-peap方案时必需的配置。

缩略语:

缩略语

英文全名中文解释

WLAN

WirelessLAN无线局域网802.1X

Port-BasedNetworksAccessControl基于端口的网络访问控制Eap-peapEAP-Protectedextensiveauthentication

protocol保护的EAP认证方式

H

3C

1特性简介...............................................................................................................................................1-1

1.1特性介绍.....................................................................................................................................1-1

1.2特性优点.....................................................................................................................................1-12应用场合...............................................................................................................................................2-13注意事项...............................................................................................................................................3-14配置举例...............................................................................................................................................4-2

4.1组网需求.....................................................................................................................................4-2

4.2配置思路.....................................................................................................................................4-2

4.3使用版本.....................................................................................................................................4-2

4.4配置步骤.....................................................................................................................................4-3

4.5注意事项...................................................................................................................................4-115相关资料.............................................................................................................................................5-12

5.1相关协议和标准.........................................................................................................................5-12

5.2其它相关资料............................................................................................................................5-12

H

3C

1特性简介

1.1特性介绍

本特性在WLANNAS设备上支持本地对无线用户进行认证的功能。

对于组网中不支持EAP认证的AAAServer,本特性通过实现EAPOffLoad功能,使NAS设备作为STA与AAAServer的桥梁,帮助二者顺畅的完成认证过程。

1.2特性优点

本特性提供了对WLAN接入用户的本地认证功能,支持MD5,EAP_TLS,EAP_MSCHAPv2,EAP_PEAP多种认证方式,使得用户可以自如的根据需要灵活配置各种安全限制,同时不需要布置AAA服务器,减小了网络拓扑图的复杂度。

2应用场合

希望单台WLANNAS接入设备就能完成用户的无线接入认证,而不必布署专门的AAA服务器。

3注意事项

（1接入设备上服务模板配置正确。

（2正确导入所需根证书和服务器证书

（3本地认证eap方式和用户名配置正确H3C

4配置举例

4.1组网需求

图4-1本地EAP-PEAP认证方式的组网图

4.4配置步骤

1.配置信息:

[H3C]displaycurrent-configuration

#

version5.20,Beta2108P01

#

sysnameH3C

#

domaindefaultenablesystem

#

telnetserverenable

#

port-securityenable

#

dot1xauthentication-methodeap#

vlan1

#

domainsystem

access-limitdisable

stateactive

idle-cutdisable

self-service-urldisable

#

pkientityauth

common-namelocal-auth

organizationh3c-auth

#

pkidomainlocal

certificaterequestentityauth

crlcheckdisable

#

dhcpserverip-poolzlb

network100.1.1.0mask255.255.255.0

gateway-list100.1.1.1

#

user-groupsystem

user-groupeap

#

local-useradmin

passwordsimpleadmin

authorization-attributelevel3

service-typetelnet

local-usereap

passwordsimpleeap

groupeapH3C

service-typelan-access

#

wlanrrm

dot11amandatory-rate61224

dot11asupported-rate918364854

dot11bmandatory-rate12

dot11bsupported-rate5.511

dot11gmandatory-rate125.511

dot11gsupported-rate69121824364854

#

wlanservice-template1crypto

ssidh3c-wpa

bindWLAN-ESS1

cipher-suitetkip

security-iewpa

service-templateenable

#

sslserver-policy1

pki-domainlocal

ciphersuitersa_rc4_128_sha

handshaketimeout180

close-modewait

sessioncachesize1000

#

eap-profileeap1

ssl-server-policy1

methodpeap-mschapv2

#

interfaceNULL0

#

interfaceVlan-interface1

ipaddress100.1.1.1255.255.255.0

#

interfaceM-GigabitEthernet2/0/0

#

interfaceTen-GigabitEthernet2/0/1

#

interfaceWLAN-ESS1

port-securityport-modeuserlogin-secure-ext

port-securitytx-key-type11key

undodot1xhandshake

#wlanapap1_002modelWA2210-AG

serial-id210235A29D0083000778

radio1

channel1

service-template1

H3C

#

dhcpenable

#

local-serverauthenticationeap-profileeap1

#

loadxml-configuration

#

user-interfacecon0

user-interfacevty04

authentication-modescheme

userprivilegelevel3

#

return

2.主要配置步骤

#配置WLAN服务,在无线口配置端口安全模式为dot1x方式

[AC-wlan-st-1]displaythis

#

wlanservice-template1crypto

ssideap

bindWLAN-ESS1

cipher-suitetkip

security-iewpa

service-templateenable

#

return

[AC-wlan-st-1]

[AC]intwlan-ess1

[AC-WLAN-ESS1]displaythis

#

interfaceWLAN-ESS1

port-securityport-modeuserlogin-secure-ext

port-securitytx-key-type11key

undodot1xhandshake

#

return

[AC-WLAN-ESS1]

#配置dot1x认证为eap方式,并使能端口安全;

[AC]dot1xauthentication-methodeap

[AC]port-securityenable

#配置PKI参数#

pkientityauth

common-namelocal-auth

H3C

#

pkidomainlocal

certificaterequestentityauth

crlcheckdisable

#

#导入证书;

如果之前已经导入过证书,需要先销毁公共密钥,才能再进行证书导入:

[AC]public-keylocaldestroyrsa

Localkeypairisinusebylocalcertificateofdomain"local",Doyouwantto

deletelocalcertificatefirst?

[Y/N]:

y

导入根证书:

[AC]pkiimport-certificatecadomainlocalderfilenamecertnew.cer

ThetrustedCA'sfingerprintis:

MD5fingerprint:

5710DE774771641F5C388CF425DE9CAA

SHA1fingerprint:

02ABBAB7F8CC6D1E3EF85EAB5FBDB448A8FE24FA

Isthefingerprintcorrect?

（Y/N:

y

ImportCAcertificatesuccessfully.

%Oct1717:

02:

33:

5542008H3CPKI/4/Verify_CA_Root_Cert:

CArootcertificateoft

hedomainlocalistrusted.

[H3C]

%Oct1717:

02:

33:

5632008H3CPKI/4/Update_CA_Cert:

UpdateCAcertificatesofthe

Domainlocalsuccessfully.

%Oct1717:

02:

33:

5722008H3CPKI/4/Import_CA_Cert:

ImportCAcertificatesofthedomainlocalsuccessfully.

导入serverssl证书:

[AC]pkiimport-certificatelocaldomainlocalp12filenameserver_ssl.pfx

Pleaseinputchallengepassword:

Importlocalcertificatesuccessfully.

%Oct1717:

06:

26:

7772008H3CPKI/4/Verify_Cert:

VerifycertificateCN=pt_webof

thedomainlocalsuccessfully.

Importkeypairsuccessfully.

%Oct1717:

06:

26:

7832008H3CPKI/4/Import_Local_Cert:

Importlocalcertificateo

fthedomainlocalsuccessfully.

[H3C]

%Oct1717:

06:

26:

8382008H3CPKI/4/Import_Local_Key:

Importlocalprivatekeyof

thedomainlocalsuccessfully.

[AC]

#配置SSL服务策略;

#

sslserver-policy1

H3C

handshaketimeout180

close-modewait

sessioncachesize1000

#

#配置本地认证方式为eap-peap,并使能本地认证服务;

[AC]eap-profileeap1

[AC-eap-prof-eap]methodpeap-mschapv2

[AC-eap-prof-eap]ssl-server-policy1

return

[AC-eap-prof-eap]quit

[AC]local-serverauthenticationeap-profileeap1

#创建用户组

[AC]user-groupeap

[AC-ugroup-eap]displaythis

#

user-groupeap

#

#创建本地用户,服务类型为lan-access;

#

local-usereap

passwordsimpleeap

groupeap

service-typelan-access

#

3.验证结果

使用微软无线客户端进行验证:

1、在Windows无线客户端中,通过“刷新网络列表”搜索相应的SSID,本例中的SSID为h3c-wpa,然后选择“更改高级设置”,如下图所示:

H3C

2、在弹出的对话框中,选择“无线网络配置”,在“首选网络”中选择“h3c-wpa”,然后点击“属性”,如下图所示:

3、在弹出的“h3c-wpa属性”对话框中,在“关联”项中根据SSID的配置,在“网络验证（A”中选择“WPA”,在“数据加密（D”中选择“TKIP”,如下图所示:

H

3C

4、选择“验证”项，在“EAP类型（T”中选择“受保护的EAP（PEAP”，然后点击“属性”，如下图所示：

5、在弹出的“受保护的EAP属性”的对话框中，如需验证服务器证书，在“验证服务器证书（V”选项上打勾，否则勾掉该选项。

然后点击“配置”，本例中不验证服务器证书，如下图所示：

H4-93C

6、在弹出的“EAPMSCHAPv2属性”对话框中，勾掉“自动使用Windows登录名和密码”选项，然后选择“确定”。

7、按照以上步骤设置完成后，选择连接SSIDh3c-wpa，对弹出的对话框中输入用户名111和密码111，如下图所示：

H3C4-10

8、认证通过后，SSIDh3c-wpa上会出现“已连接上”，并且客户端可正常访问网络，如下图所示：

4.5注意事项无。

H4-113C

5相关资料5.1相关协议和标准无5.2其它相关资料H5-123C