1、SoftWare Version 6.2.200.56注意要点WPA2-enterprise在进行使用时需要对PC进行设置,并且需要网络中有一台可以支持PEAP协议的AAA服务器。配置步骤1、配置AC的radius服务:WNC6000(config)#radius-server authentication host 10.1.1.1 key 0 maipu/设置认证服务IP、keyWNC6000(config)#radius-server accounting host 10.1.1.1 key 0 maipu/设置记账服务IP、keyWNC6000(config)#aaa-accounti
2、ng enable /开启记账服务WNC6000(config)#aaa enable /开启认证服务WNC6000(config)#radius nas-ipv4 10.1.1.254 /指定nas设备地址WNC6000(config)#aaa group server radius maipu /配置aaa服务组WNC6000(config-sg-radius)#server 10.1.1.1 /指定服务器地址2、指定认证方式:WNC6000(config)#network 1 /关联network模板WNC6000(config-network)#radius server-name a
3、uth maipu/指定认证服务组WNC6000(config-network)#radius server-name acct maipu/指定记账服务组WNC6000(config-network)#security mode wpa-enterprise/设置SSID加密方式WNC6000(config-network)#ssid mp-le2/设置广播SSID名 注意:network下的服务组名要和全局组名设置对应3、AAS配置1)http:/x.x.x.x:8000进入AAS配置页面,默认用户密码 admin2)添加用户组:选择用户管理-用户组配置,点击增加3)添加用户:用户配置,点
4、击增加4)添加设备组:选择设备管理-设备组配置,点击增加5)添加设备:设备配置,点击增加6)设备组和用户组绑定:选择“绑定关系”-选择对应的用户组和设备组,点击“绑定”客户端设置1、点击无线网络,选择属性2、按图中选择安全、加密方式、身份验证方法1、 可在AAS的访问日志中查看认证状态。1.2 802.1x认证测试-EAP-TLSWPA2-enterprise在进行使用时需要对PC进行设置,并且需要网络中有一台可以支持EAP-TLS协议的AAA服务器。WNC6000(config)#aaa group server radius aaa /配置aaa服务组2、 下载证书首先下载客户端证书,详细
5、请见附件:申请用户证书时所使用的用户名,需要和AAS上创建的用户名一致,如:在申请证书时使用的用户名为“maipu”,则需要在AAS上增加一个“maipu”的用户,密码为任意即可。其次下载服务器证书,详细请见附件:4、AAS配置7)AAS导入根证书:选择“系统配置”-“证书信任配置”点浏览,选择CA证书后,点击“导入CA证书”8)AAS导入服务器证书:“服务器证书配置”点浏览,选择服务器证书,再输入证书密钥,最后点击“导入服务器证书(含私钥)”1)、点击无线网络,选择属性2)、按图中选择安全、加密方式、身份验证方法5、 可在AAS的访问日志中查看认证状态。1.3 Web Portal认证当客户
6、需要使用简便的认证操作,不需要对传输数据进行加密时,需要使用Web Portal认证。认证功能是为管理和控制使用网络资源的用户的一种方法。认证功能将客户端的认证信息按照一定的原则存储在认证服务器中,当用户需要使用网络资源时,captive portal功能将用户的网络请求重定向到认证服务器上,这时需要用户提供被允许的用户名和密码等信息,由认证服务器对用户提供的信息进行判断,以决定是否允许该用户使用网络资源。AC和AP在认证功能中主要起着传递用户和认证服务器之间通信的作用。通过在AC上进行配置使得客户端可以与认证服务器进行连接和沟通,并且在认证服务器对客户端信息判断完成后将认证结果和相应处理推向
7、用户。认证功能是建立在重定向功能基础之上的。重定向功能是一种将原请求重新连接到设定好的地点后再进行后续操作的功能。该功能是在AP接收到客户端的请求后,将客户端的请求转到一个已经设定好的地址上,之后的操作由客户端和重定向之后的地址进行操作,以此完成某些特定的功能和操作。该操作可以实现达到管理和监控用户的目的。客户端被重定向portal认证界面,需要用户填写用户名和密码,只有当该用户名和密码通过认证后才允许用户使用网络资源。Portal认证方式可以实现对不同类型用户的不同控制策略。认证和Portal功能是分开的,即使使用内置Portal也需要使用AAA认证服务器。Portal属于三层认证,与二层认
8、证方式无关,例如可以二层认证方式使用WPA2-enterprise,而三层认证使用Portal。说明:10.1.12.22是portal服务器地址,1、AC 配置:radius source-ipv4 10.1.12.1radius-server authentication host 10.1.12.22 key 0 maipuradius-server accounting host 10.1.12.22 key 0 maipuaaa-accounting enableaaa enableradius nas-ipv4 10.1.12.1aaa group server radius ma
9、ipuserver 10.1.12.22ip dhcp pool mamnetwork-address 10.1.12.0 255.255.255.0default-router 10.1.12.1ip dhcp pool usernetwork-address 10.3.12.0 255.255.255.0default-router 10.3.12.1interface Vlan1description manageip address 10.1.12.1 255.255.255.0interface Vlan2description userip address 10.3.12.1 25
10、5.255.255.0wirelessenablel2tunnel vlan-list add 1,2static-ip 10.1.12.1network 3ssid mp-3vlan 2ap profile 1name Default hwtype 22radio 1dot11n channel-bandwidth 20vap 0vap 1vap 2captive-portalexternal portal-server server-name maipu ipv4 10.1.12.22 port 2000free-resource 1 destination ipv4 10.1.12.22/32 source anyconfiguration 1radius accountingradius-acct-server maipuradius-auth-server maipuredirect attribute ssid enableredirect attribute nas-ip enableac-name ACredirect url-head http:/10.
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1