1、(1) 配置802.1X(2) 配置服务器4.3 使用版本display versionH3C Comware Platform SoftwareComware Software, Version 5.00, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Jul 13 2007 14:32:12, RELEASE SOFTWAREH3C WX5002-128 uptime is 0 week, 2 days, 17 hours, 3 minutesCPU type: B
2、CM MIPS 1250 700MHz512M bytes DDR SDRAM Memory32M bytes Flash MemoryPcb Version: ALogic 1.0Basic BootROM 1.13Extend BootROM 1.14SLOT 1CON (Hardware)A, (Driver)1.0, (Cpld)1.0 1GE1/0/1 1GE1/0/2 1M-E1/0/1 (Cpld)1.0.4.4 配置步骤配置802.1X:display current-configuration # version 5.00, 0001 sysname ACconfigure-
3、user count 1 domain default enable iasport-security enabledot1x authentication-method eapvlan 1vlan 2 to 4094radius scheme systemprimary authentication 127.0.0.1primary accounting 127.0.0.1key authentication h3ckey accounting h3caccounting-on enableradius scheme iasserver-type extendedprimary authen
4、tication 8.1.1.4primary accounting 8.1.1.4key authentication h3ckey accounting h3ctimer realtime-accounting 3user-name-format without-domainundo stop-accounting-buffer enableaccounting-on enableedomain iasauthentication default radius-scheme iasauthorization default radius-scheme iasaccounting defau
5、lt radius-scheme ias access-limit disablestate activeidle-cut disableself-service-url disabledomain systemwlan radio-policy rpbeacon-interval 500wlan service-template 2 cryptossid h3c-dot1xbind WLAN-ESS 2authentication-method open-systemcipher-suite ccmpsecurity-ie rsngtk-rekey method time-based 180
6、service-template enableinterface NULL0interface Vlan-interface1ip address 192.168.1.50 255.255.255.0interface GigabitEthernet1/0/1interface GigabitEthernet1/0/2interface M-Ethernet1/0/1interface WLAN-ESS2port-security port-mode userlogin-secure-extport-security tx-key-type 11keywlan ap ap3 model WA2
7、100serial-id 210235A29G007C000020radio 1 type 11g radio-policy rp service-template 2 radio enableip route-static 0.0.0.0 0.0.0.0 192.168.1.14.4.1 主要配置步骤1. 在802.1X接入端配置802.1X和认证 启用port-security,配置802.1X认证方式为EAPACport-security enableACdot1x authentication-method eap 配置认证策略# 创建RADIUS方案ias并进入其视图。ACradiu
8、s scheme ias# 将RADIUS方案ias的RADIUS服务器类型设置为extended。AC-radius-iasserver-type extended# 设置主认证RADIUS服务器的IP地址8.1.1.4。AC-radius-iasprimary authentication 8.1.1.4# 设置主计费RADIUS服务器的IP地址8.1.1.4。AC-radius-iasprimary accounting 8.1.1.4# 设置系统与认证RADIUS服务器交互报文时的共享密钥为h3c。AC-radius-iaskey authentication h3c# 设置系统与计费
9、RADIUS服务器交互报文时的共享密钥为h3c。AC-radius-iaskey accounting h3c# 将RADIUS方案ias的实时计费的时间间隔设置为3分钟。AC-radius-iastimer realtime-accounting 3 # 指定发送给RADIUS方案ias中RADIUS服务器的用户名不得携带域名。AC-radius-iasuser-name-format without-domain# 禁止在设备上缓存没有得到响应的停止计费请求报文。AC-radius-iasundo stop-accounting-buffer enable# 使能accounting-on
10、功能。AC-radius-iasaccounting-on enable(3) 配置认证域 # 创建ias域并进入其视图。AC-radius-iasdomain ias# 在ISP域ias下,为所有类型的用户配置方案名为ias的RADIUS认证方案。AC-isp-iasauthentication default radius-scheme ias# 在ISP域ias下,为所有类型的用户配置方案名为ias的RADIUS授权方案。AC-isp-iasauthorization default radius-scheme ias# 在ISP域ias下,为所有类型的用户配置方案名为ias的RADIU
11、S计费方案。AC-isp- iasaccounting default radius-scheme ias(4) 把配置的认证域IAS设置为系统缺省域AC-isp-iasdomain default enable ias(5) 配置射频策略 # 创建一个名为rp的射频策略。ACwlan radio-policy rp# 设置发送信标帧的时间间隔为500TU。AC-wlan-rp-rpbeacon-interval 500(6) 配置无线接口,认证方式为EAP AC-wlan-rp-rpinterface WLAN-ESS2# 配置无线端口WLAN-ESS2的端口安全模式为userlogin-s
12、ecure-ext。AC-WLAN-ESS2port-security port-mode userlogin-secure-ext# 在接口WLAN-ESS2下使能11key类型的密钥协商功能。AC-WLAN-ESS2port-security tx-key-type 11key(7) 配置无线服务模板# 创建crypto类型的服务模板2。AC-wlan-rp-rpwlan service-template 2 crypto# 设置当前服务模板的SSID(服务模板的标识)为h3c-dot1x。AC-wlan-st-2ssid h3c-dot1x# 将WLAN-ESS2接口绑定到服务模板2。A
13、C-wlan-st-2bind WLAN-ESS 2# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。AC-wlan-st-2authentication-method open-system# 使能CCMP加密套件。AC-wlan-st-2 cipher-suite ccmp# 配置信标和探查帧携带RSN IE信息。AC-wlan-st-2 security-ie rsn# 使能服务模板。AC-wlan-st-2service-template enable(8) 配置Fit AP# 创建AP管理模板,其名称为ap3,型号名称这里选择WA2100。AC-WLAN-ESS
14、2wlan ap ap3 model WA2100# 设置AP的序列号为210235A29G007C000020。AC-wlan-ap-ap3serial-id 210235A29G007C000020# 设置radio1的射频类型为802.11g。AC-wlan-ap-ap3radio 1 type 11g# 将射频策略rp映射到射频1。AC-wlan-ap-ap3-radio-1radio-policy rp# 将在AC上配置的crypto类型的服务模板2与射频1进行关联。AC-wlan-ap-ap3-radio-1service-template 2# 使能AP的radio 1。AC-w
15、lan-ap-ap3-radio-1radio enable(9) 配置VLAN虚接口 AC-wlan-ap-ap3-radio-1interface Vlan-interface1AC-Vlan-interface1ip address 192.168.1.50 255.255.255.0(10) 配置缺省路由 AC-Vlan-interface1ip route-static 0.0.0.0 0.0.0.0 192.168.1.12. 在IAS上配置802.1X认证项:配置Radius客户端:配置远程访问策略:编辑拨入配置文件:IAS相关的其他配置(比如采用证书认证时需要的证书、AD中的用户等)这里不再详细说明,请参考windows相关帮助文档。4.5 验证结果使用display dot1x sessions查看802.1X用户,是否用户在线。4.6 注意事项 如果采用EAP-TL
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1