B58新特性H3C WX进行本地8011x认证EAP.docx
- 文档编号:24119289
- 上传时间:2023-05-24
- 格式:DOCX
- 页数:13
- 大小:176.36KB
B58新特性H3C WX进行本地8011x认证EAP.docx
《B58新特性H3C WX进行本地8011x认证EAP.docx》由会员分享,可在线阅读,更多相关《B58新特性H3C WX进行本地8011x认证EAP.docx(13页珍藏版)》请在冰豆网上搜索。
B58新特性H3CWX进行本地8011x认证EAP
H3CWX系列本地802.1X认证(EAP-PEAP方式的典
型配置举例
关键词:
eap-profile,user-Group,ssl,pki,eap_mschapv2,local-user
摘要:
本文介绍了用H3C公司WX系列本地801.1X认证(eap-peap方案时必需的配置。
缩略语:
缩略语
英文全名中文解释
WLAN
WirelessLAN无线局域网802.1X
Port-BasedNetworksAccessControl基于端口的网络访问控制Eap-peapEAP-Protectedextensiveauthentication
protocol保护的EAP认证方式
H
3C
1特性简介...............................................................................................................................................1-1
1.1特性介绍.....................................................................................................................................1-1
1.2特性优点.....................................................................................................................................1-12应用场合...............................................................................................................................................2-13注意事项...............................................................................................................................................3-14配置举例...............................................................................................................................................4-2
4.1组网需求.....................................................................................................................................4-2
4.2配置思路.....................................................................................................................................4-2
4.3使用版本.....................................................................................................................................4-2
4.4配置步骤.....................................................................................................................................4-3
4.5注意事项...................................................................................................................................4-115相关资料.............................................................................................................................................5-12
5.1相关协议和标准.........................................................................................................................5-12
5.2其它相关资料............................................................................................................................5-12
H
3C
1特性简介
1.1特性介绍
本特性在WLANNAS设备上支持本地对无线用户进行认证的功能。
对于组网中不支持EAP认证的AAAServer,本特性通过实现EAPOffLoad功能,使NAS设备作为STA与AAAServer的桥梁,帮助二者顺畅的完成认证过程。
1.2特性优点
本特性提供了对WLAN接入用户的本地认证功能,支持MD5,EAP_TLS,EAP_MSCHAPv2,EAP_PEAP多种认证方式,使得用户可以自如的根据需要灵活配置各种安全限制,同时不需要布置AAA服务器,减小了网络拓扑图的复杂度。
2应用场合
希望单台WLANNAS接入设备就能完成用户的无线接入认证,而不必布署专门的AAA服务器。
3注意事项
(1接入设备上服务模板配置正确。
(2正确导入所需根证书和服务器证书
(3本地认证eap方式和用户名配置正确H3C
4配置举例
4.1组网需求
图4-1本地EAP-PEAP认证方式的组网图
4.4配置步骤
1.配置信息:
[H3C]displaycurrent-configuration
#
version5.20,Beta2108P01
#
sysnameH3C
#
domaindefaultenablesystem
#
telnetserverenable
#
port-securityenable
#
dot1xauthentication-methodeap#
vlan1
#
domainsystem
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
pkientityauth
common-namelocal-auth
organizationh3c-auth
#
pkidomainlocal
certificaterequestentityauth
crlcheckdisable
#
dhcpserverip-poolzlb
network100.1.1.0mask255.255.255.0
gateway-list100.1.1.1
#
user-groupsystem
user-groupeap
#
local-useradmin
passwordsimpleadmin
authorization-attributelevel3
service-typetelnet
local-usereap
passwordsimpleeap
groupeapH3C
service-typelan-access
#
wlanrrm
dot11amandatory-rate61224
dot11asupported-rate918364854
dot11bmandatory-rate12
dot11bsupported-rate5.511
dot11gmandatory-rate125.511
dot11gsupported-rate69121824364854
#
wlanservice-template1crypto
ssidh3c-wpa
bindWLAN-ESS1
cipher-suitetkip
security-iewpa
service-templateenable
#
sslserver-policy1
pki-domainlocal
ciphersuitersa_rc4_128_sha
handshaketimeout180
close-modewait
sessioncachesize1000
#
eap-profileeap1
ssl-server-policy1
methodpeap-mschapv2
#
interfaceNULL0
#
interfaceVlan-interface1
ipaddress100.1.1.1255.255.255.0
#
interfaceM-GigabitEthernet2/0/0
#
interfaceTen-GigabitEthernet2/0/1
#
interfaceWLAN-ESS1
port-securityport-modeuserlogin-secure-ext
port-securitytx-key-type11key
undodot1xhandshake
#wlanapap1_002modelWA2210-AG
serial-id210235A29D0083000778
radio1
channel1
service-template1
H3C
#
dhcpenable
#
local-serverauthenticationeap-profileeap1
#
loadxml-configuration
#
user-interfacecon0
user-interfacevty04
authentication-modescheme
userprivilegelevel3
#
return
2.主要配置步骤
#配置WLAN服务,在无线口配置端口安全模式为dot1x方式
[AC-wlan-st-1]displaythis
#
wlanservice-template1crypto
ssideap
bindWLAN-ESS1
cipher-suitetkip
security-iewpa
service-templateenable
#
return
[AC-wlan-st-1]
[AC]intwlan-ess1
[AC-WLAN-ESS1]displaythis
#
interfaceWLAN-ESS1
port-securityport-modeuserlogin-secure-ext
port-securitytx-key-type11key
undodot1xhandshake
#
return
[AC-WLAN-ESS1]
#配置dot1x认证为eap方式,并使能端口安全;
[AC]dot1xauthentication-methodeap
[AC]port-securityenable
#配置PKI参数#
pkientityauth
common-namelocal-auth
H3C
#
pkidomainlocal
certificaterequestentityauth
crlcheckdisable
#
#导入证书;
如果之前已经导入过证书,需要先销毁公共密钥,才能再进行证书导入:
[AC]public-keylocaldestroyrsa
Localkeypairisinusebylocalcertificateofdomain"local",Doyouwantto
deletelocalcertificatefirst?
[Y/N]:
y
导入根证书:
[AC]pkiimport-certificatecadomainlocalderfilenamecertnew.cer
ThetrustedCA'sfingerprintis:
MD5fingerprint:
5710DE774771641F5C388CF425DE9CAA
SHA1fingerprint:
02ABBAB7F8CC6D1E3EF85EAB5FBDB448A8FE24FA
Isthefingerprintcorrect?
(Y/N:
y
ImportCAcertificatesuccessfully.
%Oct1717:
02:
33:
5542008H3CPKI/4/Verify_CA_Root_Cert:
CArootcertificateoft
hedomainlocalistrusted.
[H3C]
%Oct1717:
02:
33:
5632008H3CPKI/4/Update_CA_Cert:
UpdateCAcertificatesofthe
Domainlocalsuccessfully.
%Oct1717:
02:
33:
5722008H3CPKI/4/Import_CA_Cert:
ImportCAcertificatesofthedomainlocalsuccessfully.
导入serverssl证书:
[AC]pkiimport-certificatelocaldomainlocalp12filenameserver_ssl.pfx
Pleaseinputchallengepassword:
Importlocalcertificatesuccessfully.
%Oct1717:
06:
26:
7772008H3CPKI/4/Verify_Cert:
VerifycertificateCN=pt_webof
thedomainlocalsuccessfully.
Importkeypairsuccessfully.
%Oct1717:
06:
26:
7832008H3CPKI/4/Import_Local_Cert:
Importlocalcertificateo
fthedomainlocalsuccessfully.
[H3C]
%Oct1717:
06:
26:
8382008H3CPKI/4/Import_Local_Key:
Importlocalprivatekeyof
thedomainlocalsuccessfully.
[AC]
#配置SSL服务策略;
#
sslserver-policy1
H3C
handshaketimeout180
close-modewait
sessioncachesize1000
#
#配置本地认证方式为eap-peap,并使能本地认证服务;
[AC]eap-profileeap1
[AC-eap-prof-eap]methodpeap-mschapv2
[AC-eap-prof-eap]ssl-server-policy1
return
[AC-eap-prof-eap]quit
[AC]local-serverauthenticationeap-profileeap1
#创建用户组
[AC]user-groupeap
[AC-ugroup-eap]displaythis
#
user-groupeap
#
#创建本地用户,服务类型为lan-access;
#
local-usereap
passwordsimpleeap
groupeap
service-typelan-access
#
3.验证结果
使用微软无线客户端进行验证:
1、在Windows无线客户端中,通过“刷新网络列表”搜索相应的SSID,本例中的SSID为h3c-wpa,然后选择“更改高级设置”,如下图所示:
H3C
2、在弹出的对话框中,选择“无线网络配置”,在“首选网络”中选择“h3c-wpa”,然后点击“属性”,如下图所示:
3、在弹出的“h3c-wpa属性”对话框中,在“关联”项中根据SSID的配置,在“网络验证(A”中选择“WPA”,在“数据加密(D”中选择“TKIP”,如下图所示:
H
3C
4、选择“验证”项,在“EAP类型(T”中选择“受保护的EAP(PEAP”,然后点击“属性”,如下图所示:
5、在弹出的“受保护的EAP属性”的对话框中,如需验证服务器证书,在“验证服务器证书(V”选项上打勾,否则勾掉该选项。
然后点击“配置”,本例中不验证服务器证书,如下图所示:
H4-93C
6、在弹出的“EAPMSCHAPv2属性”对话框中,勾掉“自动使用Windows登录名和密码”选项,然后选择“确定”。
7、按照以上步骤设置完成后,选择连接SSIDh3c-wpa,对弹出的对话框中输入用户名111和密码111,如下图所示:
H3C4-10
8、认证通过后,SSIDh3c-wpa上会出现“已连接上”,并且客户端可正常访问网络,如下图所示:
4.5注意事项无。
H4-113C
5相关资料5.1相关协议和标准无5.2其它相关资料H5-123C
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- B58新特性H3C WX进行本地8011x认证EAP B58 特性 H3C WX 进行 本地 8011 认证 EAP