V5小贝AC本地802.1X配置(EAP-PEAP模式)案例

 

无线802.1x特性介绍

在WLAN协议,使用802.1x认证方式可以有效的实现对与密钥协商的种子密钥的保护。V5小贝AC提供了对WLAN接入用户的本地认证功能,支持MD5,EAP_TLS,EAP_MSCHAPv2,EAP_PEAP多种认证方式,使得用户可以自如的根据需要灵活配置各种安全限制,同时不需要布置AAA服务器,减小了网络拓扑图的复杂度。

对于终端来说,选择连接SSID后,在弹出的802.1X认证客户端的对话框中输入用户名和密码进行认证,增加了接入终端的安全性。

 

组网拓扑

通过对V5小贝AC的配置,接入设备就能完成用户的无线接入认证,而不必布署专门的AAA服务器。主要配置步骤有以下2点:

配置DOT1X

导入并进行证书相关配置

 

一、命令行下完成本地802.1X配置(EAP-PEAP模式)配置

1AC上开启端口安全port-security,配置dot1x认证方式为eap:

[H3C]port-security enable

[H3C]dot1x authentication-method eap

2.    创建eap配置文件,并指定method为md5方式:

[H3C]eap-profile eap

[H3C-eap-prof-eap]method md5

3.    设置用户域为本地认证模式:

[H3C]domain system

[H3C-isp-system] authentication lan-access local

[H3C-isp-system] authorization lan-access local

[H3C-isp-system] accounting lan-access local

4.    FIT AP注册的基本配置:

#配置服务模板,加密方式以TKIP为例

[H3C]wlan service-template 1 crypto

[H3C-wlan-st-1] ssid h3c-wpa

[H3C-wlan-st-1] bind WLAN-ESS 1

[H3C-wlan-st-1] cipher-suite tkip

[H3C-wlan-st-1] security-ie wpa

[H3C-wlan-st-1] service-template enable

#分别创建两个AP模板,AP1和AP2

[AC]wlan ap ap1 model WAP722

[AC-wlan-ap-ap1] serial-id 210235A22WB093002688

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] service-template 1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC]wlan ap ap2 model WAP722S

[AC-wlan-ap-ap2] serial-id 210235A29G0081000007

[AC-wlan-ap-ap2] radio 1

[AC-wlan-ap-ap2-radio-1] channel auto

[AC-wlan-ap-ap2-radio-1] max-power 20

[AC-wlan-ap-ap2-radio-1] service-template 1

[AC-wlan-ap-ap2-radio-1] radio enable

#配置WLAN服务,在WLAN-ESS接口配置端口安全模式为dot1x方式:

[AC]interface WLAN-ESS1

[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext

5    配置PKI参数,并导入证书

#创建一个PKI实体,实体名为auth,通用名为local-auth实体所属组织的名称为h3c-auth

[H3C]pki entity auth

[H3C-pki-entity- auth] common-name local-auth

[H3C-pki-entity- auth ]organization h3c-auth

#创建并进入PKI域local,指定实体名称为auth,禁止CRL检查

[H3C]pki domain local

[H3C-pki-domain-local] certificate request entity auth

[H3C-pki-domain-local] crl check disable

#导入证书,如果之前已经导入过证书,需要先销毁公共密钥,才能再进行证书导入:

[H3C]public-key local destroy rsa //销毁原来的公共密钥

Local key pair is in use by local certificate of domain "local" ,Do you want to

delete local certificate first? [Y/N]:y

导入根证书:

[H3C]pki import-certificate ca domain local der filename certnew.cer

……

Is the finger print correct?(Y/N):y

……

导入server ssl证书:

[H3C] pki import-certificate local domain local p12 filename server_ssl.pfx

6配置SSL服务策略

[H3C]ssl server-policy 1

[H3C-ssl-server-policy-1] pki-domain local

[H3C-ssl-server-policy-1]ciphersuite rsa_rc4_128_sha

//配置SSL服务器端策略支持的加密套件

[H3C-ssl-server-policy-1]handshake timeout 180

[H3C-ssl-server-policy-1]close-mode wait

//配置SSL连接的关闭模式为wait模式,即发送close-notify警告消息给客户端后,等待客户端的close-notify警告消息,在接收到客户端的close-notify警告消息后才能关闭连接

[H3C-ssl-server-policy-1]session cachesize 1000

//配置缓存的最大会话数目为1000

7    创建无线AP组、无线用户和用户配置文件的创建:

#创建AP组,并将AP1、AP2分别加入到两个组中

[AC]wlan ap-group 1

[AC-ap-group1] ap ap1

[AC]wlan ap-group 2

[AC-ap-group2] ap ap2

#分别给用户创建不同的配置文件,设置不同用户可以允许接入的组

[AC]user-profile dot1

[AC-user-profile-dot1] wlan permit-ap-group 1

[AC]user-profile dot2

[AC-user-profile-dot2] wlan permit-ap-group 2

#分别创建两个用户,并绑定用户的配置文件

[AC]local-user dot//用户1,dot

[AC-luser-dot] password simple dot

[AC-luser-dot] authorization-attribute user-profile dot2

[AC-luser-dot] service-type lan-access

// an-access服务,主要指以太网接入,用户通过802.1X认证接入使用此类型

[AC]local-user eap//用户2,eap

[AC-luser-eap] password simple eap

[AC-luser-eap] authorization-attribute user-profile dot1

[AC-luser-eap] service-type lan-access

#使能用户配置文件

[AC] user-profile dot1 enable

[AC] user-profile dot2 enable

#使能本地服务器的eap配置文件

[AC] local-server authentication eap-profile eap

 

二、Windows XP客户端认证配置

1在Windows无线客户端中,通过“刷新网络列表”搜索相应的SSID,本例中的SSID为h3c-wpa,然后选择“更改高级设置”,如下图所示:

2在弹出的对话框中,选择“无线网络配置”,在“首选网络”中选择“h3c-wpa”,然后点击“属性”,如下图所示:

3、在弹出的“h3c-wpa属性”对话框中,在“关联”项中根据SSID的配置,在“网络验证 (A)”中选择“WPA”,在“数据加密 (D)”中选择“TKIP”,如下图所示:

4、选择“验证”项,在“EAP类型 (T)”中选择“受保护的EAP (PEAP)”,然后点击“属性”,如下图所示:

5在弹出的“受保护的EAP属性”的对话框中,如需验证服务器证书,在“验证服务器证书 (V)”选项上打勾,否则勾掉该选项。然后点击“配置”,本例中不验证服务器证书,如下图所示:

6、在弹出的“EAP MSCHAPv2 属性”对话框中,勾掉“自动使用Windows登录名和密码”选项,然后选择“确定”。

7、按照以上步骤设置完成后,选择连接SSID h3c-wpa,对弹出的对话框中输入用户名eap和密码eap,如下图所示:

8认证通过后,SSID h3c-wpa上会出现“已连接上”,并且客户端可正常访问网络,如下图所示:

 

三、Windows WIN7客户端认证配置

1.在Windows无线客户端中,单击右下角信号图标单击“网络和共享中心”,如下图所示:

2.管理无线网络,点击添加,手动创建网络配置文件

3.设置SSID,安全类型在802.1X要设置WPA2-企业或WPA-企业或802.1X安全性(用于验证连接到一个无线网络),选择加密类型为TKIP,点击“下一步”,见下图:

4.初步设置完成,提示成功添加了“h3c-wpa”信号。

5.双击“h3c-wpa”信号,设置EAP类型为PEAP,如下图:

6.高级设置里面不要设置,默认都为空,如下图所示:

7.设置完成,连接相应SSID即可。

 

四、使用iNode客户端进行802.1X认证配置

1.打开iNode客户端,创建一个802.1x连接

 

2.用户选项卡中正确输入用户名和密码,其余选项为默认

 

3.常规选项卡中:

将“上传客户端版本号”选项取消;

选择网卡中一定要选中本机正在使用的无线网卡,其他选项默认。