V5小贝AC 802.1X配置(EAP-TLS模式)案例

 

无线802.1x特性介绍

在WLAN协议,使用802.1x认证方式可以有效的实现对与密钥协商的种子密钥的保护。V5小贝AC提供了对WLAN接入用户的本地认证功能,支持MD5,EAP_TLS,EAP_MSCHAPv2,EAP_PEAP多种认证方式,使得用户可以自如的根据需要灵活配置各种安全限制,同时不需要布置AAA服务器,减小了网络拓扑图的复杂度。

对于终端来说,选择连接SSID后,在弹出的802.1X认证客户端的对话框中输入用户名和密码进行认证,增加了接入终端的安全性。

 

组网拓扑

802.1X配置(EAP-TLS模式)有双向和单向证书认证两种,以下案例是以IMC服务器双向证书认证为例。

配置单向证书认证,只需要在客户端上把验证服务器选项去掉就可以了。

此配置关键点是在证书导入问题,而设备侧的配置与PEAP一样。

 

一、设备侧命令行下完成802.1X相关配置

1AC上开启端口安全port-security,配置dot1x认证方式为eap

[H3C]port-security enable

[H3C]dot1x authentication-method eap

2    创建一个RADIUS方案,设置相应参数:

[H3C] radius scheme imc

New Radius scheme

[H3C-radius-imc] primary authentication 192.168.10.254 key aaa

[H3C-radius-imc]primary accounting 192.168.10.254 key aaa

//配置主认证服务器和主计费服务器为imc服务器地址,共享密钥为aaa

[H3C-radius-imc]accounting-on enable//使能计费报文重发功能

//设置用户相关参数

[H3C]domain system

[H3C-isp-system] authentication lan-access radius-scheme imc

[H3C-isp-system] authorization lan-access radius-scheme imc

[H3C-isp-system] accounting lan-access radius-scheme imc

3    FIT AP注册的基本配置:

#配置服务模板,加密方式以TKIP为例

[H3C]wlan service-template 1 crypto

[H3C-wlan-st-1] ssid h3c-wpa

[H3C-wlan-st-1] bind WLAN-ESS 1

[H3C-wlan-st-1] cipher-suite tkip

[H3C-wlan-st-1] security-ie wpa

[H3C-wlan-st-1] service-template enable

#分别创建AP模板,名称为AP

[AC]wlan ap ap model WAP722

[AC-wlan-ap-ap] serial-id 210235A22WB093002688

[AC-wlan-ap-ap] radio 1

[AC-wlan-ap-ap-radio-1] service-template 1

[AC-wlan-ap-ap-radio-1] max-power 20

[AC-wlan-ap-ap-radio-1] radio enable

#配置WLAN服务,在WLAN-ESS接口配置端口安全模式为dot1x方式:

[AC]interface WLAN-ESS1

[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext

 

二、服务器证书导入IMC服务器

关于证书的申请,可在windows2003上安装CA服务器,然后从上面申请,在这里不细述了。在IMC上需要把CA和服务器证书导入进来,CA格式必须为cer或der格式,而服务器必须为pfs或p12格式。

1. IMC服务器上证书导入,如下图所示:

2. 创建启用EAP-TLS方式服务模板:

在接入设备的添加就省略掉,可按平常添加接入设备即可。

3建接入用户,用户名和证书带的要一致,并把此用户调用上述服务模板

 

三、PC端证书导入

在PC上导入用户证书和CA证书,用户证书也必须为p12或pfs格式。

1、 双击安装CA和用户证书,CA证书导入如下步骤图:


2.用户证书导入步骤如下图:

3. 检查CA证书和用户证书安装是否成功:

//用户证书检查:

// CA证书检查:

四、无线客户端认证关联

在做双向证书认证时,对客户端不需要做任何设置,直接连接相应SSID就可以了,此时在连接过程中,会弹出个小框提示验证服务器证书,点确定就可以正常登陆了。(而在peap方式时,客户端需要做一些设置才可以)

五、备注

1    要注意证书有效期是否在现在时间内。

2    证书格式要注意,否则会有提示证书错误或无效,甚至连radius报文都弹不出来。

3用户证书用户名必须和IMC上创建接入用户名必须一致。若证书用户名带后缀的话,需要在IMC服务模板里定义服务后缀。