• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

无线控制器本地认证实现方式

2025-06-19提问
  • 0关注
  • 0收藏,382浏览
zhiliao_yALtpu
zhiliao_yALtpu 二段
粉丝:0人 关注:1人

问题描述:

无线控制器采用本地认证方法:是否支持EAP-MSCHAPV2、EAP-TLS、EAP-TTLS(账号+证书),同时支持多种混合认证。麻烦提供下配置案例,谢谢。

组网及组网描述:

无线控制器采用本地认证方法:是否支持EAP-MSCHAPV2、EAP-TLS、EAP-TTLS(账号+证书),同时支持多种混合认证。麻烦提供下配置案例,谢谢。

1 个回答
按时间 按赞数
无名之辈
无名之辈 九段
粉丝:112人 关注:0人

您好,支持的

以下为你提供几种常见的配置案例:

EAP-TLS 认证配置案例

  1. 配置 AAA 认证 :进入系统视图,创建一个 AAA 认证方法列表,指定使用 EAP-TLS 认证方式,且认证服务器为本地。
    • system-view
    • [H3C] aaa
    • [H3C-aaa] authentication-scheme eap-tls
    • [H3C-aaa-authen-eap-tls] authentication-method eap-tls
    • [H3C-aaa-authen-eap-tls] service-type lan-access
    • [H3C-aaa-authen-eap-tls] local
  2. 配置用户角色和本地用户 :定义用户认证成功后所具备的用户角色,并创建本地用户,指定其密码和对应的用户角色。
    • [H3C] user-role vlan10
    • [H3C] local-user test1
    • [H3C-luser-test1] password cipher password@123
    • [H3C-luser-test1] service-type lan-access
    • [H3C-luser-test1] authorization-attribute user-role vlan10
  3. 配置证书 :生成服务器的 RSA 证书对,并导入客户端证书和 CA 证书。
    • [H3C] public-key local create rsa
    • [H3C] pki domain domain1
    • [H3C-pki-domain-domain1] ca certificate default
    • [H3C-pki-domain-domain1] ssl certificate default
    • [H3C-pki-domain-domain1] quit
    • [H3C] ssl local-policy myssl
    • [H3C-ssl-myssl] pki-domain domain1
    • [H3C-ssl-myssl] client-verify enable
    • [H3C-ssl-myssl] quit
  4. 配置 WLAN 业务模板 :创建 WLAN 业务模板,启用 802.1X 认证,关联之前配置的 AAA 认证方法列表,并绑定到相应的 VLAN 上。
    • [H3C] wlan service-template 1
    • [H3C-wlan-st-1] client-auth-mode eap
    • [H3C-wlan-st-1] eap authentication-method eap-tls
    • [H3C-wlan-st-1] ssid test
    • [H3C-wlan-st-1] akm mode none
    • [H3C-wlan-st-1] encryption-configuration enable
    • [H3C-wlan-st-1] cipher-suite none
    • [H3C-wlan-st-1] service-template enable
  5. 配置安全套件和接入策略 :指定安全套件为 WPA2,加密算法为 AES-CCMP,并创建接入控制策略,限制客户端的接入方式为 802.1X 认证。
    • [H3C] wlan security-suite 1
    • [H3C-wlan-security-suite-1] security-prototype wpa2
    • [H3C-wlan-security-suite-1] cipher-suite cc_mp
    • [H3C-wlan-security-suite-1] quit
    • [H3C] wlan access-control 1
    • [H3C-wlan-access-control-1] authentication-mode dot1x-only
    • [H3C-wlan-access-control-1] quit
  6. 绑定 WLAN 业务模板与安全套件及接入策略 :将 WLAN 业务模板与之前配置的安全套件和接入策略进行绑定。
    • [H3C-wlan-st-1] security-suite 1
    • [H3C-wlan-st-1] access-control 1
    • [H3C-wlan-st-1] quit
  7. 配置 AP 的射频接口 :在 AP 上创建服务模板,并绑定到相应的射频接口上,同时指定 VLAN 和 WLAN 业务模板。
    • [H3C] wlan ap ap1 model WA4320i-ACN
    • [H3C-wlan-ap-ap1] radio 1
    • [H3C-wlan-ap-ap1-radio-1] service-template 1 vlan 10
    • [H3C-wlan-ap-ap1-radio-1] quit
    • [H3C-wlan-ap-ap1] quit
  8. 启动无线接入功能 :启动无线接入点的无线接入功能。
    • [H3C] wlan ap ap1 radio 1 enable

EAP-TTLS(账号 + 证书)认证配置案例

  1. 配置 AAA 认证 :创建 AAA 认证方法列表,指定 EAP-TTLS 认证方式,且认证服务器为本地。
    • system-view
    • [H3C] aaa
    • [H3C-aaa] authentication-scheme eap-ttls
    • [H3C-aaa-authen-eap-ttls] authentication-method eap-ttls
    • [H3C-aaa-authen-eap-ttls] service-type lan-access
    • [H3C-aaa-authen-eap-ttls] local
  2. 配置用户角色和本地用户 :定义用户认证成功后所具备的用户角色,并创建本地用户,指定其密码和对应的用户角色。
    • [H3C] user-role vlan10
    • [H3C] local-user test2
    • [H3C-luser-test2] password cipher password@123
    • [H3C-luser-test2] service-type lan-access
    • [H3C-luser-test2] authorization-attribute user-role vlan10
  3. 配置证书 :生成服务器的 RSA 证书对,并导入客户端证书和 CA 证书。
    • [H3C] public-key local create rsa
    • [H3C] pki domain domain1
    • [H3C-pki-domain-domain1] ca certificate default
    • [H3C-pki-domain-domain1] ssl certificate default
    • [H3C-pki-domain-domain1] quit
    • [H3C] ssl local-policy myssl
    • [H3C-ssl-myssl] pki-domain domain1
    • [H3C-ssl-myssl] client-verify enable
    • [H3C-ssl-myssl] quit
  4. 配置 WLAN 业务模板 :创建 WLAN 业务模板,启用 802.1X 认证,关联之前配置的 AAA 认证方法列表,并绑定到相应的 VLAN 上。
    • [H3C] wlan service-template 2
    • [H3C-wlan-st-2] client-auth-mode eap
    • [H3C-wlan-st-2] eap authentication-method eap-ttls
    • [H3C-wlan-st-2] eap ttls-identity test2
    • [H3C-wlan-st-2] eap ttls-subtype mschapv2
    • [H3C-wlan-st-2] ssid test
    • [H3C-wlan-st-2] akm mode none
    • [H3C-wlan-st-2] encryption-configuration enable
    • [H3C-wlan-st-2] cipher-suite none
    • [H3C-wlan-st-2] service-template enable
  5. 配置安全套件和接入策略 :指定安全套件为 WPA2,加密算法为 AES-CCMP,并创建接入控制策略,限制客户端的接入方式为 802.1X 认证。
    • [H3C] wlan security-suite 2
    • [H3C-wlan-security-suite-2] security-prototype wpa2
    • [H3C-wlan-security-suite-2] cipher-suite cc_mp
    • [H3C-wlan-security-suite-2] quit
    • [H3C] wlan access-control 2
    • [H3C-wlan-access-control-2] authentication-mode dot1x-only
    • [H3C-wlan-access-control-2] quit
  6. 绑定 WLAN 业务模板与安全套件及接入策略 :将 WLAN 业务模板与之前配置的安全套件和接入策略进行绑定。
    • [H3C-wlan-st-2] security-suite 2
    • [H3C-wlan-st-2] access-control 2
    • [H3C-wlan-st-2] quit
  7. 配置 AP 的射频接口 :在 AP 上创建服务模板,并绑定到相应的射频接口上,同时指定 VLAN 和 WLAN 业务模板。
    • [H3C] wlan ap ap1 model WA4320i-ACN
    • [H3C-wlan-ap-ap1] radio 2
    • [H3C-wlan-ap-ap1-radio-2] service-template 2 vlan 10
    • [H3C-wlan-ap-ap1-radio-2] quit
    • [H3C-wlan-ap-ap1] quit
  8. 启动无线接入功能 :启动无线接入点的无线接入功能。
    • [H3C] wlan ap ap1 radio 2 enable

混合认证配置案例

  1. 配置 AAA 认证 :创建一个 AAA 认证方法列表,指定多种 EAP 认证方式,如 EAP-TLS、EAP-TTLS 和 EAP-PEAP,并开启 EAP 自协商功能。
    • system-view
    • [H3C] aaa
    • [H3C-aaa] authentication-scheme mixed-eap
    • [H3C-aaa-authen-mixed-eap] authentication-method eap
    • [H3C-aaa-authen-mixed-eap] eap-tls
    • [H3C-aaa-authen-mixed-eap] eap-ttls
    • [H3C-aaa-authen-mixed-eap] eap-peap
    • [H3C-aaa-authen-mixed-eap] service-type lan-access
    • [H3C-aaa-authen-mixed-eap] local
    • [H3C-aaa-authen-mixed-eap] eap-negotiation enable
  2. 配置用户角色和本地用户 :为不同认证方式的用户定义相应的用户角色,并创建本地用户,指定其密码和对应的用户角色。
    • [H3C] user-role vlan10
    • [H3C] user-role vlan20
    • [H3C] local-user tls-user
    • [H3C-luser-tls-user] password cipher password@123
    • [H3C-luser-tls-user] service-type lan-access
    • [H3C-luser-tls-user] authorization-attribute user-role vlan10
    • [H3C] local-user ttls-user
    • [H3C-luser-ttls-user] password cipher password@123
    • [H3C-luser-ttls-user] service-type lan-access
    • [H3C-luser-ttls-user] authorization-attribute user-role vlan20
    • [H3C] local-user peap-user
    • [H3C-luser-peap-user] password cipher password@123
    • [H3C-luser-peap-user] service-type lan-access
    • [H3C-luser-peap-user] authorization-attribute user-role vlan20
  3. 配置证书 :生成服务器的 RSA 证书对,并导入客户端证书和 CA 证书。
    • [H3C] public-key local create rsa
    • [H3C] pki domain domain1
    • [H3C-pki-domain-domain1] ca certificate default
    • [H3C-pki-domain-domain1] ssl certificate default
    • [H3C-pki-domain-domain1] quit
    • [H3C] ssl local-policy myssl
    • [H3C-ssl-myssl] pki-domain domain1
    • [H3C-ssl-myssl] client-verify enable
    • [H3C-ssl-myssl] quit
  4. 配置 WLAN 业务模板 :创建 WLAN 业务模板,启用 802.1X 认证,关联之前配置的 AAA 认证方法列表,并绑定到相应的 VLAN 上。
    • [H3C] wlan service-template mixed
    • [H3C-wlan-st-mixed] client-auth-mode eap
    • [H3C-wlan-st-mixed] eap authentication-method eap
    • [H3C-wlan-st-mixed] ssid mixed
    • [H3C-wlan-st-mixed] akm mode none
    • [H3C-wlan-st-mixed] encryption-configuration enable
    • [H3C-wlan-st-mixed] cipher-suite none
    • [H3C-wlan-st-mixed] service-template enable
  5. 配置安全套件和接入策略 :指定安全套件为 WPA2,加密算法为 AES-CCMP,并创建接入控制策略,限制客户端的接入方式为 802.1X 认证。
    • [H3C] wlan security-suite mixed
    • [H3C-wlan-security-suite-mixed] security-prototype wpa2
    • [H3C-wlan-security-suite-mixed] cipher-suite cc_mp
    • [H3C-wlan-security-suite-mixed] quit
    • [H3C] wlan access-control mixed
    • [H3C-wlan-access-control-mixed] authentication-mode dot1x-only
    • [H3C-wlan-access-control-mixed] quit
  6. 绑定 WLAN 业务模板与安全套件及接入策略 :将 WLAN 业务模板与之前配置的安全套件和接入策略进行绑定。
    • [H3C-wlan-st-mixed] security-suite mixed
    • [H3C-wlan-st-mixed] access-control mixed
    • [H3C-wlan-st-mixed] quit
  7. 配置 AP 的射频接口 :在 AP 上创建服务模板,并绑定到相应的射频接口上,同时指定 VLAN 和 WLAN 业务模板。
    • [H3C] wlan ap ap1 model WA4320i-ACN
    • [H3C-wlan-ap-ap1] radio 3
    • [H3C-wlan-ap-ap1-radio-3] service-template mixed vlan 10
    • [H3C-wlan-ap-ap1-radio-3] quit
    • [H3C-wlan-ap-ap1] quit
  8. 启动无线接入功能 :启动无线接入点的无线接入功能。
    • [H3C] wlan ap ap1 radio 3 enable

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2025新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明