本手册适用于如下产品:V9 AC系列产品,包含:WX3500X系列产品。
无线电脑连接 SSID:802.1x 后,无线电脑自动获取 192.168.0.0/24网段 ip,网关 vlan1的 ip 地址:192.168.0.1/24,想要实现对无线用户的统一管理和认证功能。
设备本身提供认证服务,并作为无线网络的网关设备,客户端通过输入账号密码进行认证登录。
注:加密的方式手机端可以支持1x认证,连接wifi的时候可以直接弹出输入用户名密码的位置,电脑端认证需要安装inode客户端。
在 “网络配置”>“管理协议”>“DHCP”中开启DHCP服务器。
#点击“地址池”添加地址池。
#地址池名称选择“1”。
#创建用于下发的网段地址,这个地址一定要和LAN口IP地址在同一网段。
#在地址池中添加网关信息或者DNS信息,输入完成后一定要点击“+”符号添加。
#在“无线配置”> “AP全局配置”中将自动AP与自动固化开启(默认都是关闭的,显示蓝底白字的“开”,是开启状态)。
#首次注册可能等待15分钟左右,在 “无线配置”>“AP管理”>“AP”中查看AP是否上线成功,AP如果已经上线会在状态中显示为在线状态。
#AP上线后默认会归到default-group组,在“无线配置”>“AP管理”>“AP组”中,选择组网中的AP型号,并在右下角开启该类型AP射频口。
进入到>“网络安全”>“接入认证”>“802.1X”中开启802.1X功能。
#设置认证方法为EAP
#创建ISP域。进入到>“网络安全”>“AAA”>“ISP域”,单击页面isp中的加号,进入到“添加ISP域”。设置认证域为“802.1x”,接入方式为LAN接入,认证为本地认证。
在文件管理中上传证书文件cacert.crt和local.pfx,web页面导入操作如下:
#在“系统”>“文件管理”中点击,上传cacert.crt和local.pfx这两个文件。
命令行导入证书,红色标注是需要在命令行输入的命令:
<H3C>sys
[H3C]pki import domain eap pem ca filename cacert.crt
The trusted CA's finger print is:
MD5 fingerprint:CEA3 E3EF C7B6 6BFD 8D9E 8174 606C 8D8E
SHA1 fingerprint:4D25 EA37 4885 5E94 3B0E 1B83 7AA7 290D 23A6 4EC3
Is the finger print correct?(Y/N):y
[H3C]pki import domain eap p12 local filename local.pfx
Please input the password:123456
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name[default name: eap]:123456
注:如果证书导入失败,可以执行undo crl check enable命令,关闭CRL检查,命令如下:
pki domain eap
undo crl check enable
报错内容如下:
[H3C]pki import domain eap p12 local filename local.pfx
Please input the password:
Verify result: unable to get certificate CRL
Failed to verify the local certificates.
Failed to import certificates.
#创建SSL服务器端策略,调用PKI域为eap
[H3C]ssl server-policy 1
[H3C-ssl-server-policy-1]pki-domain eap
[H3C-ssl-server-policy-1]qu
#创建eap-profile模板,配置认证方法为peap-gtc,调用SSL服务器端策略1
[H3C]eap-profile 1
New Eap-Profile.
[H3C-eap-profile-1]
[H3C-eap-profile-1]method peap-gtc
[H3C-eap-profile-1]ssl-server-policy 1
[H3C-eap-profile-1]qu
#点击 “无线配置“>“无线服务配置”,点击页面中加号,配置ssid:802.1x,开启服务模版,认证模式选择 “802.1x认证”,安全模式选择“WAP2”,域名输入“802.1x”
如图所示页面,并单击“确定并进入高级设置”,选择“绑定选项,选择带选项中的ap移到“已选项”中。
进入高级设置中绑定AP的射频:
#在命令行调用下eap-profile模板:
[H3C]wlan service-template 3
[H3C-wlan-st-3]undo service-template enable
[H3C-wlan-st-3]dot1x eap-termination eap-profile 1
[H3C-wlan-st-3] service-template enable
#点击 “网络安全”>“用户管理”>“本地用户”,点击页面中加号,配置本地认证用户test1,密码test1,勾选可用服务“LAN接入”。
#点击右上角的“admin”>“保存”
#也可以点击 “系统”>“设备管理”>“配置文件”>“保存当前配置”。
#苹果手机打开无线网卡,搜到wifi名为“802.1x”的信号,点击连接。
点击连接会弹出证书信任页面,点击信任即可连接成功:
#安卓手机认证,打开无线网卡,找到wifi名字为“802.1x”的信号,EAP认证选择“PEAP”,身份验证选择“GTC”,CA证书“不验证”,身份栏输802.1x认证的用户名,填写密码,点击连接即可认证成功。
Inode客户端需要定制无线连接才可以进行802.1x认证。
INODE版本E0583拨号如下,打开inode选择无线连接,找到wifi名字为“802.1x”的信号,点击会弹出输入1x认证用户名密码的地方,点击“连接”即可认证成功。
认证成功:
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作