• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

WX系列AC本地802.1X认证(EAP-PEAP方式)功能的配置

2011-08-31 发表
  • -1关注
  • 0收藏,4262浏览
粉丝: 关注:

WX系列AC本地802.1X认证(EAP-PEAP方式)功能的配置

一、 组网需求:

WX系列ACFIT AP、便携机(安装有无线网卡)

二、 组网图:

三、 特性介绍:

本特性在WLAN NAS设备上支持本地对无线用户进行认证的功能。对于组网中不支持EAP认证的AAA Server,本特性通过实现EAP OffLoad功能,使NAS设备作为STAAAA Server的桥梁,帮助二者顺畅的完成认证过程。

本特性提供了对WLAN接入用户的本地认证功能,支持MD5EAP_TLSEAP_MSCHAPv2EAP_PEAP多种认证方式,使得用户可以自如的根据需要灵活配置各种安全限制,同时不需要布置AAA服务器,减小了网络拓扑图的复杂度。

四、 配置信息:

#    

 sysname H3C 

#    

 domain default enable system 

#   

 telnet server enable 

#   

 port-security enable 

#   

 dot1x authentication-method eap                                                                                                         

#   

vlan 1  

#   

domain system 

 access-limit disable 

 state active  

 idle-cut disable   

 self-service-url disable 

#   

pki entity auth  

  common-name local-auth 

  organization h3c-auth  

#   

pki domain local 

  certificate request entity auth 

  crl check disable 

#     

dhcp server ip-pool zlb

 network 100.1.1.0 mask 255.255.255.0 

 gateway-list 100.1.1.1   

#   

user-group system  

user-group eap     

#    

local-user admin   

 password simple admin   

 authorization-attribute level 3   

 service-type telnet  

local-user eap   

 password simple eap  

 group eap 

 service-type lan-access

#    

wlan rrm   

 dot11a mandatory-rate 6 12 24  

 dot11a supported-rate 9 18 36 48 54 

 dot11b mandatory-rate 1 2 

 dot11b supported-rate 5.5 11  

 dot11g mandatory-rate 1 2 5.5 11  

 dot11g supported-rate 6 9 12 18 24 36 48 54 

#   

wlan service-template 1 crypto 

 ssid h3c-wpa  

 bind WLAN-ESS 1   

 cipher-suite tkip 

 security-ie wpa   

 service-template enable   

#   

ssl server-policy 1   

 pki-domain local      

 ciphersuite rsa_rc4_128_sha  

 handshake timeout 180    

 close-mode wait

 session  cachesize 1000 

#      

eap-profile eap1     

 ssl-server-policy 1    

 method peap-mschapv2  

#       

interface NULL0  

#   

interface Vlan-interface1  

 ip address 100.1.1.1 255.255.255.0 

#   

interface M-GigabitEthernet2/0/0   

#    

interface Ten-GigabitEthernet2/0/1    

#

interface WLAN-ESS1   

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key  

 undo dot1x handshake

wlan ap ap1_002 model WA2210-AG 

 serial-id 210235A29D0083000778 

 radio 1 

  channel 1  

  service-template 1  

  radio enable  

#  

 dhcp enable 

#  

 local-server authentication eap-profile eap1

#   

 load xml-configuration 

#  

user-interface con 0  

user-interface vty 0 4  

 authentication-mode scheme

 user privilege level 3  

#     

return

五、 主要配置步骤:

# 配置WLAN服务,在无线口配置端口安全模式为dot1x方式

#

wlan service-template 1 crypto 

 ssid eap 

 bind WLAN-ESS 1 

 cipher-suite tkip 

 security-ie wpa   

 service-template enable

#

 

#

interface WLAN-ESS1

 port-security port-mode userlogin-secure-ext 

 port-security tx-key-type 11key 

 undo dot1x handshake   

#

#配置dot1x认证为eap方式,并使能端口安全;

[AC]dot1x authentication-method eap

[AC]port-security enable

#配置PKI参数                                                                           

#

pki entity auth  

  common-name local-auth   

  organization h3c-auth    

#        

pki domain local 

  certificate request entity auth 

  crl check disable 

#导入证书;

如果之前已经导入过证书,需要先销毁公共密钥,才能再进行证书导入:

[AC]public-key local destroy rsa                                               

Local key pair is in use by local certificate of domain "local" ,Do you want to delete local certificate first? [Y/N]:y

导入根证书:

[AC]pki import-certificate ca domain local der filename certnew.cer

The trusted CA's finger print is:  

    MD5  fingerprint:5710 DE77 4771 641F 5C38 8CF4 25DE 9CAA

    SHA1 fingerprint:02AB BAB7 F8CC 6D1E 3EF8 5EAB 5FBD B448 A8FE 24FA

 

Is the finger print correct?(Y/N):y 

 

Import CA certificate successfully.

%Oct 17 17:02:33:554 2008 H3C PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain local is trusted.

[H3C] 

%Oct 17 17:02:33:563 2008 H3C PKI/4/Update_CA_Cert:Update CA certificates of the Domain local successfully.

%Oct 17 17:02:33:572 2008 H3C PKI/4/Import_CA_Cert:Import CA certificates of the domain local successfully.

 

导入Server SSL证书:

[AC] pki import-certificate local domain local p12 filename server_ssl.pfx

Please input challenge password:

Import local certificate successfully.

%Oct 17 17:06:26:777 2008 H3C PKI/4/Verify_Cert:Verify certificate CN=pt_web of the domain local successfully.

Import key pair successfully.

%Oct 17 17:06:26:783 2008 H3C PKI/4/Import_Local_Cert:Import local certificate of the domain local successfully.                                               

[H3C]

%Oct 17 17:06:26:838 2008 H3C PKI/4/Import_Local_Key:Import local private key of the domain local successfully.

[AC]

# 配置SSL服务策略;

ssl server-policy 1

 pki-domain local

 ciphersuite rsa_rc4_128_sha

 handshake timeout 180 

 close-mode wait 

 session  cachesize 1000

#   

# 配置本地认证方式为eap-peap,并使能本地认证服务;

[AC]eap-profile eap1

[AC-eap-prof-eap]method peap-mschapv2

[AC-eap-prof-eap]ssl-server-policy 1

[AC-eap-prof-eap]quit

[AC]local-server authentication eap-profile eap1

# 创建用户组

[AC]user-group eap

# 创建本地用户,服务类型为lan-access

#

local-user eap

 password simple eap

 group eap

 service-type lan-access

#

六、 结果验证:

本例使用Windows无线客户端进行验证:

1、在Windows无线客户端中,通过“刷新网络列表”搜索相应的SSID,本例中的SSIDh3c-wpa,然后选择“更改高级设置”,如下图所示:

2、在弹出的对话框中,选择“无线网络配置”,在“首选网络”中选择“h3c-wpa”,然后点击“属性”,如下图所示:

3、在弹出的“h3c-wpa属性”对话框中,在“关联”项中根据SSID的配置,在“网络验证 (A)”中选择“WPA”,在“数据加密 (D)”中选择“TKIP”,如下图所示:

4、选择“验证”项,在“EAP类型 (T)”中选择“受保护的EAP (PEAP)”,然后点击“属性”,如下图所示:

5、在弹出的“受保护的EAP属性”的对话框中,如需验证服务器证书,在“验证服务器证书 (V)”选项上打勾,否则勾掉该选项。然后点击“配置”,本例中不验证服务器证书,如下图所示:

6、在弹出的“EAP MSCHAPv2 属性”对话框中,勾掉“自动使用Windows登录名和密码”选项,然后选择“确定”。

7、按照以上步骤设置完成后,选择连接SSID h3c-wpa,对弹出的对话框中输入用户名111和密码111,如下图所示:

8、认证通过后,SSID h3c-wpa上会出现“已连接上”,并且客户端可正常访问网络,如下图所示:


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作