1.4.3  802.1X认证典型配置举例

1. 组网需求

·     无线控制器AC和RADIUS服务器通过二层交换机建立连接。AC的IP地址为10.18.1.1，与AC相连的RADIUS服务器的IP地址为10.18.1.88。

·     要求使用802.1X方式进行用户身份认证。

2. 组网图

图1-13 802.1X典型配置组网图

3. 配置步骤

(1)     配置AC

# 启用端口安全。

<AC> system-view

[AC] port-security enable

# 配置802.1X用户的认证方式为EAP。

[AC] dot1x authentication-method eap

# 创建RADIUS方案rad，指定extended类型的RADIUS服务器，表示支持与服务器交互扩展报文。

[AC] radius scheme rad

[AC-radius-rad] server-type extended

# 配置主认证RADIUS服务器的IP地址10.18.1.88，主计费RADIUS服务器的IP地址10.18.1.88。

[AC-radius-rad] primary authentication 10.18.1.88

[AC-radius-rad] primary accounting 10.18.1.88

# 配置系统与认证RADIUS服务器交互报文时的共享密钥为12345678，系统与计费RADIUS服务器交互报文时的共享密钥为12345678。

[AC-radius-rad] key authentication 12345678

[AC-radius-rad] key accounting 12345678

[AC-radius-rad] user-name-format without-domain

[AC-radius-rad] quit

# 添加认证域cams，并为该域指定对应的RADIUS认证方案为rad。

[AC] domain cams

[AC-isp-cams] authentication lan-access radius-scheme rad

[AC-isp-cams] authorization lan-access radius-scheme rad

[AC-isp-cams] accounting lan-access radius-scheme rad

[AC-isp-cams] quit

# 在接口WLAN-ESS1上配置802.1X用户的强制认证域cams。

[AC] interface WLAN-ESS 1

[AC-WLAN-ESS1] dot1x mandatory-domain cams

# 配置端口安全模式为userlogin-secure-ext，并启用端口11key类型的密钥协商功能。

[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS1] port-security tx-key-type 11key

# 关闭802.1X多播触发功能和在线用户握手功能。

[AC-WLAN-ESS1] undo dot1x multicast-trigger

[AC-WLAN-ESS1] undo dot1x handshake

[AC-WLAN-ESS1] quit

# 创建服务模板1（加密类型服务模板），配置SSID为dot1x，加密方式为TKIP和AES-CCMP。

[AC] wlan service-template 1 crypto

[AC-wlan-st-1] ssid dot1x

[AC-wlan-st-1] bind WLAN-ESS 1

[AC-wlan-st-1] authentication-method open-system

[AC-wlan-st-1] cipher-suite tkip

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

[AC-wlan-st-1] security-ie wpa

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 配置AP 1：创建AP 1的模板，名称为ap1，型号名称选择WA3628i-AGN，并配置AP 1的序列号为210235A29G007C000020。

[AC] wlan ap ap1 model WA3628i-AGN

[AC-wlan-ap-ap1] serial-id 210235A29G007C000020

# 将服务模板1绑定到AP 1的radio 1口。

[AC-wlan-ap-ap1] radio 1 type dot11an

[AC-wlan-ap-ap1-radio-1] service-template 1

[AC-wlan-ap-ap1-radio-1] radio enable

(2)     配置RADIUS server（iMC V3）

# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

·     设置认证、计费共享密钥为12345678；

·     设置认证及计费的端口号分别为1812和1813；

·     选择协议类型为LAN接入业务；

·     选择接入设备类型为H3C；

·     选择或手工增加接入设备，添加IP地址为10.18.1.1的接入设备。

图1-14 增加接入设备

# 增加服务配置。

选择“业务”页签，单击导航树中的[接入业务/服务配置管理]菜单项，进入增加服务配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

·     设置服务名为dot1x；

·     选择认证证书类型为EAP-PEAP认证，认证证书子类型为MS-CHAPV2认证。

图1-15 增加服务配置页面

# 增加接入用户。

选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户]菜单项，进入用户页面，在该页面中单击<增加>按钮，进入增加接入用户页面。

·     添加用户名user；

·     添加帐号名为user，密码为dot1x；

·     选中刚才配置的服务dot1x。

图1-16 增加接入用户

(3)     配置RADIUS server（iMC V5）

# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

·     设置认证、计费共享密钥为12345678，其它保持缺省配置；

·     选择或手工增加接入设备，添加IP地址为10.18.1.1的接入设备。

图1-17 增加接入设备

# 增加服务配置。

选择“业务”页签，单击导航树中的[接入业务/服务配置管理]菜单项，进入增加服务配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

·     设置服务名为dot1x；

图1-18 增加服务配置页面

# 增加接入用户。

选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户]菜单项，进入用户页面，在该页面中单击<增加>按钮，进入增加接入用户页面。

·     添加用户user；

·     添加帐号名为user，密码为dot1x；

·     选中刚才配置的服务dot1x。

图1-19 增加接入用户

(4)     验证结果

无线客户端通过802.1X认证成功关联AP，并且可以访问无线网络。

可以使用display wlan client verbose、display connection和display dot1x命令查看上线的无线客户端。

·     下述配置步骤中包含了若干AAA/RADIUS协议的配置命令，关于这些命令的详细介绍请参见“安全配置指导”中的“AAA”。

·     完成RADIUS服务器的配置，安装证书并添加用户账户，保证用户的认证/授权/计费功能正常运行。

·     完成客户端802.1X的配置，安装证书。

下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102），说明RADIUS server的基本配置。

下面以iMC为例（使用iMC版本为：iMC PLAT 5.0、iMC UAM 5.0），说明RADIUS server的基本配置。