提到无线802.1x逃生,大家可能会考虑以下三种配置方式的逃生:
1 在domin域指定备选为none的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。
domain dot1x
authentication lan-access radius-scheme dot1x none
authorization lan-access radius-scheme dot1x none
accounting lan-access radius-scheme dot1x none
但是,请注意:这种方法需要使用chap方式(dot1x authentication-method chap),且要结合inode客户端才可以生效
2 配置critical-vlan的方式(不建议)
在服务模板下配置了critical-vlan,配置如下
wlan service-template X
client-security authentication critical-vlan X
参考无线控制器命令手册中该命令的使用指导可以发现:加密状态下的802.1X认证不支持该方式的逃生( 如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN ),而如果配置不加密,802.1X也就失去了认证的意义, 所以我们不建议使用该方式进行1认证的逃生。
【使用指导】
Critical VLAN功能允许用户认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。配置Critical VLAN后,当用户认证时,若所有认证服务器都不可达,则用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证:
· 如果重认证通过,设备会根据授权服务器是否下发VLAN来重新指定该用户所在VLAN。即如果授权服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN。
· 如果重认证未通过,当认证服务不可达时,用户仍然仅可访问Critical VLAN中的资源,当认证服务器可达但因某种原因明确拒绝用户认证通过,且配置了Fail VLAN时,用户可以访问Fail VLAN中的资源。
需要注意的是,如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN。
3 逃生服务模板方式
以下重点介绍该逃生方式
逃生服务模板方式即需要配置fail-permit enable和fail-permit template(具体配置参考该案例最后一部分)。
参考无线控制器命令手册中该两条命令的使用指导可以发现以下要点:
1.当用户采用802.1X认证接入网络,使用fail-permit template命令提前配置好逃生服务模板。发生逃生时,用户服务会被切换到逃生服务模板上。逃生服务模板自动enable,但终端需手动重新连接逃生服务模板后才可继续访问网络。
2. 逃生后使用的无线服务模板与开启802.1X认证的无线服务模板是两个不同的服务模板,这两个无线服务模板下配置的client-security authentication-location、client forwarding-location、client association-location参数必须保持一致。
3.用户要逃生成功必须通过radius-server test-profile命令配置RADIUS服务器探测模板,当探测到RADIUS服务器不可达时,用户进行逃生。同时,建议根据实际情况配置发送探测报文的周期,周期越短,响应越快。
4. 建议系统中仅配置一个802.1X认证逃生服务模板,如果配置多个,则第一个绑定到Radio的逃生服务模板生效。建议配置802.1X认证逃生服务模板时将akm mode配置为psk模式或不配置akm mode,否则可能导致逃生失败。
下面列出该种逃生方式的配置关键点。
#
wlan service-template 1x3
ssid AAA-Office
vlan 200
fail-permit enable keep-online \\ 在开启802.1X认证的服务模板下启用逃生功能,keep-online为可选参数
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain dot1x
service-template enable
#
wlan service-template 1x9
ssid AAA-Office-TS
vlan 200
fail-permit template \\ 将服务模板1x9配置为逃生服务模板
service-template enable
#
radius session-control enable
radius session-control client ip 192.168.3.21 key simple xxx
radius-server test-profile taosheng \\ 创建radius-server test-profile
#
radius scheme dot1x
primary authentication 192.168.3.21 key simple xxx test-profile taosheng \\ 引用这一test-profile
primary accounting 192.168.3.21
key authentication simple xxx
key accounting simple xxx
user-name-format without-domain
nas-ip 1.1.1.1
#
domain dot1x
authentication lan-access radius-scheme dot1x
authorization lan-access radius-scheme dot1x
accounting lan-access radius-scheme dot1x
#
wlan ap ap1 model WA4320i-ACN
serial-id xxxxxxxx
vlan 1
radio 1
max-power 15
radio enable
service-template 1x3 \\ 绑定开启802.1X认证的无线服务模板
service-template 1x9 \\ 绑定配置逃生功能的无线服务模板
radio 2
gigabitethernet 1
gigabitethernet 2
#
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论