• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

dot1x逃生配置

2024-05-24提问
  • 0关注
  • 0收藏,320浏览
粉丝:0人 关注:5人

问题描述:

dot1x认证逃生怎么配置  , 在radius服务里面吗?

组网及组网描述:

最佳答案

粉丝:237人 关注:8人

提到无线802.1x逃生,大家可能会考虑以下三种配置方式的逃生:

1  在domin域指定备选为none的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。

domain dot1x

authentication lan-access radius-scheme dot1x none

authorization lan-access radius-scheme dot1x none

accounting lan-access radius-scheme dot1x none

但是,请注意:这种方法需要使用chap方式(dot1x authentication-method chap),且要结合inode客户端才可以生效

2 配置critical-vlan的方式(不建议)

在服务模板下配置了critical-vlan,配置如下

wlan service-template X

client-security authentication critical-vlan X

参考无线控制器命令手册中该命令的使用指导可以发现:加密状态下的802.1X认证不支持该方式的逃生( 如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN ),而如果配置不加密,802.1X也就失去了认证的意义, 所以我们不建议使用该方式进行1认证的逃生。

【使用指导】 

Critical VLAN功能允许用户认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。配置Critical VLAN后,当用户认证时,若所有认证服务器都不可达,则用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证: 

·  如果重认证通过,设备会根据授权服务器是否下发VLAN来重新指定该用户所在VLAN。即如果授权服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN。

 ·  如果重认证未通过,当认证服务不可达时,用户仍然仅可访问Critical VLAN中的资源,当认证服务器可达但因某种原因明确拒绝用户认证通过,且配置了Fail VLAN时,用户可以访问Fail VLAN中的资源。

需要注意的是,如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN。  

3 逃生服务模板方式

以下重点介绍该逃生方式


配置步骤

逃生服务模板方式即需要配置fail-permit enable和fail-permit template(具体配置参考该案例最后一部分)。

参考无线控制器命令手册中该两条命令的使用指导可以发现以下要点: 

1.当用户采用802.1X认证接入网络,使用fail-permit template命令提前配置好逃生服务模板。发生逃生时,用户服务会被切换到逃生服务模板上。逃生服务模板自动enable,但终端需手动重新连接逃生服务模板后才可继续访问网络。 

2. 逃生后使用的无线服务模板与开启802.1X认证的无线服务模板是两个不同的服务模板,这两个无线服务模板下配置的client-security authentication-location、client forwarding-location、client association-location参数必须保持一致

3.用户要逃生成功必须通过radius-server test-profile命令配置RADIUS服务器探测模板,当探测到RADIUS服务器不可达时,用户进行逃生。同时,建议根据实际情况配置发送探测报文的周期,周期越短,响应越快。

4. 建议系统中仅配置一个802.1X认证逃生服务模板,如果配置多个,则第一个绑定到Radio的逃生服务模板生效。建议配置802.1X认证逃生服务模板时将akm mode配置为psk模式或不配置akm mode,否则可能导致逃生失败。 

下面列出该种逃生方式的配置关键点。


配置关键点

#

wlan service-template 1x3

 ssid AAA-Office

 vlan 200

 fail-permit enable keep-online                  \\ 在开启802.1X认证的服务模板下启用逃生功能,keep-online为可选参数

 akm mode dot1x

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode dot1x

 dot1x domain dot1x

 service-template enable

#

wlan service-template 1x9

 ssid AAA-Office-TS

 vlan 200

 fail-permit template                                \\ 将服务模板1x9配置为逃生服务模板

 service-template enable

#

radius session-control enable 

radius session-control client ip 192.168.3.21 key simple xxx

radius-server test-profile taosheng             \\ 创建radius-server test-profile

radius scheme dot1x 

primary authentication 192.168.3.21 key simple xxx test-profile taosheng             \\ 引用这一test-profile

primary accounting 192.168.3.21 

key authentication  simple xxx    

key accounting  simple xxx        

user-name-format without-domain 

nas-ip 1.1.1.1 

domain dot1x

 authentication lan-access radius-scheme dot1x

 authorization lan-access radius-scheme dot1x

 accounting lan-access radius-scheme dot1x

#

wlan ap ap1 model WA4320i-ACN 

serial-id xxxxxxxx 

vlan 1 

radio 1   

max-power 15   

radio enable   

service-template 1x3               \\ 绑定开启802.1X认证的无线服务模板

service-template 1x9                \\ 绑定配置逃生功能的无线服务模板

radio 2   

gigabitethernet 1 

gigabitethernet 2 


暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明