现场无线控制器使用WX3508H,C5417P01版本
现场想要配置1x逃生功能,使用命令authentication lan-access radius-scheme xxx none实现,配置后发现,在有线组网中该命令生效了,可以通过该命令实现1x逃生,但是在无线组网中,该命令不生效,当radius认证无效时,不能通过配置的备用认证方式none实现逃生,客户端无法上网。
# domain free1x1
authentication lan-access radius-scheme free1x none
authorization lan-access radius-scheme free1x none
accounting lan-access radius-scheme free1x none
确认配置无问题后,查看debug,发现确实在三次尝试radius报文交互失败后,将server处于block状态了。 debug radius可以看到:
% Set status of server to block successfully. serverIP: 10.1.1.55, serverPort: 1812.
802.1x协议从功能上可以分为两大部分:认证部分和密钥协商部分。其中,认证部分需要客户端、设备和认证服务器共同参与,最终完成对客户端的接入认证,特别在WLAN协议中还会在客户端和认证服务器(包括设备)端协商一个radius key,该密钥将被作为后续密钥协商的种子密钥。而密钥协商部分(4-way handshake)只是在设备和客户端之间进行交互,完成对称密钥的协商和生成,生成的密钥最终会作为802.11链路使用的系列密钥。 由此可知,无线1x中继的方式,只有在认证成功后,才会进行4次握手key协商,然后传输加密的数据报文,如果不与服务器交互协商密钥,则下面的步骤无法进行,进而无法加密报文传输。因此中继的方式从协议层面就无法做到逃生。 而chap(终结)结合inode客户端,做的是非加密的,所以该方式可以做逃生操作,但是报文是明文传输并不安全,因此一般的无线1x认证都使用的是中继加密的方法。
所以,我司目前无线1x逃生,在chap的方式下并结合inode客户端可以生效,eap的方式无法生效,现场配置的是eap方式。而chap属于终结方式,不涉及证书认证,并且chap方式必须结合我司inode客户端实现。
修改1x认证方式为chap并结合inode之后解决
#
wlan service-template 4
ssid free1x
vlan 100
client-security authentication-mode dot1x
dot1x domain free1x1
service-template enable
#
#
domain free1x1
authentication lan-access radius-scheme free1x none
authorization lan-access radius-scheme free1x none
accounting lan-access radius-scheme free1x none
#
#
radius scheme free1x
primary authentication 172.31.3.252
primary accounting 172.31.3.252
key authentication cipher $c$3$zI9cHsibr6OzK+mUhvFN5OjxoPU1tGlb
key accounting cipher $c$3$MUVG3WeorUCni84aGrmNZKHCvPHmvEkG
retry 2
timer quiet 10
timer response-timeout 2
nas-ip 172.31.3.5
#
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作