cjh H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(加密)
H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(加密)
拓扑信息:
华三无线控制器:172.20.20.232
华三AP:型号略
radius服务器:172.28.168.11
客户端:windows10笔记本电脑
(1)radius服务配置(略)
(2)无线控制器上新增radius方案
对应的命令:
radius scheme test1
primary authentication 172.28.168.11 key cipher $c$3$ndbcs9iyvodfr2H4S5VRhKn83Z9ZyBlnJgX/uxCI
primary accounting 172.28.168.11
#
(3)无线控制器新增ISP域
对应的命令:
#
domain zh-cjh.com
authentication lan-access radius-scheme test1
authorization lan-access radius-scheme test1
accounting lan-access radius-scheme test1
#
(4)802.1X认证方式配置为EAP,分隔符为@ (千万别点下图的“开启802.1X”,否则到时可能只能通过console连接到无线控制器)
注意:关于“用户在未通过802.1X认证之前能够访问的网段”不是必需的配置,可以根据情况选择。
认证方法配置为EAP, 分隔符号配置为@
对应的命令:
#
dot1x authentication-method eap
dot1x ead-assistant enable
dot1x ead-assistant free-ip 172.20.20.12 255.255.255.255
#EAD快速部署:用户在未通过802.1X认证之前能够访问的网段
#
interface GigabitEthernet1/0
port link-mode bridge
dot1x
(5)无线控制器配置SSID
新加SSID并进行配置
wlan service-template e1
ssid e1
client max-count 512
quick-association enable
user-isolation enable
#
wlan service-template e1
ssid e1
client max-count 512
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
dot1x re-authenticate enable
dot1x domain zh-cjh.com
#
#
wlan service-template e1
ssid e1
client max-count 512
client association-location ap
quick-association enable
user-isolation enable
akm mode dot1x
cipher-suite ccmp
cipher-suite tkip
security-ie rsn
security-ie wpa
client-security authentication-mode dot1x
dot1x re-authenticate enable
dot1x domain zh-cjh.com
service-template enable
#
wlan service-template e1
ssid e1
client max-count 512
client association-location ap
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
dot1x re-authenticate enable
dot1x domain zh-cjh.com
#
wlan service-template e1
ssid e1
client max-count 512
client association-location ap
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
client-security intrusion-protection enable
client-security intrusion-protection timer temporary-block 200
dot1x re-authenticate enable
dot1x domain zh-cjh.com
#
开启无线服务
wlan service-template e1
ssid e1
client max-count 512
client association-location ap
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
client-security intrusion-protection enable
client-security intrusion-protection timer temporary-block 200
dot1x re-authenticate enable
dot1x domain zh-cjh.com
service-template enable
#
(6)使用windows10连接测试
电脑或者手机连接wifi,自动弹出用户名密码的输入框,直接登录即可。
备注:安卓、苹果手机测试了,过程也类似上图,输入用户名密码就可以。
备注:用户下次连接网络时,直接就可以上网,不需要重新再输入用户名密码,如果需要重新输入用户名密码,则可以在终端设备上点“忘记密码”、“删除网络”或者“忽略此网络”。
电脑互联网已经可以通了,如下图所示:
(7)查看记录
在无线平台上可以看到这个用户是通过802.1x认证上网。
<ac-172.20.20.232>display wlan client verbose
在Radius Server服务器上可以看到认证记录。
完。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(加密)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm