H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密),不加密码的认证方式用户设备端需要安装客户端
H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密),无线网络的认证方式配置为不加密时需要安装客户端或配置802.1X
H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密)
(1)无线控制器上新增radius方案
对应的命令:
radius scheme test1
primary authentication 172.28.168.11 key cipher $c$3$ndbcs9iyvodfr2H4S5VRhKn83Z9ZyBlnJgX/uxCI
primary accounting 172.28.168.11
#
(2)无线控制器新增ISP域
对应的命令:
#
domain zh-cjh.com
authentication lan-access radius-scheme test1
authorization lan-access radius-scheme test1
accounting lan-access radius-scheme test1
#
(3)802.1X认证方式配置为EAP,分隔符为@
注意:先开启EAD快速部署辅助功能,
EAD快速部署允许未通过认证的802.1X用户访问一个指定的IP地址段。
认证方法配置为EAP, 分隔符号配置为@
对应的命令:
#
dot1x authentication-method eap
dot1x ead-assistant enable
dot1x ead-assistant free-ip 172.20.20.12 255.255.255.255
#EAD快速部署:用户在未通过802.1X认证之前能够访问的网段
#
interface GigabitEthernet1/0
port link-mode bridge
dot1x
(4)无线控制器配置SSID
新加SSID并进行配置
wlan service-template e1
ssid e1
client max-count 512
quick-association enable
user-isolation enable
#
wlan service-template e1
ssid e1
client max-count 512
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
dot1x re-authenticate enable
dot1x domain zh-cjh.com
#
wlan service-template e1
ssid e1
client max-count 512
client association-location ap
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
dot1x re-authenticate enable
dot1x domain zh-cjh.com
#
wlan service-template e1
ssid e1
client max-count 512
client association-location ap
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
client-security intrusion-protection enable
client-security intrusion-protection timer temporary-block 200
dot1x re-authenticate enable
dot1x domain zh-cjh.com
#
开启无线服务
wlan service-template e1
ssid e1
client max-count 512
client association-location ap
quick-association enable
user-isolation enable
client-security authentication-mode dot1x
client-security intrusion-protection enable
client-security intrusion-protection timer temporary-block 200
dot1x re-authenticate enable
dot1x domain zh-cjh.com
service-template enable
#
(5)(千万点开启802.1X,因为这一步不需要配置)开启802.1x(不在全局启用802.1X)
结果:无线控制器也登录不上,ap也全部掉线,只能从console进去 undo dot1x。
[ac-172.20.20.232]undo dot1x
解决:全部不启用dot1x
(6.1)使用H3C iNode客户端进行测试
直接测试认证:失败,在radius服务器查询发现报认证方式有问题,如下所示:
原因:群晖目前版本(radius3.0版本)只支持pap方式
解决:
无线控制器: dot1x authentication-method pap
结果:成功
测试网络也正常。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密),不加密码的认证方式用户设备端需要安装客户端
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm