H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密),不加密码的认证方式用户设备端需要安装客户端

 H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密),无线网络的认证方式配置为不加密时需要安装客户端或配置802.1X

H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密)

1)无线控制器上新增radius方案

1.png

2.png

对应的命令:

radius scheme test1

 primary authentication 172.28.168.11 key cipher $c$3$ndbcs9iyvodfr2H4S5VRhKn83Z9ZyBlnJgX/uxCI

 primary accounting 172.28.168.11

#

 

2)无线控制器新增ISP

1.png

2.png

3.png

对应的命令:

#

domain zh-cjh.com

 authentication lan-access radius-scheme test1

 authorization lan-access radius-scheme test1

 accounting lan-access radius-scheme test1

#

 

3802.1X认证方式配置为EAP,分隔符为@

注意:先开启EAD快速部署辅助功能,

1.png

2.png

EAD快速部署允许未通过认证的802.1X用户访问一个指定的IP地址段。

1.png

2.png

3.png

认证方法配置为EAP, 分隔符号配置为@

1.png

对应的命令:

#

 dot1x authentication-method eap

 dot1x ead-assistant enable

 dot1x ead-assistant free-ip 172.20.20.12 255.255.255.255

#EAD快速部署:用户在未通过802.1X认证之前能够访问的网段

#

interface GigabitEthernet1/0

 port link-mode bridge

 dot1x

 

 

4)无线控制器配置SSID

新加SSID并进行配置

1.png

2.png

wlan service-template e1

 ssid e1

 client max-count 512

 quick-association enable

 user-isolation enable

#

1.png

wlan service-template e1

 ssid e1

 client max-count 512

 quick-association enable

 user-isolation enable

 client-security authentication-mode dot1x

 dot1x re-authenticate enable

 dot1x domain zh-cjh.com

#

1.png

wlan service-template e1

 ssid e1

 client max-count 512

 client association-location ap

 quick-association enable

 user-isolation enable

 client-security authentication-mode dot1x

 dot1x re-authenticate enable

 dot1x domain zh-cjh.com

#

1.png

wlan service-template e1

 ssid e1

 client max-count 512

 client association-location ap

 quick-association enable

 user-isolation enable

 client-security authentication-mode dot1x

 client-security intrusion-protection enable

 client-security intrusion-protection timer temporary-block 200

 dot1x re-authenticate enable

 dot1x domain zh-cjh.com

#

1.png

开启无线服务

1.png

wlan service-template e1

 ssid e1

 client max-count 512

 client association-location ap

 quick-association enable

 user-isolation enable

 client-security authentication-mode dot1x

 client-security intrusion-protection enable

 client-security intrusion-protection timer temporary-block 200

 dot1x re-authenticate enable

 dot1x domain zh-cjh.com

 service-template enable

#

 5)(千万点开启802.1X,因为这一步不需要配置)开启802.1x(不在全局启用802.1X

1.png

结果:无线控制器也登录不上,ap也全部掉线,只能从console进去 undo dot1x。

[ac-172.20.20.232]undo dot1x

 

解决:全部不启用dot1x

 

 

6.1)使用H3C iNode客户端进行测试

直接测试认证:失败,在radius服务器查询发现报认证方式有问题,如下所示:

原因:群晖目前版本(radius3.0版本)只支持pap方式

 

解决:

无线控制器: dot1x authentication-method pap

1.png

结果:成功


1.png

2.png

3.png

测试网络也正常。




1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » H3C无线控制器+第三方radius服务器(群晖NAS)实现用户802.1x认证(不加密),不加密码的认证方式用户设备端需要安装客户端

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!