正文共:1024 字 12 图,预估阅读时间:2 分钟
通过上次实验(MSR810配置本地认证的有线802.1X认证),我们初步掌握了802.1X协议的一些基础配置。上次实验中,我们在MSR810-W的LAN接口上对所接入的用户和设备进行了认证,可以控制用户设备对网络资源的访问。
日常使用中,除了传统的有线网络,802.1X认证在无线网络中的使用率也不断攀升,我们现在已经知道,客户端系统即终端设备,当客户端使用WLAN接入时,认证端口也必须支持WLAN接口。
碰巧我的MSR810-W也支持WLAN功能,并且在上次验证配置时,我们也看到了WLAN相关的信息,证明设备应该支持无线802.1X认证,我们今天就来测试一下。
注意:无特殊组网要求的情况下,无线环境中通常使用端口安全特性。在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性。
为了配置方便,我们今天的案例仍使用MSR810-W自带的本地认证,用户必须设置为lan-access服务类型的网络接入类用户,如下所示:
#local-user tietou class networkpassword simple tietou1xservice-type lan-accessauthorization-attribute user-role network-operator
对应的,我们新建一个domain域802.1x,并将lan-access用户的认证方法和授权方法配置为local本地认证,不配置计费。
#domain 802.1xauthentication lan-access localauthorization lan-access local
缺省情况下,设备采用的认证方法为EAP终结方式,该方式下,设备对客户端发送的EAP报文可以支持本地认证的本地终结处理;认证时,默认使用CHAP类型的认证方法,满足安全性的要求。
需要注意的是,无线802.1X认证的开启不是在无线接口上,而是在无线服务模板上。不过,仍然要在同时开启全局和无线服务模板的802.1X后,802.1X的配置才能生效。
当选择AKM(Authentication and Key Management,身份认证与密钥管理)模式为802.1X时,WLAN用户接入认证模式只能配置为802.1X模式。当AKM配置为PSK模式时,必须配置PSK密钥;当AKM配置为802.1X模式时,无需配置PSK密钥。若配置了PSK密钥,无线服务模板依旧可以使能,但配置不会生效。(也有可能配置异常,无法连接)
为了方便起见,我们就不配置AKM了,只需将用户接入方式配置为802.1X认证即可。
#wlan service-template h4cssid h5cauthentication-mode dot1x
除此之外,我们还要使用命令dot1x domain来指定无线服务模板下802.1X用户的认证域,和有线认证选择认证域的顺序类似,无线认证的选择顺序为:无线服务模板下指定的认证域>用户名中指定的认证域>系统缺省的认证域。
配置完成后使能无线服务模板即可,则开启无线801.1X的配置为:
#dot1x#wlan service-template h4cssid h5cauthentication-mode dot1xdot1x domain 802.1xenable
最后,我们使用H3C iNode客户端的802.1X功能进行连接,定制和安装过程参考之前的文章(MSR810配置本地认证的有线802.1X认证)。
首先连接WLAN,此时我们可以看到无线处于开放状态,可以点击“连接”按钮直接接入WLAN。
接入成功后,WLAN处于无Internet的状态。
接下来,我们运行客户端,首先点击更多中的“属性”,修改认证配置。
在“常规”选项卡,我们将网卡修改为使用中的无线网卡,并且确认802.1X连接属性中的“上传客户端版本号”选项未被选中。
点击“确定”回到连接页面,输入用户名和密码进行认证,此时客户端可以正常上线。
在设备上,我们可以使用命令查看设备上802.1X的配置和状态信息,此时无法再使用interface筛选无线接口,因为interface只能选择到有线接口。
display dot1x当802.1X用户输入正确的用户名和密码成功上线后,可使用命令查看到上线用户的连接情况。
display dot1x connection还可以查看802.1X的会话连接信息。
因为路由器开启了DHCP功能,所以终端通过802.1X认证之后可以正常获取IP地址,可以从设备上查看地址分配情况。
可以看到,客户端的MAC地址显示比正常的多了两位,前两位为Client identifier,代表硬件类型,此处值为01,即表示以太网。
友情提醒,如果配置了AKM模式为802.1X,则会在连接时就要求输入用户名和密码。
而此时因为认证机制问题,无论我们如何输入或调整,都会认证失败。
查看失败原因,提示为认证方法错误,无论如何调整都不能解决。
长按二维码
关注我们吧
