本特性在WLAN NAS设备上支持本地对无线用户进行认证的功能。对于组网中不支持EAP认证的AAA Server,本特性通过实现EAP OffLoad功能,使NAS设备作为Client与AAA Server的桥梁,帮助二者顺畅的完成认证过程。
本特性提供了对WLAN接入用户的本地认证功能,支持MD5,EAP_TLS,PEAP_MSCHAPv2,多种认证方式,使得用户可以自如的根据需要灵活配置各种安全限制,同时不需要布置AAA服务器,减小了网络拓扑图的复杂度。一、组网图
二、使用版本以及详细配置命令
请自行下载文档查看: http://pan.baidu.com/s/1Eccjt
三、主要配置步骤说明
# 获取CA证书和本地证书(针对EAP_TLS,PEAP_MSCHAPv2认证方式)
若AC上已经保存了CA证书文件和本地证书文件,则使用离线方式将其导入本地。否则,需要在线申请AC的本地证书并获取CA证书。证书所在的PKI域的具体配置请参见PKI相关配置,此处略。
# 配置WLAN服务,在无线口配置端口安全模式为Dot1x方式。
[AC] interface WLAN-ESS 1 [AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext [AC-WLAN-ESS1] quit [AC] wlan service-template 1 clear [AC-wlan-st-1] ssid local_auth [AC-wlan-st-1] bind WLAN-ESS 1 [AC-wlan-st-1] authentication-method open-system [AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit [AC]# 配置域,并使能为缺省域。
[AC] domain h3c New Domain added. [AC-isp-h3c] authentication lan-access local [AC-isp-h3c] authorization lan-access local [AC-isp-h3c] accounting lan-access local [AC-isp-h3c] quit [AC] domain default enable h3c#配置Dot1x认证为EAP方式,并使能端口安全。
[AC] dot1x authentication-method eap [AC] port-security enable# 配置本地认证方式为md5,并使能本地认证服务。
[AC] eap-profile eap [AC-eap-prof-eap] method md5 [AC-eap-prof-eap] quit# 配置本地服务器,并指定使用的EAP Profile为eap
[AC] local-server authentication eap-profile eap
# 创建本地用户,服务类型为lan-access
[AC] local-user eap New local user added. [AC-luser-eap] password simple eap [AC-luser-eap] service-type lan-access [AC-luser-eap] group system
# 配置AP并绑定无线服务模板(AP的配置请根据具体的AP和序列号进行配置)。
[AC] wlan ap wa1208 model WA1208E-GP [AC-wlan-ap-wa1208] serial-id 1234567890 [AC-wlan-ap-wa1208] radio 1 [AC-wlan-ap-wa1208-radio-1] service-template 1 [AC-wlan-ap-wa1208-radio-1] radio enable [AC-wlan-ap-wa1208-radio-1] quit [AC-wlan-ap-wa1208]quit [AC]
使无线客户端关联到该无线网络,使用iNode客户端登录,输入本地的用户名和密码(本例中用户名和密码均为eap),有预期结果1;
验证结果
使用iNode客户端登录,认证成功。
