H3C WX系列AC+Fit AP 802.1x无线认证和CAMS配合

前言

IEEE 802.1x定义了基于端口的网络接入控制协议（port based network access control），该协议适用于接入设备与接入端口间点到点的连接方式，通过开关端口的状态来实现对报文转发的控制。

应用

802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过控制接入端口的开/关状态来实现，这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证，但在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。

注意事项

在配置过程中，请注意以下几点：

l   本配置举例设置的是无线接口上的802.1x认证。

l   在配置RADIUS时，primary authentication、primary accounting、server-type、key一定要配置正确，并且和RADIUS服务器一致。值得注意的是如果使用的是CAMS服务器一定要把server-type设置成extended，这样CAMS上一些私有设置才会被WX5002识。

l   在配置域时要把RADIUS方案和域关联起来。

l   在全局下使用dot1x authentication-method来指定Dot1x的认证方法，在使用Windows和网卡所带的客户端登陆无线网络时，dot1x认证的方式仅为EAP方式。

组网需求

本配置举例中的AC使用的是WX5002无线控制器，AP使用的是WA2100无线局域网接入点。

随着网络应用的广泛普及，公司越来越多核心业务会依托网络平台，但由于传统共享网络的特点，局域网网络的安全问题日趋明显，本配置案例可以实现在网络的接入层对非法用户进行控制，既可缓解安全问题，又能节省宝贵的带宽。本配置举例通过在WX5002的WLAN-ESS 10端口上启用802.1x认证来达到对接入点Client进行控制的目的。

 

 配置思路

配置远程802.1x认证，需要配置以下内容：

l              创建dot1x认证时使用的RADIUS方案。

l              创建dot1x认证时使用的域，并在域中引用RADIUS方案作为AAA的认证方案。

l              在系统视图下开启全局dot1x认证。

l              在需要认证的端口下使能端口dot1x。

配置步骤

配置AC
1. 主要配置步骤
(1)        创建RADIUS方案

[AC]radius scheme h3c

[AC-radius-h3c]primary authentication 8.1.1.4

[AC-radius-h3c]primary accounting 8.1.1.4

[AC-radius-h3c]key authentication h3c

[AC-radius-h3c]key accounting h3c

[AC-radius-h3c]server-type extended

[AC-radius-h3c]user-name-format without-domain

(2)        创建domain域

[AC]domain cams

[AC-isp-cams]authentication lan-access radius-scheme h3c

[AC-isp-cams]authorization lan-access radius-scheme h3c

[AC-isp-cams]accounting lan-access radius-scheme h3c

(3)        全局使能802.1x

[AC]port-security enable

(4)        配置dot1x

[AC]dot1x authentication-method eap

(5)        在WLAN-ESS 10 上使能dot1x

[AC]interface WLAN-ESS 10

[AC-WLAN-ESS10]port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS10]port-security tx-key-type 11key

(6)        无线服务集设置

[AC]wlan service-template 10

[AC-wlan-st-10]ssid joe_dot1x

[AC-wlan-st-10]bind WLAN-ESS 10

[AC-wlan-st-10]authentication-method open-system

[AC-wlan-st-10]cipher-suite tkip

[AC-wlan-st-10]security-ie wpa

[AC-wlan-st-10]service-template enable

完全配置信息下载点这里：

http://pan.baidu.com/share/link?shareid=426618&uk=2332071257

 

配置CAMS

1. 接入设备配置

在CAMS控制界面，点击左侧菜单树中[系统管理]->[系统配置]的“接入设备配置”。

进入接入设备配置，选择“修改”->“增加”后，进入接入设备配置页面。根据设备上的RADIUS属性配置，对参数进行设置，然后“返回”“立即生效”。

 

2. 服务配置

在CAMS控制界面，左侧菜单下，首先进入“系统配置”、“证书认证策略配置”安装证书。然后进入“服务管理”、“服务配置”，在服务配置列表中，选择“增加”，添加服务名，在计费策略中选中配置好的计费策略（计费策略配置方法，此处略），这里选择不计费。无线EAP认证方式，CAMS中支持两种：peap、tls。此处选择peap，之后确定即可。

 

3. 用户配置

在CAMS控制界面，左侧菜单下，进入用户管理，帐号用户，选择“增加”输入用户名和密码。此处需要注意将刚才配置的服务选上。

 

 

验证结果
l    在未通过802.1x认证的情况下使用PC1访问internet，PC不能访问Internet上的资源。

l    在PC1上使用802.1x客户端进行认证，PC1可以通过802.1x认证成功，并且可以正常访问internet上的资源。需根据不同设置认证方式的不同（peap、tls）对无线客户端进行相应的配置。

(1)  添加SSID。

(2)   首先在无线网络属性中，添加SSID，并选择相应的加密方式、认证方式。

 

(3) 在验证对话框中，选择EAP类型为PEAP，点击<属性>，去掉验证服务器证书选项（此处不验证服务器证书），点击<配置>，去掉自动使用Windows登陆名和密码选项，然后点击<确定>。