华为无线WiFi配置802.1x认证

1、简介:

本篇主要介绍华为交换机设备配合Windows server 2019配置的802.1x+NPS协同做的有线网络认证(可跟做)。现有的华为6605无线AC配置:认证模板、radius模板、安全模板、 AAA、dot1x模板、vap模板等,再配合一台Windows server虚拟服务器搭建的NPS并配置认 证类型、加密类型、radius客户端,形成一套无线802.1x认证的架构。

*实际(真机)情况建议按照本文档配置,不建议严格按照官方手册配置,否则你会碰到非常多的问题,甚至配置失败。

2、拓扑

图片[1]-华为无线WiFi配置802.1x认证

3、主要步骤:

AC: 1、配置认证模板:调用下面的dot1x模板和认证域控,最终提供给vap模板调用。 2、radius模板:指定NPS IP和协商密钥,配置好认证、计费端口(保持默认端口)。 3、AAA:配置认证、计费模式为radius。 4、认证域:创建新的认证域,调用AAA中的认证计费模式。 5、安全模板:配置认证类型为wpa2+dot1x+aes 6、dot1x模板:创建dot1x模板,无需配置任何(默认采用EAP认证方式。) 7、vap模板(SSID服务模板):调用1中的认证模板。 NPS(Windows server 2019): 1、创建一台新的server 2019服务器。 2、加域。 3、添加NPS角色,并创建CA证书。 4、在AD中注册此服务器。 5、配置NPS的“连接请求策略”和“网络策略”

认证过程: 1、无线终端(PC、手机等)搜索到配置了802.1x认证的WiFi后,点击该SSID,则触 发AC中配置的SSID模板配置,SSID模板调用其配置的认证模板,该认证模板中调用dot1x模 板和认证域。 2、认证域中调用了AAA认证方式和radius模板,而AAA和radius指定了认证服务器 为配置好的Windows server 认证服务器。 3、认证服务器(已加域,可调用AD中全部用户名和计算机名)中配置的认证方式 和共享密钥与AC中成功匹配,并弹框要求1中的无线终端提供用户名密码或者计算机名称、 密码,待终端输入正确的域账户密码(加域后的设备会自动使用其用户名密码)后,认证服 务器匹配其输入的用户名密码正确则放行上网,验证失败则拒绝终端上网。

华为AC主体配置:

#

authentication-profile name auth-gd //创建认证模板auth-gd。

dot1x-access-profile dot1xprf-gd //调用dot1x模板

free-rule-template DNS //可选

access-domain gdoa.com dot1x force //在本认证模板中强制调用”gdoa.com“认证域。

#

radius-server template radius-gd //创建radius服务器模板

radius-server shared-key cipher

radius-server authentication 10.10.10.32 1812 weight 80 //指定认证服务器IP、端口。

radius-server accounting 10.10.10.32 1813 weight 80 //指定计费服务器IP、端口。(可选)

#

aaa

authentication-scheme auth-gd //创建3a认证 认证类型

authentication-mode radius //配置成radius认证类型。

accounting-scheme acc-gd //创建3a认证 计费类型

accounting-mode radius //配置成radius计费类型。

accounting realtime 15 //可选

accounting start-fail online //可选

domain gdoa.com //创建认证域“gdoa.com”

authentication-scheme auth-gd //调用3a认证 认证类型

accounting-scheme acc-gd //调用3a认证 计费类型

radius-server radius-gd //调用radius模板。

#

[AC6605-wlan-view]security-profile name sec-gd //创建安全模板。

security wpa2 dot1x aes //配置安全模板认证类型为wpa2+dot1x+aes

#

dot1x-access-profile name dot1xprf-gd //创建dot1x模板,无需配置任何(802.1X接入模板默认采用EAP认证方式。)

#

[AC6605-wlan-view]vap-profile name VEGETA //配置vap模板(WiFi模板)

#

service-vlan vlan-id 3000

ssid-profile VEGETA

security-profile sec-gd //调用安全模板

traffic-profile VEGETA

authentication-profile auth-gd //调用认证模板。

*以上是交换机配置完之后,在配置文件里呈现的配置顺序,实际配置顺序不是上面的自上而下写,它们之间的调用逻辑是下图,建议按照下图,从下往上开始配置:

图片[2]-华为无线WiFi配置802.1x认证
图片[3]-华为无线WiFi配置802.1x认证
图片[4]-华为无线WiFi配置802.1x认证
图片[5]-华为无线WiFi配置802.1x认证
图片[6]-华为无线WiFi配置802.1x认证
图片[7]-华为无线WiFi配置802.1x认证
图片[8]-华为无线WiFi配置802.1x认证
图片[9]-华为无线WiFi配置802.1x认证
图片[10]-华为无线WiFi配置802.1x认证
图片[11]-华为无线WiFi配置802.1x认证

以上,配置完毕后,当已加域的电脑接入到配置了802.1x的无线网络时,则会自动认证成功上线,未加域的设备,则需要输入用户名密码(域账户)后即可上线。

原创文章,作者:EASY,如若转载,请注明文章出处:
© 版权声明
THE END
喜欢就支持一下吧
点赞8 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容