1、简介:
本篇主要介绍华为交换机设备配合Windows server 2019配置的802.1x+NPS协同做的有线网络认证(可跟做)。现有的华为6605无线AC配置:认证模板、radius模板、安全模板、 AAA、dot1x模板、vap模板等,再配合一台Windows server虚拟服务器搭建的NPS并配置认 证类型、加密类型、radius客户端,形成一套无线802.1x认证的架构。
*实际(真机)情况建议按照本文档配置,不建议严格按照官方手册配置,否则你会碰到非常多的问题,甚至配置失败。
2、拓扑
3、主要步骤:
AC: 1、配置认证模板:调用下面的dot1x模板和认证域控,最终提供给vap模板调用。 2、radius模板:指定NPS IP和协商密钥,配置好认证、计费端口(保持默认端口)。 3、AAA:配置认证、计费模式为radius。 4、认证域:创建新的认证域,调用AAA中的认证计费模式。 5、安全模板:配置认证类型为wpa2+dot1x+aes 6、dot1x模板:创建dot1x模板,无需配置任何(默认采用EAP认证方式。) 7、vap模板(SSID服务模板):调用1中的认证模板。 NPS(Windows server 2019): 1、创建一台新的server 2019服务器。 2、加域。 3、添加NPS角色,并创建CA证书。 4、在AD中注册此服务器。 5、配置NPS的“连接请求策略”和“网络策略”
认证过程: 1、无线终端(PC、手机等)搜索到配置了802.1x认证的WiFi后,点击该SSID,则触 发AC中配置的SSID模板配置,SSID模板调用其配置的认证模板,该认证模板中调用dot1x模 板和认证域。 2、认证域中调用了AAA认证方式和radius模板,而AAA和radius指定了认证服务器 为配置好的Windows server 认证服务器。 3、认证服务器(已加域,可调用AD中全部用户名和计算机名)中配置的认证方式 和共享密钥与AC中成功匹配,并弹框要求1中的无线终端提供用户名密码或者计算机名称、 密码,待终端输入正确的域账户密码(加域后的设备会自动使用其用户名密码)后,认证服 务器匹配其输入的用户名密码正确则放行上网,验证失败则拒绝终端上网。
华为AC主体配置:
#
authentication-profile name auth-gd //创建认证模板auth-gd。
dot1x-access-profile dot1xprf-gd //调用dot1x模板
free-rule-template DNS //可选
access-domain gdoa.com dot1x force //在本认证模板中强制调用”gdoa.com“认证域。
#
radius-server template radius-gd //创建radius服务器模板
radius-server shared-key cipher
radius-server authentication 10.10.10.32 1812 weight 80 //指定认证服务器IP、端口。
radius-server accounting 10.10.10.32 1813 weight 80 //指定计费服务器IP、端口。(可选)
#
aaa
authentication-scheme auth-gd //创建3a认证 认证类型
authentication-mode radius //配置成radius认证类型。
accounting-scheme acc-gd //创建3a认证 计费类型
accounting-mode radius //配置成radius计费类型。
accounting realtime 15 //可选
accounting start-fail online //可选
domain gdoa.com //创建认证域“gdoa.com”
authentication-scheme auth-gd //调用3a认证 认证类型
accounting-scheme acc-gd //调用3a认证 计费类型
radius-server radius-gd //调用radius模板。
#
[AC6605-wlan-view]security-profile name sec-gd //创建安全模板。
security wpa2 dot1x aes //配置安全模板认证类型为wpa2+dot1x+aes
#
dot1x-access-profile name dot1xprf-gd //创建dot1x模板,无需配置任何(802.1X接入模板默认采用EAP认证方式。)
#
[AC6605-wlan-view]vap-profile name VEGETA //配置vap模板(WiFi模板)
#
service-vlan vlan-id 3000
ssid-profile VEGETA
security-profile sec-gd //调用安全模板
traffic-profile VEGETA
authentication-profile auth-gd //调用认证模板。
*以上是交换机配置完之后,在配置文件里呈现的配置顺序,实际配置顺序不是上面的自上而下写,它们之间的调用逻辑是下图,建议按照下图,从下往上开始配置:
以上,配置完毕后,当已加域的电脑接入到配置了802.1x的无线网络时,则会自动认证成功上线,未加域的设备,则需要输入用户名密码(域账户)后即可上线。
原创文章,作者:EASY,如若转载,请注明文章出处:
暂无评论内容