锐捷无线802.1x认证配置     

功能介绍    

    802.1x认证方式在无线接入设备的射频端口这一级对所接入的无线用户进行认证和控制。连接在射频接口上的无线用户设备如果能通过认证,就可以连接无线网络并访问网络中的资源;如果不能通过认证,则无法连接无线网络和访问网络中的资源。    

配置案例    

适用场景说明    

    在网络中,用户只要能接到网络设备上,不需要经过认证和授权即可直接使用。这样,一个未经授权的用户,他可以没有任何阻碍地通过连接到局域网的设备进入网络,对网络安全造成了巨大的影响。    

    优点:增加无线安全    

    缺点:需要增加radius服务器(用于储存客户端用户名和密码的设备)、无线设备需要增加客户端软件(Android、IOS、windows7/8/10设备可以使用自带的无线认证客户端)    

一、组网需求    

    无线用户需要通过802.1x认证之后才能使用无线网络。    

二、组网拓扑    

   Snipaste_2021-06-22_10-15-36.png        

三、配置要点    

  1、启用802.1x AAA认证
  2、配置radius服务器IP及KEY
  3、调用802.1x使用的认证列表等参数
  4、WLAN启用802.1X
  5、配置SNMP功能
     6、SMP(radius)服务器配置      

四、配置步骤

方式一:命令行配置:

1、启用802.1x AAA认证    

     EG(config)#aaa new-model  ---->启用AAA认证功能
  EG(config)#aaa authentication dot1x default group radius    ---->定义dot1x认证默认使用列表
  EG(config)#aaa accounting network default start-stop group radius     ---->定义用户上线下线审计默认使用列表  

2、配置radius服务器IPKEY    

  EG(config)#radius-server host 192.168.33.244 key ruijie   ---->配置radius服务器KEYIP密码后面不能有空格
  EG(config)#ip radius source-interface vlan 90       ---->AC使用vlan 90 IP地址和radius对接,SMP上添加设备的地址接口  

3、调用802.1x使用的认证列表等参数    

  EG(config)#dot1x authentication default      ---->dot1x认证使用默认列表
  EG(config)#dot1x accounting default      ---->dot1x审计使用默认列表  

4WLAN启用802.1X    

  EG(config)#wlansec 1   ---->对应wlan-config 1
  EG(config-wlansec)# security rsn enable     ---->启用WPA2认证
  EG(config-wlansec)# security rsn ciphers aes enable    ---->启用AES加密
  EG(config-wlansec)# security rsn akm 802.1x enable     ---->启用802.1X认证
  EG(config-wlansec)#exit  

5、配置SNMP功能    

  EG(config)#snmp-server host 192.168.33.244 traps
  EG(config)#snmp-server community ruijie rw

  EG(config)#end
  EG#write    ------>保存配置   

方式二:WEB配置:

WEB配置中不需要进行命令行配置中的1、3步骤;

选择添加Wifi,并且选择加密类型为WPA/WPA2-802.1X(企业版):

点击配置radius认证服务器IP及key:

5.png

完成剩下的无线配置:

配置SNMP功能:

7.png

7RADIUS服务器配置(举例:SAMSMP    

SMP:    

1)登陆SMP服务器--->认证授权管理--->管理设备--->设备配置模板                

2)选择RE-EG或RG-RSR实名审计设备点击修改     企业微信截图_16243282634716.png

3)设置身份认证key 和团体key

2.png         

4)添加设备,填写和radius服务器对接的IP地址,并选择模板为锐捷无线设备      企业微信截图_16243282634716.png         

5)在用户管理里面添加用户

                  

SAM    

1)登陆SAM服务器(EG设备的配置与集成AC相同,需设置成无线交换机)

         

--->系统管理--->设备管理

         

2)选择添加 

         

3)添加设备,填充设备相关参数设备IP地址设备类型具体型号设备key读写Community,点击保存

         

五、配置验证    

       1、使用认证客户端进行认证并认证成功。        

2show dot1x summary可以查看到在线用户      

EG#show dot1x summary      

    ID      MAC Address Username Interface VLAN Authen-State  Backend-State User-Type Online-Duration      

---------- --------------- ---------- ---------  ----- ------------------ ------------- --------- ----------------      

    3     9c4e.36cc.f6dc    lzm        Ca1             10     Authenticated     Idle               static    0days 0h 0m27s 

3、登陆到EGshow wclient security 确认用户的认证类型。    

EG#show wclient security 9c4e.36cc.f6dc    

Security policy finished      :TRUE    

Security policy type:WPA-802.1X    

WPA version:WPA2 (RSN)    

Security cipher mode:CCMP    

Security EAP type:PEAP    

Security NAC status:CLOSE

4、认证成功之后可以访问外网