目录

Ⅰ .锐捷无线802.1x认证配置

ⅰ.功能介绍

ⅱ.配置案例

I.锐捷无线802.1x认证配置

ⅰ.功能介绍

    802.1x认证方式在无线接入设备的射频端口这一级对所接入的无线用户进行认证和控制。连接在射频接口上的无线用户设备如果能通过认证，就可以连接无线网络并访问网络中的资源；如果不能通过认证，则无法连接无线网络和访问网络中的资源。

ⅱ.配置案例

适用场景说明

    在网络中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络，对网络安全造成了巨大的影响。

    优点：增加无线安全

    缺点：需要增加radius服务器（用于储存客户端用户名和密码的设备）、无线设备需要增加客户端软件

一、组网需求

    无线用户需要通过802.1x认证之后才能使用无线网络。

二、组网拓扑

三、配置要点

1、启用802.1x AAA认证
2、配置radius服务器IP及KEY
3、调用802.1x使用的认证列表等参数
4、WLAN启用802.1X
5、配置SNMP功能
6、配置设备的登陆用户名和密码
7、SMP（radius）服务器配置  

四、配置步骤

1、启用802.1x AAA认证

AC(config)#aaa new-model  ---->启用AAA认证功能
AC(config)#aaa authentication dot1x default group radius    ---->定义dot1x认证默认使用列表
AC(config)#aaa accounting network default start-stop group radius     ---->定义用户上线下线审计默认使用列表

2、配置radius服务器IP及KEY

AC(config)#radius-server host 192.168.33.244 key ruijie   ---->配置radius服务器KEY及IP（密码后面不能有空格）
AC(config)#ip radius source-interface vlan 90       ---->AC使用vlan 90 的IP地址和radius对接，SMP上添加设备的地址接口

3、调用802.1x使用的认证列表等参数

AC(config)#dot1x authentication default      ---->dot1x认证使用默认列表
AC(config)#dot1x accounting default      ---->dot1x审计使用默认列表

4、WLAN启用802.1X

AC(config)#wlansec 1   ---->对应wlan-config 1
AC(config-wlansec)# security rsn enable     ---->启用WPA2认证
AC(config-wlansec)# security rsn ciphers aes enable    ---->启用AES加密
AC(config-wlansec)# security rsn akm 802.1x enable     ---->启用802.1X认证
AC(config-wlansec)#exit

5、配置SNMP功能

AC(config)#snmp-server host 192.168.33.244 traps
AC(config)#snmp-server community ruijie rw

6、配置设备的登陆用户名和密码

AC(config)#username  admin  password  admin------>设置设备的登陆用户名和密码都为admin，全局设置aaa new-model后，telnet登陆时默认会调用本地帐号，所以需要进行设置
       AC(config)#end
       AC#write    ------>保存配置 

7、RADIUS服务器配置（举例：SAM、SMP）

SMP:

1）登陆SMP服务器--->“认证授权管理”--->“管理设备“--->”设备配置模板 “

2）选择“锐捷无线设备”点击“修改 ”

3）设置身份认证key 和团体key

4）添加设备，填写和radius服务器对接的IP地址，并选择模板为“锐捷无线设备 ”

5）在用户管理里面添加用户

SAM

1）登陆SAM服务器

--->“系统管理”--->“设备管理”

2）选择“添加”

3）添加设备，填充设备相关参数“设备IP地址”、“设备类型”、“具体型号”、“设备key”、“读写Community”，点击“保存”。

五、配置验证

1、使用SA客户端进行认证并认证成功。SA客户端需要能够和SMP路由可达。（如果使用windows自带的认证客户端，设置参考附件）

2、show dot1x summary可以查看到在线用户

AC#show dot1x summary

    ID      MAC Address Username Interface VLAN Authen-State  Backend-State User-Type Online-Duration

---------- --------------- ---------- ---------  ----- ------------------ ------------- --------- ----------------

    3     9c4e.36cc.f6dc    lzm        Ca1             10     Authenticated     Idle               static    0days 0h 0m27s 

3、登陆到AC上show wclient security 确认用户的认证类型。

AC#show wclient security 9c4e.36cc.f6dc

Security policy finished      :TRUE

Security policy type:WPA-802.1X

WPA version:WPA2 (RSN)

Security cipher mode:CCMP

Security EAP type:PEAP

Security NAC status:CLOSE

4、认证成功之后可以访问外网