I.无线802.1X无感知认证
i.功能介绍:
随着移动智能终端的普及,无线网络的需求旺盛。用户在考虑终端接入安全性的同时,也越来越多的关注到终端接入的便捷性,因此用户能够随时随地接入无线网络成为无线建设急于解决的首要问题。市场上大部分智能终端都支持802.1x认证功能,802.1x技术为企业级的网络提供了安全和便捷的解决方案。用户希望接入无线网络时只需要首次进行认证信息配置,后续用户只要进入无线信号覆盖范围内即可自动完成认证。
802.1x协议规定在完成认证之前是不允许信息交互的,因此手持终端与AC在认证之前只能通过802.1x协议规定的EAP(Extensible Authentication Protocol,可扩展认证协议)帧交换认证信息。目前大多数手持终端都支持基于802.1x的EAP认证,输入相应的用户名密码,即可自动完成认证,这种方式称为EAP-PEAP,即Protected-EAP(受保护的可扩展的身份验证协议)。已被Wi-FI联盟WPA和WPA2批准的有两个子类型:PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一个框架协议,目前业界使用最广的是由微软提出的PEAP-MSCHAPV2协议,又被称作MS-PEAP,也就是我们在iPhone上看到的WPA/WPA2企业级认证方式。
现在主流终端基本可以实现用户的需求,但是xp系统客户端需要用户手动进行无线相关参数设置,对于非专业人员存在一定的困难,锐捷无感知解决方案解决了用户首次设置的困惑,用户首次通过Portal认证后下载WIFI小助手,通过小助手即可完成无线所有参数的设置。
ii.配置案例
1、组网需求
(1)无线瘦模式;
(2)需要radius设备配合,比如SMP、ESS等。
2、组网拓扑
3、配置要点
(1)无线基础配置
(2)配置aaa,用于dot1x认证
(3)无线启动dot1x认证
(4)radius上配置
4、配置步骤
(1)配置dot1x的aaa
Ruijie(config)#aaa new-model ------>开启aaa
Ruijie(config-gs-radius)#aaa group server radius smp ------>配置radius服务器,名称为smp
Ruijie(config-gs-radius)# server 172.18.34.16 ------>radius服务器地址
Ruijie(config-gs-radius)#exit
Ruijie(config)#aaa accounting update ------>开启aaa记账更新
Ruijie(config)# aaa accounting network default start-stop group smp ------>配置记账更新列表default ,记账服务器名称为“smp”
Ruijie(config)# aaa authentication dot1x default group smp ------>配置dot1x认证列表default,调用的认证服务器名称为“smp”
(2)配置radius服务器相关参数
Ruijie(config)#ip radius source-interface vlan 1 ------>使用vlan1 地址与radius对接
Ruijie(config)#radius dynamic-authorization-extension enable ------>配置AC支持radius扩展属性,用于踢用户下线
Ruijie(config)#radius-server host 172.18.34.16 key ruijie ------>配置radius服务器KEY及IP
Ruijie(config)#radius-server attribute 31 mac format ietf ------>【可选配置】如和我司的ESS对接或者和其他厂商对接出现无法踢用户下线的情况,可以尝试调整MAC格式
(3)DHCP相关配置【可选配置】
Ruijie(config)#ip dhcp snooping ------>开启dhcp snooping
Ruijie(config)#dot1x dhcp-before-acct enable ------>【10.x】配置命令,开启功能:sta必须先通过DHCP获取地址才可以上线,如果静态配置IP地址,那么上线一段时间后就会被踢下线(因为AC没有检测到dhcp不会发送记账开始报文)。必须配合dhcp snooping使用。
Ruijie(config)#interface gigabitEthernet 0/1
Ruijie(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ------>将连接DHCP服务器接口开启信任,如果用户的DHCP在AC上则不用配置该命令
Ruijie(config-if-GigabitEthernet 0/1)#exit
(4)在AC对wlan 10 开启web和mab认证功能
Ruijie(config)# wlansec 10
Ruijie(config-wlansec)#security rsn enable
Ruijie(config-wlansec)#security rsn ciphers aes enable
Ruijie(config-wlansec)#security rsn akm 802.1x enable ------>启用1X认证
Ruijie(config-wlansec)#dot1x authentication default ------>调用1X认证列表default
Ruijie(config-wlansec)#dot1x accounting default ------>调用1X记账列表default
Ruijie(config-wlansec)#exit
(5)配置SNMP服务
Ruijie(config)#snmp-server enable traps
Ruijie(config)#snmp-server community ruijie rw ------> 与radius(比如SMP、ESS)上的团体字一致
Ruijie(config)#end
Ruijie#write
(6)SMP服务器相关配置
1)系统中添加无线控制器,【身份认证管理】-【管理设备】-【添加】(添加无线设备之前需要修改无线设备模版中的相关参数如radius key、portal key等参数)
2)管理员在SMP中配置WIFI小助手,【身份认证系统】-【无感知认证配置】-【启用windows xp系统自带客户端无感知认证】:
备注:根据实际网络配置无感知认证的SSID、安全类型、加密类型,以及认证协议。此处AC的SSID参数必须和SMP的配置一直,且该SSID为802.1x的认证的SSID,PEAP第二阶段认证协议与SMP系统默认认证方式一致,SMP系统默认无线认证协议通过系统配置可以查看。
3)添加测试账号,测试账号属于默认用户组,不需要进行特殊设置。
4)SMP服务器开启记账更新、记账更新时间间隔且与AC保持一致。
5、配置验证
客户端连接无线信号测试。
iii.常见问题
iv.常见故障
1、故障现象
M8600-WS,客户反映BYOD,1x认证 win7系统不能正常认证,苹果手机android系统都可以,win7系统下载wifi小助手安装之后,就可以正常1x认证了,客户测试了3台win7系统都是如此
2、故障可能原因
与1x证书相关
3、处理步骤
(1)手机,电脑都可以认证成功,说明AC上的配置是没问题的
(2)在ESS/SMP上重新导入无线证书
(3)关闭win7系统上自带的防火墙和杀毒软件
(4)重置1x认证的参数
4、故障解决
ESS/SMP重新导入证书之后问题解决
5、故障总结及注意
(1)win7不支持私有证书,我们在SMP/ESS上安装的证书一般是研发临时测试用的公有证书,它有一个期限,证书到期之后需要重新导入证书,否则win7无法进行1x认证,设备上会提示aaa reject
(2)该现象目前大多出现在ESS1.61b3 build20130618版本,因为最新的ESS1.62版本一般会有证书已到期的告警,用户看到这个告警信息一般都会考虑重新导入证书 (SMP/ESS证书过期问题可以查看预警通告)。
2)BYOD 1X认证,用户每隔5分钟掉线
1、故障现象
BYOD解决方案中,1X认证,终端是静态IP地址,无线用户每隔5分钟掉线
2、故障可能原因
3、处理步骤
(1)查看log,有这样的日志信息
*Feb 13 15:00:55: %AAA-6-USER_AUTH_PASSED: User authenticated. Username: 744431_744431-1.
*Feb 13 15:00:56: %DOT1X-6-USER_ONLINE: User Authenticated: MAC Address a44e.3189.3b5c, AP Name GZ-QJD01-OPR-F01-AP4, base radio MAC 5614.4b6f.d236, User Name 744431_744431-1, SSID CITICBANK-OPR.
*Feb 13 15:05:59: %DOT1X-6-OFFLINE: User(a44e31893b5c) is offline. reason: no dhcp ack detected.
*Feb 13 15:05:59: %WSECU-6-AUTH_INFO: 1X-WPA said the station not authened , MAC address is a44e.3189.3b5c .
*Feb 13 15:05:59: %APMG-6-STA_DEL: Client(a44e.3189.3b5c) notify : leave AP (GZ-QJD01-OPR-F01-AP4).
*Feb 13 15:06:02: %APMG-6-STA_ADD_RESP: Client(a44e.3189.3b5c) active in ap(GZ-QJD01-OPR-F02-AP1).
*Feb 13 15:06:03: %AAA-6-USER_AUTH_PASSED: User authenticated. Username: 744431_744431-1.
*Feb 13 15:06:03: %DOT1X-6-USER_ONLINE: User Authenticated: MAC Address a44e.3189.3b5c, AP Name GZ-QJD01-OPR-F02-AP1, base radio MAC d614.4b6f.d1fe, User Name 744431_744431-1, SSID CITICBANK-OPR.
*Feb 13 15:11:06: %DOT1X-6-OFFLINE: User(a44e31893b5c) is offline. reason: no dhcp ack detected.
(2)去掉dot1x dhcp-before-acct enable,该功能要依赖DHCP snooping ,但是终端是静态IP地址不能产生DHCP 报文,所以AC没有办法发出account报文,5分钟后掉线
4、故障解决
去掉dot1x dhcp-before-acct enable之后,问题解决
5、故障总结及注意
注意:如果没有开启ip dhcp snooping和dot1x dhcp-before-acct enable,在SMP上查看不到用户的IP地址,所以在BYOD动态获取地址的环境下,建议把这两条命令都敲上,开启了dhcpsnooping之后需要在AC的上联口设置为trust口。