Ejemplo para configurar la autenticación 802.1x para controlar el acceso de STA inalámbricas (V200R008C00 y versiones anteriores)

73 0 0 0

Autenticación 802.1x en el lado inalámbrico

802.1x es un protocolo de control de acceso a la red basado en puertos y la autenticación 802.1x es uno de los modos de autenticación NAC. La autenticación 802.1x garantiza la seguridad de las intranets empresariales.

La autenticación 802.1x garantiza una alta seguridad; sin embargo, requiere que el software cliente 802.1x esté instalado en los terminales de usuario, lo que resulta en un despliegue de red inflexible. Otros dos métodos de autenticación NAC tienen sus ventajas y desventajas: la autenticación de la dirección MAC no requiere la instalación del software del cliente, pero las direcciones MAC deben registrarse en un servidor de autenticación. La autenticación del portal tampoco requiere la instalación del software del cliente y proporciona una implementación flexible, pero tiene poca seguridad.

Como resultado, la autenticación 802.1x se aplica a escenarios con nuevas redes, distribución de usuarios centralizada y estrictos requisitos de seguridad de la información.

Notas de configuración

   El motor de servicios de identidad de Cisco (ISE) en 2.0.0.306 funciona como el servidor RADIUS en este ejemplo.

   En el modo de reenvío de datos de servicio, la VLAN de administración y la VLAN de servicio no pueden ser iguales. Si configura el modo de reenvío como reenvío directo, no se recomienda configurar la VLAN de administración y la VLAN de servicio para que sean iguales.

   Si se usa el reenvío directo, configurar el aislamiento del puerto en la interfaz se conecta directamente a los puntos de acceso. Si el aislamiento del puerto no está configurado, muchos paquetes de transmisión se transmitirán en las VLAN o los usuarios de WLAN en diferentes AP podrán comunicarse directamente en la Capa 2.

   Configurar la VLAN de administración y la VLAN de servicio:

           En el modo de reenvío de túnel, los paquetes de servicio se encapsulan en un túnel CAPWAP y luego se reenvían a la AC. La CA luego envía los paquetes a la red de capa superior o AP. Por lo tanto, los paquetes de servicio y los paquetes de administración normalmente se pueden reenviar solo cuando la red entre el AC y los AP se agrega a la VLAN de administración y la red entre el AC y la red de capa superior se agrega a la VLAN de servicio.

           En el modo de reenvío directo, los paquetes de servicio no se encapsulan en un túnel CAPWAP, sino que se reenvían directamente a la red de capa superior o los AP. Por lo tanto, los paquetes de servicio y los paquetes de administración normalmente se pueden reenviar solo cuando la red entre la AC y los AP se agrega a la VLAN de administración y la red entre los AP y la red de la capa superior se agrega a la VLAN de servicio.

   Cómo configurar la interfaz de origen:

           En V200R005 y V200R006, ejecutar la interfaz de origen ac WLAN { bucle de retorno de bucle de retorno de números | vlanif vlan-id } comando en la vista WLAN .

           En V200R007 y V200R008, ejecutar la interfaz de origen CAPWAP { bucle de retorno de bucle de retorno de números | vlanif vlan-id } comando en la vista del sistema .

   No se proporciona ningún mecanismo ACK para la transmisión de paquetes de multidifusión en interfaces aéreas. Además, los enlaces inalámbricos son inestables. Para garantizar la transmisión estable de paquetes de multidifusión, generalmente se envían a velocidades bajas. Si un gran número de dichos paquetes de multidifusión se envían desde el lado de la red, las interfaces aéreas pueden estar congestionadas. Se recomienda configurar la supresión de paquetes de multidifusión para reducir el impacto de una gran cantidad de paquetes de multidifusión de baja velocidad en la red inalámbrica. Tenga cuidado al configurar el límite de velocidad; De lo contrario, los servicios de multidifusión pueden verse afectados.

           En el modo de reenvío directo, se recomienda configurar la supresión de paquetes de multidifusión en las interfaces del conmutador conectadas a los AP.

           En el modo de reenvío de túnel, se recomienda configurar la supresión de paquetes de multidifusión en los perfiles de tráfico de la AC.

Para obtener detalles sobre cómo configurar la supresión de tráfico, consulte "¿Cómo configuro la supresión de paquetes de multidifusión para reducir el impacto de un gran número de paquetes de multidifusión de baja velocidad en la red inalámbrica?" en la configuración de WLAN QoS de la Guía de configuración - WLAN-ACde la versión del producto correspondiente.

   La siguiente tabla enumera los productos y versiones aplicables.

Tabla 1-1 Productos y versiones aplicables.

Versión del software

Modelo del Producto

Modelo AP y Versión

V200R005C00

S7700, S9700

NOTA

Para S7700, se   recomienda implementar switches S7712 o S7706 para servicios WLAN. No se   recomiendan los interruptores S7703.

Para S9700, se   recomienda implementar los conmutadores S9712 o S9706 para los servicios   WLAN. No se recomiendan los interruptores S9703.

V200R005C00:

AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN,   AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110DN-AGN, AP7110DN-AGN, AP7110DN-AGN

V200R006C00

S5720HI, S7700, S9700

NOTA

Para S7700, se   recomienda implementar switches S7712 o S7706 para servicios WLAN. No se   recomiendan los interruptores S7703.

Para S9700, se   recomienda implementar los conmutadores S9712 o S9706 para los servicios   WLAN. No se recomiendan los interruptores S9703.

V200R005C00:

AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN,   AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110DN-AGN, AP7110DN-AGN, AP7110DN-AGN

V200R007C00

S5720HI, S7700, S9700

NOTA

Para S7700, se   recomienda implementar switches S7712 o S7706 para servicios WLAN. No se   recomiendan los interruptores S7703.

Para S9700, se   recomienda implementar los conmutadores S9712 o S9706 para los servicios   WLAN. No se recomiendan los interruptores S9703.

V200R005C10:

AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN,   AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110DN-AGN, AP7110S-NS / LNGU-82500800600800600

V200R005C20:

AP7030DE, AP9330DN

V200R008C00

S5720HI, S7700, S9700

NOTA

Para S7700, se   recomienda implementar switches S7712 o S7706 para servicios WLAN. No se   recomiendan los interruptores S7703.

Para S9700, se   recomienda implementar los conmutadores S9712 o S9706 para los servicios   WLAN. No se recomiendan los interruptores S9703.

V200R005C10:

AP2010DN, AP3010DN-AGN, AP5010DN-AGN, AP5010SN-GN, AP5030DN, AP5130DN,   AP6010SN-GN, AP6010DN-AGN, AP6310SN-GN, AP6510DN-AGN, AP6610DN-AGN,   AP7110DN-AGN, AP7110S-NS / LNGU-82500800600800600

V200R005C20:

AP7030DE, AP9330DN

V200R005C30:

AP2030DN, AP4030DN, AP4130DN

 

Requisitos de red

Como se muestra en la Figura 1-1 , el AC de una empresa se conecta a la puerta de enlace de salida (Enrutador) y al servidor RADIUS, y se conecta al AP a través del SwitchA. La WLAN con la prueba SSID está disponible para que los empleados accedan a los recursos de la red. La puerta de enlace también funciona como un servidor DHCP para proporcionar direcciones IP en el segmento de red 10.10.10.0/24 para las STA. El AC controla y administra las STA.

Debido a que la WLAN está abierta para los usuarios, existen riesgos potenciales de seguridad para la información de la empresa si no se configura una política de seguridad para la WLAN. La empresa requiere alta seguridad de la información, por lo que se configura una política de seguridad WPA2 que utiliza la autenticación 802.1x y el cifrado CCMP. El servidor RADIUS autentica las identidades STA. el AC debe configurarse para funcionar como un relé EAP, de modo que la CA admita la autenticación 802.1x.

Figura 1-1 Diagrama de red para configurar la autenticación 802.1x en el lado inalámbrico

224703ui1d4kjzj74u5tjd.png?image.png

Planificación de datos

Tabla 1-2 Planificación de datos

Elemento de configuración

Datos

Servicio WLAN

WPA2-802.1x-AES

VLAN de gestión

VLAN 100

VLAN de servicio

VLAN 101

Interfaz de origen en la CA

VLANIF 100: 192.168.10.1/24

ID de operador de CA / ID de CA

Otro / 1

ID de región AP

10

Conjunto de servicio

  SSID: prueba

  modo de reenvío   de datos: túnel de reenvío

SwitchA VLAN

VLAN 100

Servidor DHCP

  Direcciones IP   que el AC asigna a los AP: 192.168.10.2 a 192.168.10.254/24

  Direcciones IP   que el Router asigna a las STA: 10.10.10.2 a 10.10.10.254/24

Gateway para el AP

VLANIF 100: 192.168.10.1/24

Gateway para STAs

VLANIF 101: 10.10.10.1/24

Parámetros de autenticación RADIUS

  dirección IP:   10.12.10.1

  Número de puerto : 1812

  clave compartida:   123456

  dominio AAA:   huawei.com

 

Tabla 1-3 Planificación de datos en el servidor ISE

Elemento de configuración

Datos

Departamento

Departamento de I + D

Usuario de acceso

Cuenta: A-123

Contraseña: Huawei123

Dirección IP de CA

AC: 10.12.10.2

Clave de autentificación RADIUS

123456

 

Mapa de configuración

1.          Configure el servicio WLAN para que las STA puedan conectarse a la WLAN. Este ejemplo utiliza parámetros de configuración por defecto.

2.          Configure la autenticación RADIUS en el AC y configure los parámetros para permitir que la AC se comunique con el servidor RADIUS.

3.          En el AC, configure la autenticación 802.1x en la interfaz WLAN-ESS para la autenticación de identidad STA.

4.          En el servidor ISE, configure la información del dispositivo de autenticación, la información del usuario y la función de autenticación 802.1x para implementar el acceso al dispositivo, el acceso del usuario y la autenticación 802.1x basada en la dirección MAC.

Procedimiento

                               Paso 1     Establezca el modo NAC en modo unificado en el AC (configuración predeterminada). Configure el SwitchA y el AC para que el AP y el AC puedan transmitir paquetes CAPWAP.

# Agregue GE0 / 0/1 que conecta SwitchA al AP a la administración de VLAN 100 y agregue GE0 / 0/2 que conecta SwitchA a el AC a la misma VLAN.

 

<HUAWEI> system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 
[SwitchA-GigabitEthernet0/0/2] quit 

# Agregue GE1 / 0/1 que conecta el AC al SwitchA a la VLAN 100.

<HUAWEI> system-view 
[HUAWEI] sysname AC 
[AC] vlan batch 100 
[AC] interface gigabitethernet 1/0/1 
[AC-GigabitEthernet1/0/1] port link-type trunk 
[AC-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 
[AC-GigabitEthernet1/0/1] quit 

 

Paso 2     Configure la CA para comunicarse con el dispositivo en sentido ascendente.

# Configure VLANIF 101 (servicio VLAN), VLANIF 102 y VLANIF 103.

 

[AC] vlan batch 101 102 103 
[AC] interface vlanif 101 
[AC-Vlanif101] ip address 10.10.10.1 24 
[AC-Vlanif101] quit 
[AC] interface vlanif 102 
[AC-Vlanif102] ip address 10.11.10.2 24 
[AC-Vlanif102] quit 
[AC] interface vlanif 103 
[AC-Vlanif103] ip address 10.12.10.2 24 
[AC-Vlanif103] quit 

# Agregue GE1 / 0/2 que conecta la CA al enrutador a la VLAN 102.

[AC] interface gigabitethernet 1/0/2 
[AC-GigabitEthernet1/0/2] port link-type trunk 
[AC-GigabitEthernet1/0/2] port trunk allow-pass vlan 102 
[AC-GigabitEthernet1/0/2] quit

# Agregue GE1 / 0/2 que conecta la CA al servidor RADIUS a la VLAN 103.

[AC] interface gigabitethernet 1/0/3 
[AC-GigabitEthernet1/0/3] port link-type trunk 
[AC-GigabitEthernet1/0/3] port trunk allow-pass vlan 103 
[AC-GigabitEthernet1/0/3] quit

# En la CA, configure una ruta estática.

[AC] ip route-static 0.0.0.0 0.0.0.0 10.11.10.1

      Paso 3     Configure la CA para asignar una dirección IP al AP y el Enrutador para asignar direcciones IP a las STA.

# Configure el AC para asignar una dirección IP al AP desde un conjunto de direcciones IP de interfaz.

 

[AC] dhcp enable 
[AC] interface vlanif 100 
[AC-Vlanif100] ip address 192.168.10.1 24 
[AC-Vlanif100] dhcp select interface  
[AC-Vlanif100] quit

# Configure el AC como el agente de retransmisión DHCP y habilite la detección de entrada de usuario en el AC.

[AC] interface vlanif 101 
[AC-Vlanif101] dhcp select relay  
[AC-Vlanif101] dhcp relay server-ip 10.11.10.1  
[AC-Vlanif101] quit

# Configure el enrutador como un servidor DHCP para asignar direcciones IP a las STA.

<Huawei> system-view 
[Huawei] sysname Router 
[Router] dhcp enable 
[Router] ip pool sta  
[Router-ip-pool-sta] gateway-list 10.10.10.1 
[Router-ip-pool-sta] network 10.10.10.0 mask 24 
[Router-ip-pool-sta] quit 
[Router] vlan batch 102 
[Router] interface vlanif 102 
[Router-Vlanif102] ip address 10.11.10.1 24 
[Router-Vlanif102] dhcp select global  
[Router-Vlanif102] quit 
[Router] interface gigabitethernet 2/0/0 
[Router-GigabitEthernet2/0/0] port link-type trunk 
[Router-GigabitEthernet2/0/0] port trunk allow-pass vlan 102 
[Router-GigabitEthernet2/0/0] quit 
[Router] ip route-static 10.10.10.0 24 10.11.10.2  

  Paso 4     Configure la autenticación RADIUS.

1.          Configure una plantilla de servidor RADIUS, un esquema de autenticación AAA e información de dominio.

Asegúrese de que los servidores AC y RADIUS tengan la misma clave compartida.

[AC] radius-server template radius_huawei 
[AC-radius-radius_huawei] radius-server authentication 10.12.10.1 1812 
[AC-radius-radius_huawei] radius-server shared-key cipher 123456   
[AC-radius-radius_huawei] quit 
[AC] aaa 
[AC-aaa] authentication-scheme radius_huawei 
[AC-aaa-authen-radius_huawei] authentication-mode radius   
[AC-aaa-authen-radius_huawei] quit 
[AC-aaa] domain huawei.com 
[AC-aaa-domain-huawei.com] authentication-scheme radius_huawei 
[AC-aaa-domain-huawei.com] radius-server radius_huawei 
[AC-aaa-domain-huawei.com] quit 
[AC-aaa] quit 

Después de configurar el dominio huawei.com , el nombre de dominio se agrega al nombre de usuario de autenticación.

2.          Probar si una STA se puede autenticar utilizando la autenticación RADIUS. Se han configurado un nombre de usuario A-123@huawei.com y la contraseña 123456 en el servidor RADIUS.

[AC] test-aaa A-123@huawei.com 123456 radius-template radius_huawei 
Info: Account test succeed. 

 

Paso 5     Configurar los parámetros del sistema de AC.

# Configurar el código de país.

 

[AC] wlan ac-global country-code cn 
Warning: Modify the country code may delete configuration on those AP which use  
the global country code and reset them, continue?[Y/N]:y

 

# Configure el ID de AC y el ID del operador.

 

[AC] wlan ac-global ac id 1 carrier id other

 

# Configurar la interfaz de origen.

 

[AC] wlan 
[AC-wlan-view] wlan ac source interface vlanif 100 

 

Paso 6     Gestiona el AP en el AC.

# Verifique la ID de tipo AP después de obtener la dirección MAC del AP.

 

[AC-wlan-view] display ap-type all 
  All AP types information:      
  ------------------------------------------------------------------------------ 
  ID     Type                    
  ------------------------------------------------------------------------------ 
  17     AP6010SN-GN             
                   
  21     AP6310SN-GN             
  23     AP6510DN-AGN            
  25     AP6610DN-AGN            
  27     AP7110SN-GN             
  28     AP7110DN-AGN            
  29     AP5010SN-GN             
  30     AP5010DN-AGN            
  31     AP3010DN-AGN            
  33     AP6510DN-AGN-US         
  34     AP6610DN-AGN-US         
  35     AP5030DN                
  36     AP5130DN                
  37     AP7030DE                                                                
  38     AP2010DN                                                                
  39     AP8130DN                                                                
  40     AP8030DN                                                                
  42     AP9330DN                                                                
  43     AP4030DN                                                                
  44     AP4130DN                                                                
  45     AP3030DN                                                                
  46     AP2030DN                                                                
  ------------------------------------------------------------------------------ 
  Total number: 23

 

# Establezca el modo de autenticación AP en la autenticación de la dirección MAC (configuración predeterminada). Agregue el AP sin conexión basado en la ID de tipo de AP. Suponga que el tipo de AP es AP6010DN-AGN, y la dirección MAC del AP es 60de-4476-e360.

[AC-wlan-view] ap id 0 type-id 19 mac 60de-4476-e360 
[AC-wlan-ap-0] quit 

# Configure una región AP y agregue el AP a la región AP.

[AC-wlan-view] ap-region id 10  
[AC-wlan-ap-region-10] quit 
[AC-wlan-view] ap id 0 
[AC-wlan-ap-0] region-id 10  
[AC-wlan-ap-0] quit 

# Después de encender el AP, ejecute el comando display ap all en el AC para verificar el estado de ejecución del AP. La salida del comando muestra que el estado del AP es normal.

[AC-wlan-view] display ap all 
  All AP information:            
  Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]        
  Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]             
  ------------------------------------------------------------------------------ 
  AP    AP               AP              Profile   AP              AP            
                                         /Region                                 
  ID    Type             MAC             ID        State           Sysname       
  ------------------------------------------------------------------------------ 
  0     AP6010DN-AGN     60de-4476-e360  0/10                ap-0          
  ------------------------------------------------------------------------------ 
  Total number: 1,printed: 1    

Paso 7     Configurar los parámetros del servicio WLAN.

# Crea un perfil WMM llamado wmm .

[AC-wlan-view] wmm-profile name wmm id 1 
[AC-wlan-wmm-prof-wmm] quit 

# Cree un perfil de radio llamado radio y enlace el perfil de WMM wmm al perfil de radio.

[AC-wlan-view] radio-profile name radio id 1  
[AC-wlan-radio-prof-radio] wmm-profile name wmm  
[AC-wlan-radio-prof-radio] quit 
[AC-wlan-view] quit 

# Crea una interfaz WLAN-ESS 1.

[AC] interface wlan-ess 1 
[AC-Wlan-Ess1] port trunk allow-pass vlan 101 
[AC-Wlan-Ess1] quit 

 

# Crea un perfil de seguridad llamado security.

[AC] wlan 
[AC-wlan-view] security-profile name security id 1 
[AC-wlan-sec-prof-security] quit 

# Crea un perfil de tráfico llamado traffic .

[AC-wlan-view] traffic-profile name traffic id 1 
[AC-wlan-traffic-prof-traffic] quit 

# Cree un conjunto de servicios denominado test y vincule la interfaz WLAN-ESS, el perfil de seguridad y el perfil de tráfico al conjunto de servicios.

[AC-wlan-view] service-set name test id 1 
[AC-wlan-service-set-test] ssid test    
[AC-wlan-service-set-test] wlan-ess 1  
[AC-wlan-service-set-test] security-profile name security 
[AC-wlan-service-set-test] traffic-profile name traffic 
[AC-wlan-service-set-test] service-vlan 101    
[AC-wlan-service-set-test] forward-mode tunnel    
[AC-wlan-service-set-test] quit 

    Paso 8     Configure la autenticación 802.1x en la interfaz WLAN-ESS.

[AC-wlan-view] quit 
[AC] interface wlan-ess 1 
[AC-Wlan-Ess1] authentication dot1x    
[AC-Wlan-Ess1] dot1x authentication-method eap    
[AC-Wlan-Ess1] domain name huawei.com force    
[AC-Wlan-Ess1] permit-domain name huawei.com    
[AC-Wlan-Ess1] quit

  Paso 9     Configurar una política de seguridad WPA2.

[AC] wlan 
[AC-wlan-view] security-profile name security 
[AC-wlan-sec-prof-security] security-policy wpa2    
[AC-wlan-sec-prof-security] wpa2 authentication-method dot1x encryption-method ccmp    
[AC-wlan-sec-prof-security] quit

 Paso 10     Configure un VAP y entregue parámetros VAP al AP.

# Configurar un VAP.

[AC-wlan-view] ap 0 radio 0 
[AC-wlan-radio-0/0] radio-profile name radio  
[AC-wlan-radio-0/0] service-set name test  
[AC-wlan-radio-0/0] quit

# Confirma la configuración.

[AC-wlan-view] commit ap 0 
Warning: Committing configuration may cause service interruption, continue?[Y/N] 
:y

 Paso 11     Configurar el servidor ISE.

# Inicie sesión en el servidor ISE.

1.          Ingrese la dirección de acceso del servidor ISE en la barra de direcciones, que está en el formato de https: // ISE-IP . ISE-IP es la dirección IP del servidor ISE.

2.          En la página que se muestra, ingrese el nombre de usuario y la contraseña para iniciar sesión en el servidor ISE.

# Crear información del departamento. Seleccione Administration > Identity Management > GroupsEn el panel en el lado derecho, haga clic en Add y luego cree un Identity Group llamado R&D department.

224735uwqwvrvkyzqttnwt.png?image.png

# Crear información de cuenta de usuario. Seleccione Administration > Identity Management > IdentitiesEn el panel de la derecha, haga clic en Add y agregue la cuenta de usuario y una contraseña para el R&D department.

224752sd5knn0j8idemmqq.png?image.png

# Agregue información de CA para que el ISE pueda interactuar con la CA. Seleccione Administration > Network Resources > Network Devices. En el panel del lado derecho, haga clic en Add para agregar información de AC.

Parámetro

Valor

Observaciones

Nombre

AC

-

Dirección IP

10.12.10.2/32

La dirección IP del AC debe ser accesible desde el servidor ISE.

Secreto compartido

123456

El valor debe ser el mismo que la clave del servidor RADIUS   configurada en el AC.

224815nlxbk63333o4ooo3.png?image.png

# Configurar los protocolos de autenticación y cifrado permitidos. Seleccione Policy > Policy Elements > Results > Authentication > Allowed Protocols y haga clic en Add para configurar los protocolos de autenticación y cifrado permitidos. En este ejemplo, se utiliza la configuración por defecto. Es decir, se permiten PAP, CHAP y EAP.

224833qsssurc62ffxhtoc.png?image.png

# Configurar las políticas de autenticación y autorización. Seleccione Policy > AuthenticationPolicy Type se puede establecer en Simple o Rule-based. En este ejemplo, configúralo en Simple. Luego, enlace la información del usuario y los protocolos de autenticación permitidos configurados en los pasos anteriores a la política de autenticación.

224850l5iuxnozxxxnntnh.png?image.png

Paso 12     Verificar la configuración.

   La test  WLAN con SSID está disponible para las STA conectadas al AP.

   La PC inalámbrica obtiene una dirección IP después de asociarse con la WLAN.

   Use el cliente de autenticación 802.1x en una STA e ingrese el nombre de usuario y la contraseña correctos. La STA está autenticada y puede acceder a la WLAN. Debe configurar el cliente para la autenticación PEAP.

           Configuración en el sistema operativo Windows XP:

yo.           En la página de la pestaña Association del cuadro de diálogo de Wireless network properties, agregue la test SSID , configure el modo de autenticación en WPA, el modo de encriptación en CCMP y el algoritmo de encriptación en AES.

ii.         En la página de la pestaña Authentication, establezca el tipo de EAP en PEAP y haga clic en Properties. En el cuadro de diálogo Protected EAP Propertie, deseleccione Validate server certificate y haga clic en Configure. En el cuadro de diálogo que se muestra, deseleccione Automatically use my Windows logon name and password y haga clic en OK .

           Configuración en el sistema operativo Windows 7:

yo.           Acceda a la página Manage wireless networks, haga clic en Add y seleccione Manually create a network profile. Añadir test SSID . Establezca el modo de autenticación en WPA-Enterprise , el modo de cifrado en CCMP y el algoritmo en AES. Haga clic en Next.

ii.         Haga clic en Change connection settings y haga clic en SettingsEn el cuadro de diálogo que se muestra, deseleccione Validate server certificate y haga clic en Configure . En el cuadro de diálogo que se muestra, deseleccione Automatically use my Windows logon name and password y haga clic en Ok.

----Fin

Archivos de configuración

   archivo de configuración de SwitchA


sysname SwitchA 

vlan batch 100 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk pvid vlan 100 
 port trunk allow-pass vlan 100 

interface GigabitEthernet0/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 100 

return

   archivo de configuración del enrutador


sysname Router 

vlan batch 102 

dhcp enable 

ip pool sta 
 gateway-list 10.10.10.1 
 network 10.10.10.0 mask 255.255.255.0 

interface Vlanif102 
 ip address 10.11.10.1 255.255.255.0 
 dhcp select global 

interface GigabitEthernet2/0/0 
 port link-type trunk 
 port trunk allow-pass vlan 102 

ip route-static 10.10.10.0 255.255.255.0 10.11.10.2 

return 

   archivo de configuración del AC.


sysname AC 

 vlan batch 100 to 103 

wlan ac-global carrier id other ac id 1 

dhcp enable 

radius-server template radius_huawei 
 radius-server authentication 10.12.10.1 1812 weight 80 
 radius-server shared-key cipher %@%@hH67%f}f8X"AE&Pw`wS~{:;0%@%@ 

aaa 
 authentication-scheme radius_huawei 
  authentication-mode radius 
 domain huawei.com 
  authentication-scheme radius_huawei 
  radius-server radius_huawei 

interface Vlanif100 
 ip address 192.168.10.1 255.255.255.0 
 dhcp select interface 

interface Vlanif101 
 ip address 10.10.10.1 255.255.255.0 
 dhcp select relay 
 dhcp relay server-ip 10.11.10.1 

interface Vlanif102 
 ip address 10.11.10.2 255.255.255.0 

interface Vlanif103 
 ip address 10.12.10.2 255.255.255.0 

interface GigabitEthernet1/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 100 

interface GigabitEthernet1/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 102 

interface GigabitEthernet1/0/3 
 port link-type trunk 
 port trunk allow-pass vlan 103 

interface Wlan-Ess1 
 port trunk allow-pass vlan 101  
 authentication dot1x 
 dot1x authentication-method eap 
 permit-domain name huawei.com 
 domain name huawei.com force 

wlan 
 wlan ac source interface vlanif100 
 ap-region id 10 
 ap id 0 type-id 19 mac 60de-4476-e360 sn 210235419610CB002287 
  region-id 10 
 wmm-profile name wmm id 1 
 traffic-profile name traffic id 1 
 security-profile name security id 1 
  security-policy wpa2 
 service-set name test id 1 
  forward-mode tunnel 
  wlan-ess 1 
  ssid test 
  traffic-profile id 1 
  security-profile id 1 
  service-vlan 101 
 radio-profile name radio id 1 
  wmm-profile id 1 
 ap 0 radio 0 
  radio-profile id 1 
  service-set id 1 wlan 1 

return


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba