通过上次实验(Wi-Fi密码泄露也不怕了!教你用MAC地址认证,打造更安全的公司网络),我们已经掌握了MAC地址认证的配置方式。但是,由于现在越来越多的无线终端默认启用随机硬件地址功能,导致MAC地址认证在实际应用时可能会出现一些异常状况,影响认证体验。
于是,在一些办公场景中,可能还会采用基于端口的网络接入控制协议(Port based network access control protocol),即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问,比如IEEE 802.1X协议(又称DOT1X协议)。
对于802.1X协议,我们前面已经基于MSR810-W设备做过简单介绍,一个是作为有线接入设备使用的有线802.1X认证(MSR810配置本地认证的有线802.1X认证),在MSR810-W的LAN接口上对有线设备用户进行认证;另一个是作为胖AP接入无线终端的无线802.1X认证(MSR810配置本地认证的无线802.1X认证),在MSR810-W的无线服务模板上对无线设备用户进行认证。
其实,当MSR810-W设备作为AC时,配置无线802.1X认证的方法差异不大,主要是将无线服务模板的绑定位置从设备的无线射频口切换到了瘦AP的无线射频口上,我们可以简单测试一下。
注意:在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性。
为了配置方便,我们今天的案例仍使用MSR810-W自带的本地认证,用户必须设置为lan-access服务类型的网络接入类用户,如下所示:
#
local-user tt802 class network
password simple tt802.1x
service-type lan-access
对应的,我们新建一个domain域dot1x,并将lan-access用户的认证方法和授权方法配置为local本地认证,不配置计费。
#
domain dot1x
authentication lan-access local
authorization lan-access local
缺省情况下,设备采用的认证方法为EAP终结方式,该方式下,设备对客户端发送的EAP报文可以支持本地认证的本地终结处理,还可以支持与RADIUS服务器进行联动;认证时,默认使用CHAP类型的认证方法,满足安全性的要求。如果已经配置了其他认证方法,可以使用以下命令更改;因为是默认配置,配置之后不会显示在运行配置中。
dot1x authentication-method chap
需要注意的是,无线802.1X认证不是直接配置在无线射频接口上的,而是先在无线服务模板上启用,再将无线服务模板正常绑定到无线射频接口上,才能生效。
接下来,我们创建一个新的无线服务模板,配置WLAN用户接入认证模式为802.1X(dot1x)认证,配置802.1X用户ISP域为刚才新建的dot1x,并使能无线服务模板。
#
wlan service-template dot1x
ssid dot1x
client-security authentication-mode dot1x
dot1x domain dot1x
service-template enable
最后,将无线服务模板绑定到无线射频接口上。
#
wlan ap AP2 model WA5530
serial-id 219801A0YF918AG00C39
radio 1
service-template dot1x
接下来,客户端上线部分就稍微麻烦一些了。目前802.1X认证主要通过H3C iNode客户端的802.1X功能进行连接,需要使用iNode管理中心提前定制客户端,再分发到认证客户端进行安装,详细过程可以参考之前的文章(MSR810配置本地认证的有线802.1X认证)。
简单来看,运行iNode管理中心之后,点击【客户端定制】,网络接入组件选择【802.1X】,再点击【完成】,就可以快速完成客户端的定制。
对于首次安装的用户,勾选【生成定制的客户端安装程序】就可以了。
定制好安装包之后,将安装包复制到需要认证的主机上,安装好就可以运行了。
首先连接WLAN,此时我们可以看到无线处于开放状态,可以直接接入WLAN。
接入成功后,因为没有还通过802.1X认证,所以WLAN暂时处于无Internet的状态。
接下来,我们在客户端登录页面,首先点击更多中的“属性”,修改认证配置。
在“常规”选项卡,我们将网卡修改为使用中的无线网卡,并且确认802.1X连接属性中的“上传客户端版本号”选项未被选中。
点击“确定”回到连接页面,输入用户名和密码进行认证.
此时客户端可以正常上线。
在设备上,我们可以使用命令查看设备上802.1X的配置和状态信息,可以使用ap筛选接入的AP。
display dot1x ap AP2
当802.1X用户输入正确的用户名和密码成功上线后,可使用命令查看到上线用户的连接情况。
display dot1x connection
还可以查看802.1X的会话连接信息。
display dot1x sessions ap AP2
可以看到802.1X认证不会验证客户端的MAC地址,只要有账号密码即可接入网络,管理员配置会比较方便。当然,802.1X认证还可以结合其他认证要素进行身份和环境验证,提升网络安全性,不过安装客户端对于部分用户或网络管理员来讲还是有点考验耐心的。
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/3022.html
