EAP-TLS实验之H3C MSR2600-10-X1配置相关

已于 2024-02-29 15:09:40 修改
阅读量960 收藏 22
点赞数 20
分类专栏: AAA 文章标签: 网络安全 密码学
于 2024-02-29 14:53:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DIANZI520SUA/article/details/136366953
版权

        H3C MSR2600充当802.1x流程中的NAS(Network Access System)角色,一般负责实际待验证的设备与认证服务器之间沟通的桥梁(当然也可以配置成认证服务器角色)工作。在挑选购买支持802.1x的路由器或交换机时需要跟厂家明确是否可以支持eap-tls的证书认证服务,一般支持的价格上也略贵。

        

 资料下载     

        H3C(新华三)产品资料文档下载的网址上包含了很多系列的产品资料,有兴趣的同学可以点击这里进行浏览下载。

        我们从零开始吧(前期瞎配了一堆东西,搞的现在登录密码都忘了,马大哈的毛病还须继续治疗)。

登录方式

        目前有两种:其一,网线web,其二,Console口串口。如上文第一张照片所示,两种方式我均已接上,web方式方便配置基本信息,如LAN/WAN/IP等等,console口方便通过命令行的形式执行更深层次的配置,比如本次我们需要配置的eap-tls认证相关的信息。

web登录

        出厂默认IP为192.168.0.1,地址栏直接输入IP即可,如下图所示,

 

可以看见该型号有10个端口,其中GE0~GE1是三层以太口,作WAN口用,GE2~GE9是二层以太口,作LAN口用,GE2口亮了,说明2口已经连上了网线。

如无特殊要求我们直接按快速设置即可(如实际有其他需求可按实际需要配置),见下图,

场景选择(单WAN)

外网配置(GE0)

LAN配置

全部设置完成后,一定要记得点击右上角的保存按钮,否则下次重启后的配置还是默认值。

console登录

        厂家有配console口转接线,如果你电脑上没有DB9公头接口,那么你需要准备一根DB9(公)转USB的线,可以选择一般的串口调试软件进行连接显示,比如secureCRT、PUTTY等等,我用的是支持多种协议的MobaXterm。波特率为9600,连接登录后的界面如下所示,

可以通过show ip interface命令打印出设备网络信息,

执行system-view命令可以进入到视图模式(后文的配置就是在视图模式下进行设置)。

示例配置

创建RADIUS方案
[H3C] radius scheme 1xallpermit

1xallpermit为方案名称,可以随意取,

AAA认证服务器信息绑定
[H3C-radius-1xallpermit]primary authentication 192.168.0.100 1812

[H3C-radius-1xallpermit]primary accounting 192.168.0.100 1813

192.168.0.100为认证服务器IP(前面文章中搭建的Ubuntu freeradius环境),1812为认证端口,1813为计费端口。

共享密钥注册
[H3C-radius-1xallpermit]key authentication simple testing123

[H3C-radius-1xallpermit]key accounting simple testing123
是否带域名信息认证
[H3C-radius-1xallpermit]user-name-format without-domain

[H3C-radius-1xallpermit]quit

我这里不带域名,如果带命令则是user-name-format with-domain.

domain配置关联
[H3C]domain system
[H3C-isp-system]authentication lan-access radius-scheme 1xallpermit

[H3C-isp-system]authorization lan-access radius-scheme 1xallpermit

[H3C-isp-system]accounting lan-access radius-scheme 1xallpermit

[H3C-isp-system]quit

我这里暂时关联到默认的域(system)。

802.1X配置
[H3C]dot1x
[H3C]interface GigabitEthernet 0/2
[H3C-GigabitEthernet0/2]dot1x
[H3C-GigabitEthernet0/2]quit
[H3C]dot1x authentication-method eap
[H3C]save

使能全局和指定端口的dot1x功能并指定认证方法为eap(根据具体情况来),记得最后save保存一下(端口的写法这款是GigabitEthernet 0/n,n = 0~9,如果实在不清楚,通过tab键可以有补全提示功能)。

至此NAS设备端配置完毕。

其他问题

        比如上图这样的% Unrecognized command found at '^' position问题,比较常见的是命令或参数的确是输错了,仔细检查确认一番,另外一种是没有进入视图模式,需检查切换一下。另外如果你用的是H3C配套的软硬件设备,可以参考文末的两篇文章。

        下一篇文章我们将串起整个流程进行802.1x eap-tls认证,我们需提前将最新的wpa_supplicant移植到待认证的设备上(可参考上篇文章,不再单独写一篇)。

        回见。

参考

802.1X典型配置案例 - 知了社区

有线802.1X EAP-TLS证书认证配置案例 - 知了社区

DIANZI520SUA
关注
  • 20
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
新公司布线到接外网和H3C MSR2600路由器配置经过纪录
SuSe的专栏
03-29 1万+
一、机房布线  1.1:布线主要机房布线说明下,其他打水晶头就不说了,机房机柜要求布线整洁,两两网线隔开用扎带绑好,美观整齐。  二、外网接入  2.1:外网接入主要注意点,ADSL账号企业环境务必把账号设置在路由器内。有时ISP电信运营商会限制上网数量,通过单机不好,             多开网页,看打开网页打开效果,和多机测试。  三、路由配置   3.1:路由配置
h3c路由器msr2600-10,msr3600-28调试记录
uhml的专栏
11-08 1万+
msr2600-10:(V5) 1、开通web服务 h3c路由器怎么开启web功能https://zhidao.baidu.com/question/1924960621185343867.html h3c路由器怎么开启web功能https://wenku.baidu.com/view/191d8a8dbceb19e8b8f6bad2.html 2、增加wan口,lan口切换为wan口...
H3C 2610升级固件
10-26
H3C 2610 交换机固件H3C S2610-CMW520-R1106
H3C路由器配置-局域网
07-13
H3C路由器配置H3C路由器配置H3C路由器配置H3C路由器配置H3C路由器配置H3C路由器配置H3C路由器配置H3C路由器配置
H3C路由设备基本配置(二)
weixin_33749242的博客
11-26 257
一、用户模式 <SW2> <SW2>system-view [SW2] 二、特权模式 [SW2] 退出到用户模式 [SW2]quit <SW2> 三、配置IP地址 1、在交换机上配置IP和网关 配置管理IP地址 [SW1]interface Vlan-interface 1 [SW1-Vlan-interface1]ip address ...
如何通过console口登录路由新设备 (H3C MSR2600)
热门推荐
SuSe的专栏
03-30 3万+
 小伙伴们对第一次上电的交换机进行配置时,需要通过Console口登录交换机。如何才能通过Console口登录交换机呢?请向下瞅:                                                           步骤1:连线。 请使用产品随机附带的Console通信线缆的DB9(孔)插头插入PC1的9芯(针)串口(串口标志是
视频教程-【H3C V7路由器实战视频课程系列-4】NAT和端口镜像配置与管理-H3C认证
weixin_30336577的博客
05-28 112
H3C V7路由器实战视频课程系列-4】NAT和端口镜像配置与管理 国内I...
H3C-MSR-2600路由器配置.docx
07-12
H3C-MSR-2600路由器配置全文共2页,当前为第1页。H3C-MSR-2600路由器配置全文共2页,当前为第1页。H3C MSR 2600路由器配置 H3C-MSR-2600路由器配置全文共2页,当前为第1页。 H3C-MSR-2600路由器配置全文共2页,当前为第1页。 192.168.8.254可访问到web界面 H3C-MSR-2600路由器配置全文共2页,当前为第2页。H3C-MSR-2600路由器配置全文共2页,当前为第2页。. H3C-MSR-2600路由器配置全文共2页,当前为第2页。 H3C-MSR-2600路由器配置全文共2页,当前为第2页。 H3C-MSR-2600路由器配置
H3C设备-802.1X认证配置
最新发布
m0_68698993的博客
08-15 2766
5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。1、打开iNode智能客户端,输入用户名:admin,密码:admin123,点击"连接",连接成功则表示认证通过,如下图所示;1、打开WinRadius软件,点击"设置">"系统"配置NAS秘钥:h3c@123,认证端口1812,计费端口1813;2、 端口GE1/0/1 下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
简单对比H3C/Huawei 802.1x+Radius/AAA配置差异
m0_51770049的博客
10-12 2945
802.1x属于准入控制技术,又称EAPoE(Extensible Authentication Protocol Over Ethernet)本地验证(交换机本地建立用户数据库)CLient与Device之间跑的802.1x(EAP)Device与Server之间跑的Radius(Radius也是C/S架构)
H3C路由器配置.docx
07-12
整体配置过程与解释: <H3C>sys 进入到系统视图 sysname XXX // 修改路由器名字 [H3C]ip https enable #配置https local-user admin #创建用户admin password simple admin#密码admin service-type https #服务型https authorization-attribute user-role level-15 #把权限给角色15 quit#退回上级模式 telnet server enable#配置telnet服务 local-user admin #配置telnet 用户名 password simple admin888 #配置明文密码为admin888 server-type telnet #配置用户telnet服务类型 authorization-attribute user-role level-3 #配置用户级别 quit user interface vty 0 4 #线程模式 authorization-mode scheme #用户名+密码 quit 先配L
H3C_端口802.1X认证基础配置案例
04-26
H3C_端口802.1X认证基础配置案例,原创文档。 适用于H3CV7版本的网络设备,包括交换机、路由器等。 搭建环境为HCL3.0.1,适用于刚入门的网络工程师学习参考。
H3C MSR系列路由器配置实例
06-06
H3C MSR系列路由器配置实例,详解讲解了生产环境中的各种应用场景,并对配置步骤做了讲解。
H3C-MSR-2600路由器-安装指导-6W104-整本手册
02-03
H3C-MSR-2600路由器-安装指导-6W104-整本手册
H3C MSR系列路由器典型配置举例(V5)
12-15
MSR系列路由器典型配置举例(V5)
ubuntu+freeradius搭建EAP-TLS双向认证测试环境.docx
01-18
使用Ubuntu+freeradius实现802.1X eap-tls双向认证环境搭建
eap.rar_.eap_EAP_EAP-TLS_eap-aka_eap-sim
09-21
EAP source code for wireless AP development
EAP-PEAP&EAP;-TLS认证具体流程分析.docx
07-09
详细介绍了EAP-PEAL 和ESP-TLS的技术原理, 认证流程分析和数据抓包分析。帮助理解该两种认证方式在WLAN网络中的应用,特别有助于排错和问题定位。
802.1X协议的EAP-MD5.EAP-TLSEAP-LEAP之间的不同
07-15
EAP-MD5、EAP-TLSEAP-LEAP是在802.1X协议中使用的不同的认证方法。它们之间的区别如下: 1. EAP-MD5(Extensible Authentication Protocol with Message Digest 5):EAP-MD5是一种基于密码的认证方法。在认证过程中,客户端和认证服务器之间会进行挑战-响应的步骤,通过计算MD5哈希值来验证客户端的身份。然而,EAP-MD5的安全性相对较弱,因为它没有提供身份验证的互相验证机制,容易受到中间人攻击。 2. EAP-TLS(Extensible Authentication Protocol with Transport Layer Security):EAP-TLS是一种基于证书的认证方法。在认证过程中,客户端和认证服务器之间会进行公钥加密和数字证书验证。客户端使用自己的数字证书向认证服务器证明其身份,并与服务器进行互相验证。EAP-TLS提供了更强的安全性和身份验证机制,防止中间人攻击,并且可以支持更多高级的安全功能。 3. EAP-LEAP(Extensible Authentication Protocol- Lightweight Extensible Authentication Protocol):EAP-LEAP是思科公司开发的一种专有的认证方法。它使用了一种类似于密码的身份验证机制,但在传输过程中使用了动态WEP密钥加密数据。EAP-LEAP在早期的无线网络中使用较为广泛,但由于存在一些安全漏洞,现在已不推荐使用。 总结来说,EAP-MD5是基于密码的认证方法,EAP-TLS是基于证书的认证方法,而EAP-LEAP是一种特定厂商的认证方法。EAP-TLS提供了更高的安全性和可靠性,被广泛应用于网络安全领域。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值