MSR810配置本地认证的无线802.1X认证

最新推荐文章于 2024-09-23 22:58:02 发布
最新推荐文章于 2024-09-23 22:58:02 发布
阅读量385 收藏 8
点赞数 4
文章标签: 网络 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/141634733
版权

229516eaf2cad2884860d657b404a2fd.gif

正文共:1024 字 12 图,预估阅读时间:2 分钟

通过上次实验MSR810配置本地认证的有线802.1X认证,我们初步掌握了802.1X协议的一些基础配置。上次实验中,我们在MSR810-W的LAN接口上对所接入的用户和设备进行了认证,可以控制用户设备对网络资源的访问。

日常使用中,除了传统的有线网络,802.1X认证在无线网络中的使用率也不断攀升,我们现在已经知道,客户端系统即终端设备,当客户端使用WLAN接入时,认证端口也必须支持WLAN接口。

碰巧我的MSR810-W也支持WLAN功能,并且在上次验证配置时,我们也看到了WLAN相关的信息,证明设备应该支持无线802.1X认证,我们今天就来测试一下。

34e6541b65ca4d4ad38d56873ba2ec8b.png

注意:无特殊组网要求的情况下,无线环境中通常使用端口安全特性。在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性。

为了配置方便,我们今天的案例仍使用MSR810-W自带的本地认证,用户必须设置为lan-access服务类型的网络接入类用户,如下所示:

#
local-user tietou class network
 password simple tietou1x
 service-type lan-access
 authorization-attribute user-role network-operator

对应的,我们新建一个domain域802.1x,并将lan-access用户的认证方法和授权方法配置为local本地认证,不配置计费。

#
domain 802.1x
 authentication lan-access local
 authorization lan-access local

缺省情况下,设备采用的认证方法为EAP终结方式,该方式下,设备对客户端发送的EAP报文可以支持本地认证的本地终结处理;认证时,默认使用CHAP类型的认证方法,满足安全性的要求。

需要注意的是,无线802.1X认证的开启不是在无线接口上,而是在无线服务模板上。不过,仍然要在同时开启全局和无线服务模板的802.1X后,802.1X的配置才能生效。

当选择AKM(Authentication and Key Management,身份认证与密钥管理)模式为802.1X时,WLAN用户接入认证模式只能配置为802.1X模式。当AKM配置为PSK模式时,必须配置PSK密钥;当AKM配置为802.1X模式时,无需配置PSK密钥。若配置了PSK密钥,无线服务模板依旧可以使能,但配置不会生效。(也有可能配置异常,无法连接)

为了方便起见,我们就不配置AKM了,只需将用户接入方式配置为802.1X认证即可。

#
wlan service-template h4c
 ssid h5c
 client-security authentication-mode dot1x

除此之外,我们还要使用命令dot1x domain来指定无线服务模板下802.1X用户的认证域,和有线认证选择认证域的顺序类似,无线认证的选择顺序为:无线服务模板下指定的认证域>用户名中指定的认证域>系统缺省的认证域

配置完成后使能无线服务模板即可,则开启无线801.1X的配置为:

#
dot1x
#
wlan service-template h4c
 ssid h5c
 client-security authentication-mode dot1x
 dot1x domain 802.1x
 service-template enable

最后,我们使用H3C iNode客户端的802.1X功能进行连接,定制和安装过程参考之前的文章MSR810配置本地认证的有线802.1X认证

首先连接WLAN,此时我们可以看到无线处于开放状态,可以点击“连接”按钮直接接入WLAN。

377f7ac0f7b7bcfa7e0eadc14432f20f.png

接入成功后,WLAN处于无Internet的状态。

c0c45005e0a557c36086a3b667aafa2c.png

接下来,我们运行客户端,首先点击更多中的“属性”,修改认证配置。

deb5ee1f647cb6d33e666ecf7dc3901a.png

“常规”选项卡,我们将网卡修改为使用中的无线网卡,并且确认802.1X连接属性中的“上传客户端版本号”选项未被选中。

978d45670af9e187cc86e4b633978a7d.png

点击“确定”回到连接页面,输入用户名和密码进行认证,此时客户端可以正常上线。

f148124c91eb8e7827295387b7413ae6.png

在设备上,我们可以使用命令查看设备上802.1X的配置和状态信息,此时无法再使用interface筛选无线接口,因为interface只能选择到有线接口。

display dot1x

e62acb8909f596f2be10729a3827b893.png

当802.1X用户输入正确的用户名和密码成功上线后,可使用命令查看到上线用户的连接情况。

display dot1x connection

c5552b4b8df38f4e6508f58dd2da1d82.png

还可以查看802.1X的会话连接信息。

861f7a3c1fd04341d5245013ea702ae0.png

因为路由器开启了DHCP功能,所以终端通过802.1X认证之后可以正常获取IP地址,可以从设备上查看地址分配情况。

f2b9fe7f868047a9f60b838ad9f12639.png

可以看到,客户端的MAC地址显示比正常的多了两位,前两位为Client identifier,代表硬件类型,此处值为01,即表示以太网。

友情提醒,如果配置了AKM模式为802.1X,则会在连接时就要求输入用户名和密码。

58944d3735f6a41bd185b3d7cee3fc4d.png

而此时因为认证机制问题,无论我们如何输入或调整,都会认证失败。

5db2ab77a3d28dc8fad9dfff74d38b51.png

查看失败原因,提示为认证方法错误,无论如何调整都不能解决。

6ec58f71cbf791e16198fc9f7b4df173.gif

长按二维码
关注我们吧

9bc5dcb9b910ac2584eb74ffff48fff0.jpeg

4e6a1054b5d1a745f153efe6797e9354.png

MSR810配置本地认证的有线802.1X认证

网络之路24:VLAN基础实验

配合DHCP实验讲解一下DHCP考题

使用VLC media player初步认识单播、广播和组播

通过抓包简单对比一下单播、广播和组播的区别

HCL中竟然新增了Openwrt服务器,你知道怎么用吗?

HCL使用Openwrt测试组播的简单操作

iperf测试组播的命令是什么?通过HCL学习一下

组播源和组播接收者的IP地址配置不配行不行?

ip address命令操作指南

添加组播地址的autojoin标志就能测试祖播了

手撸一个自动创建SSL证书的SHELL脚本

Linux下的VLC简介

ip route命令操作指南

AI讽刺检测:侮辱你的AI而不冒犯它

Danileaf_Guo
关注
2023年全国职业院校技能大赛GZ073网络系统管理赛项模块A:网络构建卷II——赛题解析+命令配置
君逍遥o
01-11 2051
13.北京综合服务中心内网VLAN40 IPv6终端有访问广域网30.0.0.1地址需求,为此在R2路由器部署NAT-PT实现IPv6地址的动态转换,具体规划内网IPv6地址转换地址池为12.1.1.3-12.1.1.5,30.0.0.1转换为2001:21:1::2。无线用户(认证用户名user1、密码为YY)关联SSID后使用802.1X认证方式,可自动获取VLAN10地址(XX、YY现场提供)。R2、S1、S2间归属区域0,S1、S3间归属区域1,S2、S4间归属区域2。配置AC1为主,AC2为备。
网络系统管理赛项-网络构建样题-华三设备解析
weixin_42221934的博客
02-07 567
2023年全国职业院校技能大赛网络系统管理(网络构建-华三解析)
H3C MSR810 系列千兆营销路由器最新固件
06-05
H3C MSR810 系列千兆营销路由器最新固件。MSR 810系列通用。带AC管理功能。
搭建802.1X服务器及如何使用路由器接入和桥接(WDS)
let_he_write的博客
08-22 4429
搭建802.1X服务器及如何使用路由器接入和桥接(WDS) 本文说明了以下几个内容: 1、如何使用freeradius(在自己电脑上,linux系统)搭建802.1X认证服务器 2、如何将路由器A(openwrt系统)作为client连接上述服务器 3、如何使用路由器B(openwrt系统)桥接步骤2中的路由器A 一、使用freeradius(在自己电脑上)搭建802.1x认证服务器 参考http...
MSR810配置有线Portal认证
最新发布
衡水铁头哥的博客
09-23 749
正文共:1333 字 15 图,预估阅读时间:2 分钟我们前面介绍了办公网络中比较常用的一种认证方式--802.1X认证MSR810配置本地认证的有线802.1X认证MSR810配置本地认证无线802.1X认证),我们可以发现其认证需要依赖于客户端进行认证,对于一些简易场景,如访客网络等,安装客户端就不那么方便了。此时,我们一般就会使用另外一种认证方式:Portal认证。Portal一般由门...
无线路由器上安装OpenWRT,在需要标准802.1x认证网络无线上网
weixin_30381793的博客
03-16 1158
学校一直用H3C客户端上网,因此无法直接使用无线路由器。后来去一些论坛时常看见DD-WRT和OpenWrt这两个词,也初步了解到wpa_supplicant、njit-client、mentohust、OH3C等等,知道它们经过配置能够通过Wan口实现H3C、锐捷、港湾等802.1x认证,然后Wlan发射WiFi信号,于是就能实现多机无线上网,但因种种原因一直没有尝试。 这两天终于有机会好好折腾...
MSR810-LM快速配置通过LTE模块上网
衡水铁头哥的博客
05-14 1248
正文共:1111 字 13 图,预估阅读时间:1 分钟之前买了一个无线版本的MSR810-W(淘了一台二手的H3C企业路由器,就用它来打开网络世界的大门),并整理了一份快速配置(脚本案例来了!一台初始化配置MSR810-W快速满足业务上线的4个要求)。后来搞SD-WAN,比较多的用到了LTE模块,所以最近我又入手了一台MSR810-LM,产品型号是MSR-810企业级6端口千兆4G LTE路由器...
MSR810配置本地认证的有线802.1X认证
衡水铁头哥的博客
08-28 841
正文共:1567 字 15 图,预估阅读时间:2 分钟IEEE 802.1X协议又称DOT1X协议,是一种基于端口的网络接入控制协议(Port based network access control protocol),即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。802.1X系统中包括三个实体:客户端系统、认证系统和认证服务器认证系统的体系架构如下...
H3CMSR路由器配置指南-802.1X强制认证域解析
无线充电领域,如果设备需要连接到网络进行数据交换或远程控制,802.1X认证可以确保只有经过验证的设备才能参与充电过程,从而保护无线充电系统的安全性和数据隐私。 H3CMSR系列路由器是企业级的网络设备,支持...
MAC迁移与无线充电技术:配置指南
本文档详细介绍了如何配置H3CMSR系列路由器,特别是针对802.1X用户和MAC地址认证用户的管理功能。在配置允许MAC迁移功能方面,这一特性允许在线的认证用户在设备的不同端口之间移动并重新认证,而不会导致多端口同时...
2023年全国职业院校技能大赛GZ073网络系统管理赛项模块A:网络构建题解
qq1324434947的博客
01-01 3469
2023年全国职业院校技能大赛GZ073网络系统管理赛项模块A:网络构建题解
H3C-MSR路由器web配置指导
11-26
上述文档为H3C的MSR系列路由器的web配置指导手册,有助于初学者参考使用。
什么是 802.1X?它是如何工作的?
chinkwoyu的博客
11-17 2536
设备尝试连接到局域网(LAN)或无线局域网(WLAN)时需要身份验证机制。IEEE 802.1X,作为端口基础网络访问控制(PNAC)的IEEE标准,为安全的网络访问提供了受保护的认证802.1X网络与普通网络有一个显著的不同之处:它拥有一个名为RADIUS服务器认证服务器。该服务器会核查用户的凭据,确认其是否是组织中的活跃成员,并根据网络策略,为用户授予不同层次的网络访问权限。这种做法允许每个用户使用独特的凭据或证书,摆脱对容易被窃取的单一网络密码的依赖。
H3C产品的默认密码是多少?
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-18 1万+
​ H3C服务器带外默认账号和密码 默认地址:192.168.1.2 默认账号:admin //H3C产品的默认密码是多少 默认密码:Password@_ //H3C产品的默认密码是多少 H3C设备采用出厂配置启动时,通过Console口登录时认证方式为scheme,用户名和密码均为admin;设备采用空配置启动时,通过Console口登录时认证方式为none,可直接登录。登录成功之后用户角色为network-admin AP设备,在AP上开启允许TELNET登录时,telnet的密码是h3cap
校园网路由器有线中继(针对802.1X)
Baron_wu的博客
10-15 4672
目前好多大学校园网都要使用学生账号认证,虽然多个设备可以同时连接上网,但是AP距离宿舍太远,若宿舍内有有线网口,可以考虑有线中继校园网,这样之后自己在宿舍上网就不需要那么麻烦了。 准备工作: 一款可以刷Openwrt的路由器,具体型号可以在以下网站上查看: Openwrt Router Table 若找到的路由器在该列表中,那么打开对应刷机教程wiki页面,例如ASUS RT-AC57U:RT-AC57U刷Openwrt教程 针对具体型号的教程可以在以下链接中查找: https://openwrt.or.
班旗怎么用软件设计_怎么样用电脑设计制作班旗需要的图
weixin_39585886的博客
12-21 1460
多个路由器设置方法:方法一、设置2级路由。一、两台路由器连接方法1、有电信猫:电信猫----路由器1wan口;路由器1lan口----路由器2wan口;路由器2lan口----电脑。2、没有电信猫:网线----路由器1wan口;路由器1lan口----路由器2wan口;路由器2lan口----电脑。二、设置方法设置前,请断开这台路由器2wan口网线,等设置完成后在插上。1、设置第2台路由器ip段。...
802.1X基本配置
weixin_30381317的博客
12-22 794
基本的802.1X部署工作包括以下4步: 1. 为Cisco Catalyst交换机配置802.1X认证方 2. 为交换机配置访客VLAN或者受限VLAN,并调整802.1X定时器(可选) 3. 为Cisco ACS配置EAP-FAST,并在本地数据库创建用户账户 4. 为客户主机配置并部署802.1X请求方 一般性部署原则: • 在802.1X架构中采用扩展性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值