Radius+无线控制器+深信服行为管理 部署无线802.1X认证

已于 2024-05-27 15:31:21 修改
阅读量2.9k 收藏 17
点赞数 3
分类专栏: Windows Server 文章标签: windows 运维 网络
于 2022-06-15 15:37:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54768192/article/details/125296038
版权

Windows Server - 建设篇

第三章 Radius+深信服行为管理+无线控制器 部署无线802.1X认证

系列文章回顾

第一章 Windows Server 2016搭建企业CA证书服务
第二章 自建CA给内部网站颁发SSL证书



下章内容

第四章 部署主从Radius认证服务

前言

        为实现内网无线用户的单点登录+实名认证,计划使用无线控制器的802.1X协议和Radius协议,配合深信服行为管理器做Radius单点登录的实名认证上线无线用户。

  • ESXi底层:VMware VMvisor 6.7.0
  • Radius服务器操作系统平台:Windows Server 2016
  • 无线控制器型号版本:H3C WX2540H V7
  • 行为管理器型号版本:SangforAC 12.0.44
  • 无线用户VLAN:80
  • 无线用户网段:10.0.50.0/22

实现原理

1. 认证方式:H3C无线控制器做SSID的802.1X EAP认证
2. 认证协议:Radius协议
3. 认证源:CA证书服务器(ESXi虚拟机,IP地址:1.1.1.1),NPS策略同步至LDAP目录
4. 认证对象:公司的无线用户
5. 认证上线:AC行为管理做Radius协议单点登录



实现方式

1. Radius认证源部署Radius服务(NAPS)
2. Radius认证源配置NPS策略,添加3.3.3.3(无线控制器)作为Radius客户端;添加AC行为管理作为远程Radius服务器,认证共享密钥保持一致
3. Radius认证源配置Radius的连接请求策略、网络策略。计费数据转发给2.2.2.2的UDP1813端口(SangforAC的计费端口)
4. 无线控制器新增RADIUS方案,认证源指向1.1.1.1的UDP1812和UDP1813(Radius服务器),认证共享密钥跟认证源保持一致
5. 无线控制器新增ISP域,认证、授权和计费均使用Radius,接入方式使用LAN接入
6. 无线控制器的802.1X认证方法配置为EAP,分隔符为@
7. 无线控制器新增SSID,本地转发、二层隔离、快速关联AP、链路层认证采用802.1X认证,WPA或WPA2、加密套件TKIP或CCMP
8. 无线控制器给所有AP组绑定802.1X认证的SSID到Radio射频
9. AC行为管理启用Radius服务
10. AC行为管理启用Radius单点登录功能,监听AC本地的UDP1813端口和Radius认证源的UDP1813端口
11. AC行为管理查看在线用户列表,验证无线用户使用802.1X认证的实名上线

1.1.1.1:udp1813是Radius服务器的Radius计费端口,2.2.2.2:udp1813是SangforAC的Radius计费端口,3.3.3.3是无线控制器IP
行为管理Radius单点登录监听端口的作用:
13. 监听Radius认证源的UDP1813计费端口 即 监听无线用户认证上线的数据包;
14. 监听SangforAC本地的UDP1813计费端口 即 监听无线用户认证成功的数据包。



前置条件

  • Radius认证服务器必须加域,Radius用户将同步LDAP用户做认证
  • 内网必须有CA证书服务,独立CA或企业CA都可,建议部署企业CA
  • Radius认证服务器可选部署在CA证书服务器上或其他加域服务器上,建议部署在CA证书服务器上



RADIUS认证服务器搭建及配置部分

此案例的Radius认证服务器搭建在企业根CA证书服务器上。以1.1.1.1为Radius服务器IP,2.2.2.2为行为管理器IP,3.3.3.3为无线控制器IP



Radius认证源部署Radius服务(NAPS)

1



Radius认证源配置NPS策略,添加无线控制器作为Radius客户端;添加AC行为管理作为远程Radius服务器,认证共享密钥保持一致
2




新建RADIUS客户端

3



新建远程RADIUS服务器组

4
5
6



Radius认证源配置Radius的连接请求策略、网络策略

7
8
9
10
11



配置网络策略

12
13
14
15
16
17
18




无线控制器配置部分

无线控制器新增RADIUS方案,认证源指向1.1.1.1(CA证书服务器),认证共享密钥跟认证源保持一致

1
2
3



无线控制器新增ISP域,认证、授权和计费均使用Radius,接入方式使用LAN接入

4
5



无线控制器的802.1X认证方法配置为EAP,分隔符为@

6
7



无线控制器新增SSID,本地转发、二层隔离、快速关联AP、链路层认证采用802.1X认证,WPA或WPA2、加密套件TKIP或CCMP

8
9
10
11
12
13



无线控制器给所有AP组绑定802.1X认证的SSID到Radio射频

1
2





行为管理器配置部分

启用Radius服务

1



启用Radius单点登录

监听Radius认证源(1.1.1.1)的1813端口和AC行为管理(2.2.2.2)本地的1813端口
1

AC行为管理查看在线用户列表,验证无线802.1X用户的实名上线

10.0.50.0/22网段为无线用户网段,认证方式是单点登录(Radius已认证),登录名显示为实名用户,所属组显示为LDAP的组织架构

(略)

歪果仨
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
H3C_端口802.1X认证基础配置案例
04-26
802.1X端口认证是一种基于端口的网络访问控制技术,它允许网络管理员在设备连接到网络之前对其进行身份验证。这种技术主要用于企业级网络,以增强网络安全性和访问控制。在本案例中,我们将深入理解如何在H3C设备上...
802.1x+RADIUS认证计费超详细配置有图.pdf
06-21
安装AD活动目录; 默认域安全设置; 配置AD用户和计算机; 配置自动申请证书; 配置internet难服务(IAS); 配置IIS(internet信息服务管理器); 查看记录; 认证者端配置无线客户端配置
企业内网H3C华三AC配置802.1x认证方案
yuzijiang11111的博客
06-26 743
以H3C华三AC(无线控制器)为例,本文主要讲述宁盾网络认证系统与华三AC对接配置802.1X认证方案。
配置华为路由器通过RADIUS对接安当ASP身份认证服务器以实现上网功能解决方案
最新发布
www.andang.cn
05-30 644
通过按照上述步骤配置华为路由器和安当ASP身份认证服务器,您应该能够成功实现通过RADIUS协议进行用户认证并访问网络的功能。添加RADIUS服务器配置,输入安当ASP身份认证服务器的IP地址、端口号(1812)和共享密钥。在配置完成后,使用在安当ASP身份认证服务器上创建的用户凭据尝试访问网络。根据安当ASP身份认证服务器的安装指南,安装并配置RADIUS服务。在路由器的认证方法配置中,选择RADIUS认证作为主要的认证方式。定期备份路由器和认证服务器的配置,以便在出现问题时能够快速恢复。
H3C交换机结合深信服AC做802.1x认证
zdl244的博客
12-15 4754
H3C交换机结合深信服AC做802.1x认证        这里介绍H3C接入交换机结合深信服的AC设备做802.1x认证深信服设备做认证服务器,H3C交换机做NAS客户端。深信服的AC做准入的认证方式只能支持eap协议。 深信服认证采用本地账号 1、配置深信服AC的802.1x认证: AC设备地址是192.168.1.94;Radius服务器共享密钥"a123456" 2、创建本地账号: 两个本地账号的密码都是"123456" 3
无线组网-AC联动radius服务器实现portal认证
weixin_44799797的博客
07-21 4497
无线组网-AC联动radius服务器实现portal认证
802.1x逃生模式
夜邢的博客
07-23 5023
802.1x逃生模式 华为802.1x逃生模式 华三802.1x逃生模式
802.1x认证,RADIUS认证
asufeiya的博客
07-15 6530
IEEE 802.1X IEEE 802.1X是IEEE制定关于用户接入网络认证标准(注意:此处X是大写[1]),全称是“基于端口的网络接入控制”,属于IEEE 802.1网络协议组的一部分。于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。它为想要连接到LAN或WLAN的设备提供了一种认证机制。 IEEE 802.1X协议在用户接入网络(可以是以太网/802.3或者WLAN网)之前运行,运行于网络中的数据链路层,EAP协议RADIUS协议。 IEEE 802.1X定义了
Radius认证有线与无线网络(一)
weixin_43075093的博客
04-21 8156
有线网络无线网络、DHCP服务、DHCP中继、无线管理网络无线业务网络无线WIFI发射、无线加密、射频、信道配置
无线802.1X认证功能——无线802.1X认证原理
君逍遥o
10-26 2105
无线PEAP认证分为几个阶段,802.11无线关联阶段、PEAP认证阶段、无线Key配置阶段、客户端IP地址获取阶段、正常网络访问阶段以及最后的下线阶段,接下来我们就依照下图对认证过程中的各个阶段进行详细描述。
802.1x之CA证书的配置
weixin_34220623的博客
08-26 1233
之前一直有人问CA证书怎么配置才能成功使用.现将我参考的一篇文章贡献出来,希望对大家有所帮助。 注:这里引用的文章是实现智能卡与证书所需要的配置,如果想使用PEAP,原理类似,证书不太一样就是了。下面的表格有写出来。大家举一反三,自己做吧。 使用EAP-TLS(智能卡与证书)实现802.1X----验证服务器和交换机相关配置 For this configuration...
基于LDAP与802.1x的无线接入统一身份认证研究
07-04
提出并建立了一套保障信息安全的全局身份认证管理系统,在采用RC4安全加密技术的基础上,实现了基于RADIUS无线802.1x/EAP接入认证和基于LDAP的认证服务的整合。实现接入用户认证管理和应用层统一身份认证用户的全局...
AD+MAC+IAS的802.1x无线认证局域网
03-02
机不支持 802.1x 协议,无线 AP 或无线控制器不支持基于 Radius 的 MAC 地址认证功能的情况下,布署 AD + MAC + IAS 的 802.1x 无线认证企业局域网。我们只要在 IAS 服务上登记无线 PC 客户端的 MAC 地址,授权其 ...
802.1X 基于 Windows server 2008 AD RADIUS 认证
09-16
802.1X 基于 Windows Server 2008 Active Directory (AD) 和 Radius 认证是一种网络接入控制技术,用于强化网络安全。它允许网络管理员对连接到网络的设备进行身份验证和授权,确保只有经过身份验证的用户才能访问...
ubuntu下802.1X搭配radius认证
qq_40188204的博客
03-23 1121
RADIUS(Remote Authentication Dial-In User Server,远程认证拨号用户服务)是一种分布式的、C/S架构的信息交互协议,能包含网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。协议定义了基于。
AC---上网行为管理
热门推荐
小翟的博客
10-13 1万+
AC小白必学
华为无线WiFi配置802.1x认证
VEGETA的博客
03-13 4674
华为无线AC搭配Windows NPS的802.1x认证模式。
简单对比H3C/Huawei 802.1x+Radius/AAA配置差异
m0_51770049的博客
10-12 3032
802.1x属于准入控制技术,又称EAPoE(Extensible Authentication Protocol Over Ethernet)本地验证(交换机本地建立用户数据库)CLient与Device之间跑的802.1x(EAP)Device与Server之间跑的RadiusRadius也是C/S架构)
802.1x radius
01-06
802.1x是一种网络访问控制协议,它提供了一种机制,用于在局域网中对用户进行身份验证和授权。RADIUS(远程身份验证拨号用户服务)是一种常用的认证和授权协议,用于管理网络用户的访问权限。 以下是一个关于802.1x和RADIUS的示例: ```shell Sep 20 10:20:21.598: RADIUS: User-Name [1] 7 "8021x" ``` 这是一个RADIUS服务器日志条目,其中包含了一个名为"8021x"的用户。 ```shell Sep 20 10:20:17.694: RADIUS: User-Name [1] 7 "8021x" ``` 这是另一个RADIUS服务器日志条目,也包含了一个名为"8021x"的用户。 通过这些日志条目,我们可以看到有两个用户使用802.1x协议进行身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

歪果仨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值