五、改善
现在这个时候一个中大型网络就搭好了,当然我们现在用的只是WPA-WPA2的混合方式来进行域共享密钥认证,肯定是还不能满足我们一个大型网络的需求的,我们还需要加白名单,进行dot1x认证等等
5.1 白名单
1.sta-whitelist-profile命令用来创建一个STA白名单模板或进入STA白名单模板视图
2.sta-access-mode whitelist 命令用来将指定的STA白名单模板引用到VAP模板或AP系统模板,只有通过本命令将STA黑白名单模板引用到VAP模板或AP系统模板,sta-mac配置的STA黑白名单才会生效
3.sta-mac :将MAC地址加入到白名单列表
优点:
- 改善前我们说明了是使用预共享密码就可以进行登录,后面改善通过让mac地址加白名单的方式才能实现连接无线,这个时候安全程度会提高,这种的话主要是针对生产设备或者是哑终端或者是无法安装802.1x认证客户端的形式来专门设计的,后面我们来说明使用802.1x认证来实现无线网络需求
六、802.1X
6.1 首先先配置802.1x接入模板
1、执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图
2、执行命令dot1x authentication-method { chap | pap | eap },配置802.1X用户的认证方式
缺省情况下,802.1X用户认证方式为eap**,即采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式**
采用EAP终结还是EAP中继,将取决于RADIUS服务器的处理能力。如果RADIUS服务器的处理能力比较强,能够解析大量用户的EAP报文后再进行认证,可以采用EAP中继方式;如果RADIUS服务器处理能力不能够很好的同时解析大量EAP报文并完成认证,建议采用EAP终结方式,由设备帮助RADIUS服务器完成前期的EAP解析工作。在配置对认证报文的处理方式时,务必保证客户端与服务器均支持该种方式,否则用户无法通过认证
注意事项:
- 只有采用RADIUS认证时,802.1X用户的认证方式才可以配置为EAP中继方式
- 采用AAA本地认证时,802.1X用户的认证方式只能配置为EAP终结方式
- 由于手机终端不支持EAP终结方式(PAP和CHAP协议),故手机终端认证时不支持配置为802.1X+本地认证方式。笔记本电脑等终端也需要安装第三方客户端才能支持EAP终结方式
- 如果802.1X客户端采用MD5加密方式,则设备端用户的认证方式可配