v7的ac集中轉(zhuǎn)發(fā)架構(gòu)下���,AP和Client通過DHCP server獲取IP地址��,并且開啟了802.1x本地認(rèn)證���。希望對(duì)1x認(rèn)證進(jìn)行加密,需要導(dǎo)入證書(必須)�����,而且AC必須使用D029版本�,電腦終端結(jié)合inode客戶端使用,手機(jī)終端可直接使用����。
通過ftp或者tftp方式將附件cert_BPS.rar中的CA證書cacert.crt和本地證書local.pfx 導(dǎo)入設(shè)備。
(1) 配置pki domain�,并導(dǎo)入證書。
#創(chuàng)建一個(gè)名稱為eap-gtc的PKI域�,導(dǎo)入CA證書cacert.crt和本地證書local.pfx����。
[Device] pki domain eap-gtc
[Device] pki import domain eap-gtc pem ca filename cacert.crt
The trusted CA's finger print is:
MD5 fingerprint:CEA3 E3EF C7B6 6BFD 8D9E 8174 606C 8D8E
SHA1 fingerprint:4D25 EA37 4885 5E94 3B0E 1B83 7AA7 290D 23A6 4EC3
Is the finger print correct?(Y/N):y
[Device] pki import domain eap-gtc p12 local filename local.pfx
Please input the password: 123456
(2) 配置ssl server-policy
#創(chuàng)建一個(gè)名稱為ssl-eap 的SSL服務(wù)器端策略��,配置SSL服務(wù)器策略所使用的PKI域?yàn)閑ap-gtc���。
system-view
[Device] server-policy ssl-eap
[Device-ssl-server-policy-ssl-eap] pki-domain eap-gtc
(3) 配置eap-profile模板
#創(chuàng)建一個(gè)名稱為eap-srv 的EAP認(rèn)證方案�����,配置的認(rèn)證方法為PEAP-GTC�、引用SSL服務(wù)器端策略為ssl-eap���。
[Device] eap-profile eap-srv
[Device-eap-profile-eap-srv] method peap-gtc
[Device-eap-profile-eap-srv] ssl-server-policy ssl-eap
(4) 配置全局dot1x認(rèn)證
#啟用EAP中繼方式���,支持客戶端與RADIUS服務(wù)器之間所有類型的EAP認(rèn)證方法。
[Device] dot1x authentication-method eap
(5) 配置ISP模板
# 創(chuàng)建一個(gè)名稱為eap-gtc的ISP域��,使用ldap認(rèn)證��、none授權(quán)和none計(jì)費(fèi)方法����。
[Device] domain eap-gtc
[Device-isp-local] authentication lan-access local
[Device-isp-local] authorization lan-access local
[Device-isp-local] accounting lan-access local
[Device-isp-local] quit
(6)創(chuàng)建本地用戶
[Device] local-user localuser class network
[Device] password simple 123456
[Device] service-type lan-access
(7) 配置WLAN 服務(wù)模板
# 創(chuàng)建一個(gè)名稱為10的服務(wù)模板,配置ssid���、vlan��、認(rèn)證方式�����、加密套件����、ISP域和eap-profile模板���。
[Device] wlan service-template 10
[Device-wlan-st-10] ssid bendi1x
[Device-wlan-st-10] vlan 300
[Device-wlan-st-10] akm mode dot1x
[Device-wlan-st-10] cipher-suite ccmp
[Device-wlan-st-10] security-ie rsn
[Device-wlan-st-10] client-security authentication-mode dot1x
[Device-wlan-st-10] dot1x domain eap-gtc
[Device-wlan-st-10] dot1x eap-termination eap-profile eap-srv
[Device-wlan-st-10] service-template enable
