ACS56EAP-TLS认证.docxVIP

无线EAP安全认证为了公司IT无线上网侧更加安全，现在我们需要对无线客户端进行认证，目前采用两种方式对移动终端进行认证，一种是802.1X中的PEAP+AD域认证，第二种是EAP+TLS认证。相对而言EAP+TLS认证更加安全，但是部署相对复杂.拓扑图如下：一、ACS5.6上的配置添加AAA客户端，本次用的是华为的AC6605：添加AD域添加域中的认证组在Policy Elements Authorization and Permissions Network Access Authorization Profiles Edit: dot1x-profile中创建profile：下一步创建profile里面的属性5、在Access Policies Access Services 中添加service 点击Allowed Protocols,选择我们需要用的几个协议EAP-TLS ,PEAP6、在Access Policies ... Access Services Service Selection Rules中创建RADIUS的认证，所有匹配radius的服务全部转到dot1x-service中去处理，注意默认的default 策略需要改成deny7、在Access Policies Access Services dot1x-service Identity中创建规则，这个规则表明当匹配到EAP-TLS认证是，转到CN Username中去处理，如果不匹配的话，就转到AD1中去处理，这个是做PEAP认证。8、创建授权信息，主要创建2个规则一个是对EAP-TLS的，一个是对PEAP用的。默认的的规则里是没有EAP的方式的，需要自定义规则的匹配项：在这里选择了EAP上图是给EAP-TLS认证用的上图是给PEAP使用的9、由于EAP认证需要用到证书，这个证书是服务器发给客户端的，让客户端对服务器进行验证，因此需要客户端加入域，而且也必需给ACS颁发域证书，这样客户端才能信任服务器的证书，完成EAP-TLS的TLS隧道的建立，具体做法附件文档中;10、到第九步来说，PEAP认证的配置过程就做完了，EAP还需要2步，我们需要再ACS上导入域的根证书：先申请根证书：下载证书：在Users and Identity Stores Certificate Authorities Create中导入证书最后在Users and Identity Stores Certificate Authentication Profile 中创建新的CN Username二、客户端上的配置默认的来说，客户端上需要加入域，而且无线侧需要开启WLAN AutoConfig在无线网卡中需要做如下的配置：EAP-TLS的在这里需要注意的书，我们需要将我们的域中的CA服务器选上，不然认证会失败PEAP认证的设置如下：在这里需要注意的书，我们需要将我们的域中的CA服务器选上，不然认证会失败三、AC控制器上的配置：由于HUAWEI无线控制的版本不同，导致AC的命令也是不同的，现在我们的版本是AC6605 V200R006C10SPC200。1、创建radius服务器模板radius-server template ACSradius-server shared-key cipher ciscoradius-server authentication 10.101.20.220 1645 source ip-address 10.101.20.120 weight 802、创建radius认证方式：authentication-schemeradius_acsauthentication-mode radius3、配置802.1x接入模板，管理802.1x接入控制参数dot1x-access-profile name wlan-acsdot1x authentication-method eap4、创建名为“wlan-authentication”的认证模板，并绑定802.1X接入模板、认证方案和RADIUS服务器模板authentication-profile name wlan-authendot1x-access-profilewlan-acsauthentication-schemeradius_acsradius-server ACS5、创建WLAN侧配置wlan创建无线radius 认证方式security-profile name radiussecurity wpa2 dot1x aes创建无线的SSIDssid-profile name ssid_testssidLytest创建VAP文件v