NETGEAR WG302 802.1x无线认证配置案例
NETGEAR WG302 802.1x无线认证配置案例
-----作者:广州明创网络科技有限公司 焦健
目 录
1. 用户需求与
....................................................................................................................... 2
2. 注意事项:............................................................................................................................... 9
3. 产品清单:............................................................................................................................. 10
1. 用户需求与方案
基于保密性质,用户要求对于所有的无线用户认证使用802.1x无线认证,结合用户当前的网络环境,我们推荐使用了NETGEAR的WG302作为无线用户的8021.x接入端AP,使用了WINRADIUS作为Radius服务器,使用了安腾公司的802.1x无线客户端。
客户原有核心交换机为h3c 7506r,共8层楼,现要求每层楼布放4个AP,各配线间交换机为H3C 3100交换机,为便于管理,我们将每层楼的AP均统一拉线至5楼的配线间的最下面一台H3C 3100交换机,现我已在核心交换机上增加了相应的无线VLAN,(192.168.101.x),并在交换机做了相应的设置,而各AP在默认的情况下也是不需要配置即可实现无线上网,针对客户提出的外来人员需要验证方能连入外网的要求,我们决定采用802.1x认证来实现,
拓扑简易图如下:
具体配置如下
radius服务器设置:
1, 设置---数据库---自动配置ODBC
2, 设置-系统-设置密码,认证和计费端口为默认
3, 操作--添加帐号 只设用户名和密码即可,这里设为user/user
wg302设置:
五楼配线间的从下往下数第五台H3C 3100交换机24个百兆口连接各楼层的AP, 对于每个AP,其默认地址为192.168.0.228,需要首先将配置电脑改为与AP同段并且同接在第五台交换机上(处于同一个VLAN)
配置如下:
1, 在IE中输入192.168.0.228 回车,出现登陆界面,输入默认用户名和密码
admin/password.
2, 进入basic setting,设置IP地址为192.168.101.4(从4开始,以后每个AP的设置这里
不同,这是每个AP的设置不同点之一,如第二个AP要设成192.168.101.5,第
三个AP要设成192.168.101.6),掩码255.255.255.0,网关192.168.101.1,DNS服务器
202.96.128.86 61.144.56.100,区域选为亚洲。
3, 将配置电脑机器改成192.168.101.x段,重新访问AP。
4, 进入RADIUS Server settings,指定认证服务器,计费服务器的地址和端口,这里的数值
与RADIUS服务器的设置相对应
5, 进入security profile setting,点EDIT,出现页面中SSID埴入AP的标识(名字,客户
依据此连接网络,每个AP的标识应该不一样,这是每个AP设置的不同点之二,network
authentication选择legacy 802.1x,加密选择plain-text 。
客户端802.1x配置:
1,用WINDOS自带的无线管理工具查看现有网络 有图 发现无线网络,并选择信号最强(绿格最多)的访问点进行连接,系统会显示正在获取地址(地址由7506交换机统一分派)
2,此时打开客户端,点属性,身份验证方法选为wireless-802.1x MD5,
点选择接入点,选择你想连接的AP(就是1步骤所选的AP)
3,回到主界面,输入在RADIUS服务器中设置的用户名和密码,点连接
4,系统显示认证成功
2. 注意事项:
1,客户端在1步骤时,应保证相关的网络访问点显示“未设置安全机制的无线网络”,若不是,则多刷新几次,这是WINDOWS系统的BUG。
2,客户连接成功后,按照安全上的要求,将只能访问外网不能访问内网(具体实现可参看交换机的相应配置)
3,若客户显示无此证书连接,则要保证无线网卡的属性处要设成如下参数WEP/禁用(见下图),一般情况下客户保持默认配置即可,这项设置是避免客户以前对网卡做过相应更改而造成现在无法连接的问题出现。
4,H3C不用理会VTP,每台机需要单独配置VLAN
5,H3C 3600才支持基于VLAN的ACL。S7506R不支持。
6, 若客户做认证时还要WEP加密,则AP必须要升级到5.2.3版本才行。 7, WG302要做802.1X认证的明文(plain text)时,AP也要升级到5.2.3版本,否则会出现无证书的情况。
8,在无线认证时,若有多个AP想做到认证的’无线漫游’功能,可以将AP的配置做到相同SSID(但各AP的IP地址要不同),经过现场的测试,在一个AP失效后,经过两个包的丢包后,无线客户端可以马上通过另一个AP进行认证,整个二次认证过程对于用户是透明的。 (注意:此’漫游’需要断开之前的应用的.如果需要无缝切换,则需要使用NETGEAR的WFS709TP无线交换机配合NETGEAR的瘦AP:WGL102)
3. 产品清单:
产品型号 描述 (中文) 数量 单位
ProSafe 企业版 Super-G
108M无线以太网接入点
WG302 (AP),支持POE远程供电,桥32 台
接及AutoCell功能,并提供
业界领先的安全功能