sundray wlan v1.52014年度渠道初級(jí)認(rèn)證培訓(xùn)配置指南

產(chǎn)品認(rèn)證授權(quán)配置指南-Sundray培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)802.1x協(xié)議介紹了解802.1x無(wú)線認(rèn)證協(xié)議802.1x單向證書(shū)認(rèn)證配置掌握802.1x單向證書(shū)認(rèn)證配置方法802.1x雙向證書(shū)認(rèn)證配置掌握802.1x雙向證書(shū)認(rèn)證配置方法web認(rèn)證配置介紹掌握集中web認(rèn)證的配置方法Web認(rèn)證配置介紹802.1x協(xié)議介紹802.1x單向證書(shū)認(rèn)證配置802.1x雙向證書(shū)認(rèn)證配置目錄無(wú)線接入web認(rèn)證賬號(hào)認(rèn)證臨時(shí)訪客認(rèn)證二維碼認(rèn)證員工訪客豐富的管控策略，規(guī)范無(wú)線終端的上網(wǎng)行為集中控制器NACinternetPOE交換機(jī)NAPNAPNAPNAP1.用戶接入NAP，并把接入信息轉(zhuǎn)發(fā)給NAC2.NAC給用戶登錄web頁(yè)面重定向到portal認(rèn)證頁(yè)面3.用戶輸入用戶名密碼，并把信息轉(zhuǎn)發(fā)到NAC4.NAC驗(yàn)證用戶信息，認(rèn)證通過(guò)，允許用戶上網(wǎng)財(cái)務(wù)營(yíng)銷(xiāo)辦公室后勤1234無(wú)線接入web認(rèn)證過(guò)程賬號(hào)密碼認(rèn)證配置方法新增本地賬號(hào)1.手動(dòng)新建本地用戶2.與外部認(rèn)證服務(wù)器（RADIUS、LDAP結(jié)合）1.點(diǎn)擊“無(wú)線配置—無(wú)線網(wǎng)絡(luò)—新增”2.新建一個(gè)無(wú)線網(wǎng)絡(luò)：在基本配置中設(shè)置無(wú)線ssid，接入點(diǎn)，數(shù)據(jù)轉(zhuǎn)發(fā)模式，設(shè)置頻段等，在高級(jí)選項(xiàng)中設(shè)置接入人數(shù)限制新增無(wú)線網(wǎng)絡(luò)賬號(hào)密碼認(rèn)證配置方法配置無(wú)線網(wǎng)絡(luò)屬性1.選擇認(rèn)證方式為賬號(hào)認(rèn)證2.認(rèn)證前vlan與無(wú)線接入的vlan相同3.認(rèn)證前角色為只能訪問(wèn)dns角色，可用“幫我創(chuàng)建認(rèn)證前角色”來(lái)配置賬號(hào)密碼認(rèn)證配置方法vlan設(shè)置及角色分配1.認(rèn)證后vlan也與接入的AP的vlan相同2.認(rèn)證后角色為自定義的可上網(wǎng)的訪客角色3.認(rèn)證通過(guò)后可設(shè)置其重定向URL，幫助進(jìn)行信息發(fā)布賬號(hào)密碼認(rèn)證配置方法訪客認(rèn)證——二維碼認(rèn)證訪客管理|二維碼認(rèn)證關(guān)聯(lián)Wi-Fi發(fā)送二維碼“歡迎您來(lái)XXX參觀，免費(fèi)Wi-Fi上網(wǎng)請(qǐng)找接待人員申請(qǐng)權(quán)限”√掃描二維碼網(wǎng)絡(luò)訪問(wèn)訪客接待人員二維碼認(rèn)證配置方法1.點(diǎn)擊“無(wú)線配置—無(wú)線網(wǎng)絡(luò)—新增”2.新建一個(gè)無(wú)線網(wǎng)絡(luò)：在基本配置中設(shè)置無(wú)線ssid，接入點(diǎn)，數(shù)據(jù)轉(zhuǎn)發(fā)模式，設(shè)置頻段等，在高級(jí)選項(xiàng)中設(shè)置接入人數(shù)限制新增無(wú)線網(wǎng)絡(luò)選擇認(rèn)證類(lèi)型認(rèn)證類(lèi)型選開(kāi)放式+web認(rèn)證，認(rèn)證方式選賬號(hào)認(rèn)證+訪客認(rèn)證，設(shè)置認(rèn)證前vlan，認(rèn)證前角色等二維碼認(rèn)證配置方法終端驗(yàn)證選項(xiàng)可根據(jù)需求自行勾選二維碼認(rèn)證配置方法選擇訪客認(rèn)證勾選二維碼審核設(shè)置二維碼審核角色設(shè)置認(rèn)證通過(guò)后所屬vlan，角色二維碼認(rèn)證配置方法選擇賬號(hào)認(rèn)證認(rèn)證服務(wù)器選擇本地用戶，設(shè)置允許登陸的本地用戶組為/(默認(rèn))二維碼認(rèn)證配置方法選擇Vlan設(shè)置，設(shè)置用戶所屬vlan選擇角色分配，為用戶分配上網(wǎng)角色無(wú)線網(wǎng)絡(luò)參數(shù)設(shè)置完后，點(diǎn)擊提交，無(wú)線網(wǎng)絡(luò)創(chuàng)建成功二維碼認(rèn)證配置方法選擇認(rèn)證授權(quán)，本地用戶，點(diǎn)擊新增，新增用戶，設(shè)置用戶名，密碼，點(diǎn)擊提交，成功創(chuàng)建一個(gè)賬號(hào)

二維碼認(rèn)證配置方法連接無(wú)線上網(wǎng)，彈出portal頁(yè)面，本地用戶上網(wǎng)，選擇本地賬號(hào)，輸入賬號(hào)密碼，即可通過(guò)認(rèn)證臨時(shí)訪客上網(wǎng)，需通過(guò)具有審核資格的在線用戶，掃描認(rèn)證頁(yè)面二維碼，通過(guò)后即可上網(wǎng)二維碼認(rèn)證配置方法1、IT管理員授予前臺(tái)新建訪客賬號(hào)的二級(jí)管理員權(quán)限；2、前臺(tái)使用二級(jí)管理員權(quán)限登陸控制器；3、新建賬號(hào)密碼，并設(shè)置上網(wǎng)時(shí)間。訪客認(rèn)證——臨時(shí)訪客認(rèn)證訪客管理|臨時(shí)訪客認(rèn)證1.點(diǎn)擊“無(wú)線配置—無(wú)線網(wǎng)絡(luò)—新增”2.新建一個(gè)無(wú)線網(wǎng)絡(luò)：在基本配置中設(shè)置無(wú)線ssid，接入點(diǎn)，數(shù)據(jù)轉(zhuǎn)發(fā)模式，設(shè)置頻段等，在高級(jí)選項(xiàng)中設(shè)置接入人數(shù)限制臨時(shí)訪客認(rèn)證配置方法選擇認(rèn)證類(lèi)型認(rèn)證類(lèi)型選開(kāi)放式+web認(rèn)證，認(rèn)證方式選訪客認(rèn)證，設(shè)置認(rèn)證前vlan，認(rèn)證前角色等臨時(shí)訪客認(rèn)證配置方法選擇訪客認(rèn)證勾選臨時(shí)訪客認(rèn)證設(shè)置認(rèn)證通過(guò)后所屬vlan，角色臨時(shí)訪客認(rèn)證配置方法點(diǎn)擊認(rèn)證授權(quán)，訪客賬號(hào)，臨時(shí)賬號(hào)的訪客，點(diǎn)擊配置訪客管理員新增一個(gè)訪客管理員，配置賬號(hào)和密碼臨時(shí)訪客認(rèn)證配置方法

臨時(shí)訪客管理員登陸

點(diǎn)擊進(jìn)入臨時(shí)賬號(hào)管理地址，輸入臨時(shí)訪客管理員賬號(hào)和密碼

臨時(shí)訪客認(rèn)證配置方法進(jìn)入臨時(shí)訪客管理員帳號(hào)，點(diǎn)擊新增，創(chuàng)建訪客賬號(hào)設(shè)置賬號(hào)名，密碼，上網(wǎng)有效期臨時(shí)訪客即可用該賬號(hào)認(rèn)證上網(wǎng)臨時(shí)訪客認(rèn)證配置方法在彈出的認(rèn)證頁(yè)面輸入臨時(shí)帳號(hào)與密碼，完成認(rèn)證后，就可以上網(wǎng)了臨時(shí)訪客認(rèn)證配置方法臨時(shí)訪客認(rèn)證配置方法Web認(rèn)證配置介紹802.1x協(xié)議介紹802.1x單向證書(shū)認(rèn)證配置802.1x雙向證書(shū)認(rèn)證配置目錄什么是802.1XIEEE802.1x（Port-BasedNetworkAccessControl）是一個(gè)基于端口的網(wǎng)絡(luò)訪問(wèn)控制標(biāo)準(zhǔn)，為L(zhǎng)AN接入提供點(diǎn)對(duì)點(diǎn)式的安全接入。這是IEEE標(biāo)準(zhǔn)委員會(huì)針對(duì)以太網(wǎng)的安全缺陷而專(zhuān)門(mén)制定的標(biāo)準(zhǔn)，能夠在利用IEEE802LAN的優(yōu)勢(shì)基礎(chǔ)上，提供一種對(duì)連接到局域網(wǎng)設(shè)備或用戶進(jìn)行認(rèn)證的手段。

IEEE802.1x標(biāo)準(zhǔn)定義了一種基于“客戶端——服務(wù)器”（Client-Server）模式實(shí)現(xiàn)了限制未認(rèn)證用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)?？蛻舳艘L問(wèn)網(wǎng)絡(luò)必須先通過(guò)認(rèn)證服務(wù)器的認(rèn)證。在客戶端通過(guò)認(rèn)證之前，只有EAPOL報(bào)文（ExtensibleAuthenticationProtocoloverLAN）可以在網(wǎng)絡(luò)上通行。在認(rèn)證成功之后，通常的數(shù)據(jù)流便可在網(wǎng)絡(luò)上通行。802.1x的工作機(jī)制EAPRadius懇請(qǐng)者Supplicant認(rèn)證者AuthenticatorRadius服務(wù)器RadiusServer二層階段三層階段①發(fā)起認(rèn)證②轉(zhuǎn)發(fā)認(rèn)證信息③校驗(yàn)通過(guò)，通知設(shè)備放行③設(shè)備放行用戶，用戶接入網(wǎng)絡(luò)網(wǎng)絡(luò)的使用者，需提供個(gè)人信息以接入網(wǎng)絡(luò)，例如用戶名、密碼、個(gè)人證書(shū)等…網(wǎng)絡(luò)接入控制設(shè)備，一般為交換機(jī)、無(wú)線AP、無(wú)線控制器等，設(shè)備啟用802.1x接入控制，用戶需驗(yàn)證身份后才能接入網(wǎng)絡(luò)。認(rèn)證過(guò)程認(rèn)證服務(wù)器，用戶存儲(chǔ)用戶認(rèn)證信息，并對(duì)認(rèn)證者提供的用戶信息進(jìn)行校驗(yàn)。2023/4/4802.1x認(rèn)證為系統(tǒng)原生支持的企業(yè)級(jí)入網(wǎng)認(rèn)證協(xié)議，目前主流的PC以及移動(dòng)終端的操作系統(tǒng)，均對(duì)802.1x協(xié)議支持良好。如：WinXp

Win7

Win8

MacOS

iOS

Android

Windows

Phone關(guān)于無(wú)線802.1x認(rèn)證兼容性Web認(rèn)證配置介紹802.1x協(xié)議介紹802.1x單向證書(shū)認(rèn)證配置802.1x雙向證書(shū)認(rèn)證配置目錄Sundray802.1x的實(shí)現(xiàn)方案方案一：?jiǎn)蜗蜃C書(shū)認(rèn)證PEAP-MSCHAPv2把EAP-MSCHAPv2跟PEAP結(jié)合一起使用，得益于PEAP內(nèi)部創(chuàng)建的TLS隧道所提供的健壯安全性，EAP-MSCHAPv2的交互過(guò)程可以得到加密保護(hù)，從而防止了攻擊者通過(guò)離線字典攻擊方式來(lái)分析用戶密碼的安全弱點(diǎn)。PEAP-MSCHAPv2協(xié)議，由2個(gè)階段組成：EAPRadius懇請(qǐng)者Supplicant認(rèn)證者AuthenticatorRadius服務(wù)器RadiusServer①服務(wù)器提供證書(shū)，用于校驗(yàn)服務(wù)器的合法性認(rèn)證過(guò)程②用戶提供用戶名、密碼，進(jìn)行身份驗(yàn)證單向證書(shū)認(rèn)證配置第一步：設(shè)置CA證書(shū)CA配置，初始化內(nèi)置CA中心(NAC初次使用才需要初始化)，新增由內(nèi)置CA頒發(fā)的服務(wù)器證書(shū)“tzm”2023/4/4第二步：設(shè)置SSID認(rèn)證方式1、設(shè)置認(rèn)證SSID：“qiye_test”，選擇接入點(diǎn)，數(shù)據(jù)轉(zhuǎn)發(fā)模式證方式為“WPA/WPA2企業(yè)認(rèn)證”，選擇本地用戶，證書(shū)選擇第一步新建的“服務(wù)器證書(shū)tzm”。單向證書(shū)認(rèn)證配置2023/4/42、選擇認(rèn)證方式“本地認(rèn)證”，證書(shū)選擇由內(nèi)置CA頒發(fā)的證書(shū)“tzm”單向證書(shū)認(rèn)證配置第三步：設(shè)置本地用戶名和密碼單向證書(shū)認(rèn)證配置第四步：采用自動(dòng)配置工具快速部署無(wú)線1、設(shè)置自動(dòng)配置網(wǎng)絡(luò)配置一個(gè)無(wú)線網(wǎng)絡(luò)SSID，專(zhuān)門(mén)用戶下載無(wú)線自動(dòng)配置工具

單向證書(shū)認(rèn)證配置2023/4/42、檢測(cè)自動(dòng)無(wú)線網(wǎng)絡(luò)VLAN配置注意：配置的自動(dòng)無(wú)線網(wǎng)絡(luò)，會(huì)默認(rèn)生成認(rèn)證前的角色，該角色僅僅提供下載工具的角色使用。而且需要檢測(cè)確保自動(dòng)下載工具的vlan正常，默認(rèn)采用的1，有可能獲取不到IP地址，所以需要去修改。單向證書(shū)認(rèn)證配置2023/4/43、啟用證書(shū)注冊(cè)服務(wù)（可選）證書(shū)注冊(cè)服務(wù)一般是設(shè)置用戶本地用戶時(shí)，沒(méi)有主動(dòng)點(diǎn)擊生成證書(shū)，由用戶第一次登錄認(rèn)證的，自動(dòng)設(shè)置申請(qǐng)個(gè)人證書(shū)，并自動(dòng)下發(fā)。單向證書(shū)認(rèn)證配置4、把無(wú)線網(wǎng)絡(luò)添加到自動(dòng)配置工具中單向證書(shū)認(rèn)證配置2023/4/45、PC連接開(kāi)放式SSID下載自動(dòng)配置工具單向證書(shū)認(rèn)證配置第五步：在手機(jī)終端上連接無(wú)線SSID1、連接無(wú)線手機(jī)配置，2、（可選）連接SSID“get_auto_config_tools”下載證書(shū)3、認(rèn)證時(shí)，選擇CA證書(shū)，用戶證書(shū)不需要選擇單向證書(shū)認(rèn)證配置Web認(rèn)證配置介紹802.1x協(xié)議介紹802.1x單向證書(shū)認(rèn)證配置802.1x雙向證書(shū)認(rèn)證配置目錄Sundray802.1x的實(shí)現(xiàn)方案方案二：雙向證書(shū)認(rèn)證PEAP-TLS如果PEAP的內(nèi)層認(rèn)證方法（也稱(chēng)為第2階段認(rèn)證方法）使用TLS協(xié)議，則稱(chēng)之為：PEAP-TLS，微軟的WindowsServer2003IAS、WindowsServer2008NPS服務(wù)，Windows客戶端都支持此協(xié)議。與PEAP-MSCHAPv2協(xié)議一樣，PEAP-TLS也由2個(gè)階段組成：EAPRadius懇請(qǐng)者Supplicant認(rèn)證者AuthenticatorRadius服務(wù)器RadiusServer①服務(wù)器提供證書(shū)，用于校驗(yàn)服務(wù)器的合法性認(rèn)證過(guò)程②用戶提供個(gè)人證書(shū)，進(jìn)行身份驗(yàn)證1、NAC上啟用雙向證書(shū)認(rèn)證雙向證書(shū)認(rèn)證配置2023/4/42、設(shè)置本地用戶名，生成證書(shū)，并導(dǎo)出安裝雙向證書(shū)認(rèn)證配置2023/4/43、導(dǎo)入CA證書(shū)和個(gè)人證書(shū)根據(jù)單向證書(shū)認(rèn)證的方法，把CA證書(shū)導(dǎo)入到，“本地計(jì)算機(jī)”的“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”。并把剛才導(dǎo)出的“個(gè)人用戶證書(shū)”導(dǎo)入到PC的“當(dāng)前用戶”的“個(gè)人證書(shū)”路徑下。雙向證書(shū)認(rèn)證配置2023/4/44、終端上選擇證書(shū)，而不再選擇PEAP方式認(rèn)證雙向證書(shū)認(rèn)證配置2023/4/45、連接無(wú)線網(wǎng)絡(luò)時(shí)選擇個(gè)人證書(shū)雙向證書(shū)認(rèn)證配置或采用自動(dòng)配置工具快速部署無(wú)線1、設(shè)置自動(dòng)配置網(wǎng)絡(luò)配置一個(gè)無(wú)線網(wǎng)絡(luò)SSID，專(zhuān)門(mén)用戶下載無(wú)線自動(dòng)配置工具

雙向證書(shū)認(rèn)證配置2023/4/42、檢測(cè)自動(dòng)無(wú)線網(wǎng)絡(luò)VLAN配置注意：配置的自動(dòng)無(wú)線網(wǎng)絡(luò)，會(huì)默認(rèn)生成認(rèn)證前的角色，該角色僅僅提供下載工具的角色使用。而且需要檢測(cè)確保自動(dòng)下載工具的vlan正常，默認(rèn)采用的1，有可能獲取不到IP地址，所以需要去修改。雙向證書(shū)認(rèn)證配置2023/4/43、啟用證書(shū)注冊(cè)服務(wù)（可選）證書(shū)注冊(cè)服務(wù)一般是設(shè)置用戶本地用戶時(shí)，沒(méi)有主動(dòng)點(diǎn)擊生成證書(shū)，由用戶第一次登錄認(rèn)證的，自動(dòng)設(shè)置申請(qǐng)個(gè)人證書(shū)，并自動(dòng)下發(fā)。雙向證書(shū)認(rèn)證配置第四步：采用自動(dòng)配置工具快速部署無(wú)線4、把無(wú)線網(wǎng)絡(luò)添加到自動(dòng)配置工具中