在WAP351上配置802.1X设置

目标

IEEE 802.1X身份验证允许WAP设备访问安全的有线网络。您可以将WAP设备配置为有线网络上的802.1X请求方（客户端）。WAP351也可配置为身份验证器。可以配置加密用户名和密码，以允许WAP设备使用802.1X进行身份验证。

在使用基于IEEE 802.1X端口的网络访问控制的网络上，在802.1X身份验证器授予访问权之前，请求方无法访问网络。如果网络使用802.1X，则必须在WAP设备上配置802.1X身份验证信息，以便它能将其提供给身份验证器。

本文档的目标是向您展示如何在WAP351上配置802.1X请求方设置。

适用设备

· WAP351

软件版本

•v1.0.1.3

配置802.1X请求方设置

步骤1.登录Web配置实用程序，然后选择System Security > 802.1X。802.1X页面打开。

步骤2. Port Table显示了可为802.1X身份验证配置的五个LAN接口。选中与要编辑的端口对应的复选框。

步骤3.单击“编辑”按钮。选中的端口现在可供编辑。

步骤4.在启用字段中，选中要启用802.1X设置的端口的复选框。

步骤5.在“角色”下拉列表中，选择将相应端口配置为请求方还是验证方。如果选择Supplicant客户端，请转到Supplicant客户端设置配置部分。如果选择身份验证器，请转至“身份验证器设置配置”部分。身份验证器位于希望访问网络的客户端（请求方）和RADIUS服务器本身之间。它负责处理两者之间的所有通信。请求方向身份验证器提供凭证以访问网络。WAP351上的典型设置是WAN端口是请求方（因此WAP可以访问网络），LAN端口是身份验证者（因此WAP可以授权其下的设备）。

请求方设置配置

步骤1.单击Show Details以显示Supplicant客户端设置信息。

注意：在“模式”字段中进行选择后，此信息可能会自动打开。

步骤2.在EAP Method下拉列表中，选择将用于加密用户名和密码的算法。EAP代表可扩展身份验证协议，用作加密算法的基础。

可用选项包括：

· MD5 - MD5消息摘要算法使用散列函数提供基本安全性。不建议使用此算法，因为其他两种算法具有更高的安全性。

· PEAP - PEAP代表受保护的可扩展身份验证协议。它通过使用TLS隧道传输数据来封装EAP，并提供比MD5更高的安全性。

· TLS - TLS代表传输层安全，是提供高安全性的开放标准。

步骤3.在Username字段中，输入WAP设备在响应来自802.1X身份验证器的请求时将使用的用户名。用户名长度必须为1 - 64个字符，并且可以包含字母数字和特殊字符。

步骤4.在Password字段中，输入WAP设备在响应来自802.1X身份验证器的请求时将使用的密码。用户名长度必须为1 - 64个字符，并且可以包含字母数字和特殊字符。

步骤5. Certificate File Status区域显示WAP设备上是否存在HTTP SSL证书文件。如果存在证书，则Certificate File Present字段将显示“是”；默认值为“否”。如果证书存在，则证书到期日期将显示到期；否则，默认值为“不存在”。要显示最新信息，请单击刷新按钮以获取最新的证书信息。

步骤6.如果不想上传HTTP SSL证书文件，请跳至步骤12。否则，请在传输方法字段中选择HTTP或TFTP单选按钮，以选择要用于上传证书的协议。

步骤7.如果选择TFTP，请继续执行步骤8。如果选择了HTTP，请单击Browse...按钮，以在PC上查找证书文件。跳至步骤10。

步骤8.如果在“传输方法”字段中选择了TFTP，请在“文件名”字段中输入证书的文件名。

注意：文件必须以.pem结尾。

步骤9.在TFTP Server IPv4 Address字段中输入TFTP服务器的IP地址。

步骤10.单击“上传”。

步骤11.系统将显示确认窗口。单击OK开始上传。

步骤12.对要配置为802.1X Supplicant客户端的每个端口重复此部分。然后，单击Save。

身份验证器设置配置

步骤1.单击“显示详细信息”以显示验证器设置信息。

注意：在“模式”字段中进行选择后，此信息可能会自动打开。

步骤2.如果希望端口在身份验证期间使用全局RADIUS设置，请选中使用全局RADIUS服务器设置复选框。如果希望端口使用不同的RADIUS服务器（或服务器），请取消选中此复选框；否则，请跳至步骤8。

注意：有关详细信息，请参阅在WAP131和WAP351上配置全局RADIUS服务器设置。

步骤3.在Server IP Address Type字段中，选择RADIUS服务器使用的IP版本的单选按钮。可用选项是IPv4和IPv6。

注意：您可以在地址类型之间切换以配置IPv4和IPv6 RADIUS地址设置，但WAP设备仅与RADIUS服务器或具有您在此字段中选择的地址类型的服务器联系。不可能让多台服务器在一个配置中使用不同的地址类型。

步骤4.在Server IP Address 1 或Server IPv6 Address 1 字段中，根据您在步骤3中选择的地址类型，输入RADIUS服务器的IPv4或IPv6地址。

注意：在此字段中输入的地址将指定端口的主RADIUS服务器。在后续字段(服务器IP地址2到4)中输入的地址将指定备份RADIUS服务器，如果与主服务器进行身份验证失败，将按顺序尝试这些服务器。

步骤5.在Key字段中，输入与WAP设备用于向RADIUS服务器进行身份验证的主RADIUS服务器对应的共享密钥。您可以使用1到64个标准字母数字和特殊字符。在Key 2到4字段中，对为端口配置的每个后续RADIUS服务器重复此步骤。

注意：密钥区分大小写，并且必须与RADIUS服务器上配置的密钥匹配。

步骤6.在Authentication Port字段中，输入WAP将用于连接RADIUS服务器的端口。对您在Authentication Port 2到4字段中配置的每个备份RADIUS服务器重复此步骤。默认值为 1812。

步骤7.选中Enable RADIUS Accounting复选框，以对用户消耗的资源（系统时间、传输的数据量等）进行跟踪和测量。 选中此复选框将启用主服务器和备份服务器的RADIUS记帐。

步骤8.在“活动服务器”下拉列表中，选择要设置为活动服务器的已配置RADIUS服务器之一。此设置使WAP可以立即尝试联系活动服务器，而不是尝试按顺序联系每台服务器并选择第一个可用服务器。

步骤9.在Periodic Reauthentication字段中，选中Enable 复选框以启用EAP重新身份验证。如果不想启用EAP重新身份验证，请跳至步骤11。

步骤10.如果选中Periodic Reauthentication字段中的Enable复选框，请在Reauthentication Period字段中输入EAP重新身份验证期间(以秒为单位)。默认值为 3600。有效范围为300 - 4294967295秒。

步骤11.对要配置为802.1X身份验证器的每个端口重复此部分。然后，单击Save。