无线上网通过802.1X认证配置教程

在不用网线与电脑连接的情况下：
1.首先，插上电源，主网线连入路由器端口WAN。

2.用无线搜索到名字为类似“MERCURY XXXXX”的网络信号，连接它
3.打开浏览器（此时是没有网络连接的），在地址栏输入192.168.1.1搜索
4.进入界面，首次进入输入在随后的登陆界面中，输入用户名：admin ，密码：admin，点下一步
5.设置IP为自动获取IP（或者动态IP），直接点下一步，设置好你的SSID（即你需要显示的用户名）和连接密码，进入下一个页面。

6.点击上图所示的“高级设置”，进入后在左侧的第一栏中选择WAN设置，上网方式选择802.1X，“用户名”和“密码”为你的校园网的用户名和密码，点击“保存”。

在你不欠网费和主网线有网的情况下，成功后图中的“已断开”变为“已连接”。

此时就可以上网了。

7.如果你仍然连接不上，看看是不是欠费和校园网账号在使用前确定已经是退出。

8.此方法可以直接用手机操作。

如果用台式机设置，就多连接一根网线插入LAN 与电脑相连，其余操作与上述一样。

1.1.1802.1X认证IEEE 802.1x是一种基于端口的网络接入控制技术，该技术提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。

IEEE 802.1x本身并不提供实际的认证机制，需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。

EAP允许无线终端支持不同的认证类型，能与后台不同的认证服务器进行通信，如远程接入用户服务(Radius)。

Bgate系列AC支持802.1X认证方式，这里以设备端PAE对EAP报文进行中继转发为例，IEEE 802.1X认证系统的基本业务流程如下图所示。

在WLAN网络中，WLAN客户端Station为客户端PAE，提供WLAN服务的设备为设备端PAE。

设备端通过产生一个随机Challenge发送给客户端；客户端会使用配置的密钥对该Challenge 进行加密处理并将处理后的信息返回设备端；设备端根据客户端返回的加密后的Challenge 以及原始的Challenge进行比较判断，设备端完成对客户端的单项认证。

IEEE 802.1X认证系统的EAP方式业务流程整个802.1x的认证过程可以描述如下(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。

802.1x 认证流程下载温馨提示:该文档是我店铺精心编制而成，希望大家下载以后，能够帮助大家解决实际的问题。

文档下载后可定制随意修改，请根据实际需要进行相应的调整和使用，谢谢!并且，本店铺为大家提供各种各样类型的实用资料，如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等，如想了解不同资料格式和写法，敬请关注!Download tips: This document is carefully compiled by theeditor. I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!802.1x 认证是一种基于端口的网络访问控制技术，用于对连接到网络的设备进行身份验证和授权。

802.1X认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (1)3.4 配置步骤 (2)3.4.1 AC的配置 (2)3.4.2 RADIUS服务器的配置 (4)3.5 验证配置 (6)3.6 配置文件 (10)4 相关资料 (12)1 简介本文档介绍无线控制器802.1X 认证典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA 、802.1X 、WLAN 特性。

3 配置举例3.1 组网需求如图1所示组网，采用iMC 作为RADIUS 服务器，要求：∙在AC 上启用802.1X 远程认证，实现对Client 的接入控制。

∙802.1X 认证方式采用EAP 中继方式。

∙ 采用加密类型的服务模板，加密套件采用TKIP 。

图1 802.1X 远程认证组网图3.2 配置思路∙由于部分802.1X 客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

∙ 对于无线局域网来说，802.1X 认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X 组播报文的方式来触发。

同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X 组播触发功能。

802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

802.1X+Radius+无线接入点认证完整配置帮助文档一、认证简介 (3)1、1身份认证介绍 (3)1、2身份认证的概念 (3)1、3认证、授权与审计 (3)1、4 IEEE 802.1x协议与RADIUD服务器 (4)1、5 RADIUS服务器 (4)1、6 基于IEEE 802.1x认证系统的组成 (5)二、配置RADIUS server步骤 (6)2、1 安装Active Directory活动目录； (6)2、2 安装IIS管理器和证书颁发机构CA (14)2、3 安装IAS（internet验证服务） (21)三、默认域安全设置 (23)四、配置Active Directory用户和计算机 (24)五、设置自动申请证书 (32)六、配置internet验证服务（IAS） (36)6、1 配置“RADIUS客户端” (36)6、2 配置“远程访问记录” (39)6、3 配置“远程访问策略” (40)6、4 配置“连接请求策略” (45)七、配置IIS（internet信息服务管理器） (48)八、查看记录 (49)九、认证者端配置 (50)十、无线客户端配置 (52)一、认证简介1、1身份认证介绍身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。

使用身份认证的主要目的是防止非授权用户进入系统，同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。

近年来，越来越多的单位和运营商等通过身份认证系统加密用户对网络资源的访问，在众多的解决方案中，Radius认证系统的使用最为广泛。

在大量的企业、政府机关、高校，通过Radius认证系统，实现对用户网络访问身份的认证，以决定某一用户是否具有上网权限，并记录相关的信息。

本讲在简要介绍身份认证的概念、IEEE 802.x协议、Radius认证系统等基础概念的基础上，以Windows Server 2003操作系统和安信网络的无线接入产品为例，详细介绍用户身份认证系统的安装、配置、使用和故障排除方法。

802.1x 无线路由器
.1x无线路由器
1、登录管理界面：打开网页浏览器，在浏览器的地址栏中输入：tplogin并按下回车——>设置管理员的登录密码——>点击“确认
特别注意问题：设置不好管理密码后，若用户登入时已连续10次输出管理员密码错误，则在2小时内无法登入路由器管理界面。

2、运行设置向导：首次登录tl-wrn路由器的管理界面时，系统会自动运行“设置向导”，如果没有弹出该页面，可以点击页面左侧的设置向导菜单将它激活。

3、挑选玩游戏方式：挑选“pppoe(adsl虚拟拨号)”——>“下一步”。

4、配置上网帐号：请根据isp宽带运营商提供的宽带用户名和密码，填写“上网帐号”、“上网口令”——>“下一步”。

5、无线网络设置：设置“ssid”，ssid就是无线网络的名称，特别注意无法采用中文——>挑选“wpa-psk/wpa2-psk”——>设置“psk密码”——>“下一步”。

6、点击“完成”。

802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

Configuring a W ireless C lient f or 802.1X AuthenticationApplication NoteTable o f C ontentsIntroduction & K ey C oncepts (3)What i s 802.1X? (3)Why w ould I w ant t o u se 802.1X? (4)Configuring t he S upplicant (5)Configure a W indows S upplicant ............................................. E rror! B ookmark n ot d efined.Disable S erver C ertificate V alidation (7)Automatically l ogin w ith d ifferent c redentials (9)Single s ign o n (10)EAP-­‐TLS C onfiguration (11)Configure a M ac O S S upplicant ................................................. E rror! B ookmark n ot d efined.EAP-­‐TLS C onfiguration (14)802.1X (15)Digital C ertificates a nd C ertificate A uthorities (15)Microsoft N etwork P olicy S erver (15)April-2012-1Introduction& Key ConceptsWhat is 802.1X?802.1X is an IEEE security standard for network access. Authentication is a key part of the 802.1X standard. Three devices participate in every 802.1X authentication:Supplicant – the client deviceAuthenticator – the device that controls network access (port) and passes authentication messages to the authentication serverAuthentication Server – AAA-compliant authentication serverFigure 1 - 802.1X Authentication Phase 1The supplicant responds to an authentication challenge from the authenticator and transmits its credentials. The goal of the first phase is to establish the protected tunnel (TLS) to encrypt the user credentials so they aren’t sent in the clear.April-2012-1Figure 2 - 802.1X Authentication Phase 2Once the user credentials are transmitted, the authenticator (AP) sends this information to the ZoneDirector. The ZoneDirector then submits it to the AAA server. If the authentication is successful, the authentication server notifies the authenticator, which opens the network port.These stringent requirements create very secure network access – other than authentication attempts, no traffic of any kind will be allowed onto the network - including DHCP and DNS.Why would I want to use 802.1X?802.1X is a very secure authentication and encryption standard. Unlike pre-shared key (PSK) networks, 802.1X requires a user name and password that is checked against an authentication server for every authentication. PSKs rely on a single, shared secret for all machines. 802.1X is also well suited for single sign-on, in which 802.1X authentication occurs at the same time a user signs on to a computer.April-2012-1Configuring a Windows SupplicantMost modern operating systems include an 802.1X supplicant. Although the details change from client to client, the process is the same.In this example, we will use a Microsoft Windows 7 client using Microsoft’s WLAN AutoConfig supplicant. This process is very similar for other versions of Windows when you use the built-in Microsoft supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.From the Control Panel, go to Administrative Tools and open the Services.Confirm the Microsoft WLAN AutoConfig service is running1. If it is not, start it and set it to start up automatically.2From the Control Panel, go to Network and Internet -> Manage Wireless Networks1 On Windows XP this is called Wireless Zero Config, on Windows 7 it is WLAN AutoConfig2 Starting Microsoft’s supplicant will automatically stop any other supplicants running on the machine.April-2012-1Click AddIn the next screen, select Manually create a network profileApril-2012-1Enter your SSID name, security and encryption typeClick Next to create the profileAt this point, it’s a good idea to review some of the more common options that may also be needed for this supplicant.3Disable Server Certificate ValidationIf you RADIUS server is not using a certificate from a known CA, you might want to temporarily disable the Validate server certificate box. This will prevent the client from validating the server’s certificate – although it will still require a certificate.1.From the list of profiles, right-click the 802.1X profile and Properties3 If you’ve done everything right and followed every step, you can probably skip the rest of this section. Or you could read it anyway – just in case.April-2012-1Click the Security tabClick the Settings buttonThis opens the PEAP configuration dialogueApril-2012-1Unselecting the Validate server certificate option will cause the client to accept any correctly formatted certificate from the server.Security best practices dictate the client should always validate the server certificate. This step is only recommended for troubleshooting certificate problems. Once they are resolved, the client should be configured to validate certificates again.Automatically login with different credentialsThe default behavior for a Microsoft client is to attempt to authenticate with the user credentials that were used to log onto the machine itself. If you want to use a different set of credentials you can disable this behavior. If you do this you will be presented with a pop-up dialogue box asking for the user name and password.April-2012-1Single sign onIt’s often useful to allow domain computers to authenticate to the wireless before a user logs on. This allows domain users to log onto the wireless from any domain machine, regardless of whether the user has ever used the machine before (i.e. has cached credentials).1.From the wireless network properties window, click the Advanced settingsbuttonThe following dialogue box offers the ability to specify several behaviors: Authentication mode – determines what entities can login to the wireless: users, machines, or user and machineApril-2012-1Enable single sign on – allows the machine to log onto the wireless network when a user is not logged on, this allows users with non-cached credentials to login to the wireless at the same time that they log onto the machineEAP-TLS ConfigurationIf you are using EAP-TLS, the configuration is very similar to PEAP with the following exceptions:1. A client certificate (user or machine) must be loaded on the machine orinstalled as part of auto-enrollment prior to the first connectionDuring the wireless network setup, go to the Security tab and select Microsoft: Smart Card or other certificate as the authentication methodApril-2012-1After choosing the authentication method, select Settings and make sure the checkbox next to Use a certificate on this computer is selectedThese are the only changes required to configure a client for EAP-TLS instead of PEAP.April-2012-1Configuring a Mac OS SupplicantIn this example, we will use an Apple Mac OS 10.7 (Lion) client using Apple’s built-in supplicant. This process is very similar for other versions of Mac OS when you use the built-in supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.Install any certificates, if required2.From the Settings application, go to Network and select Wi-Fi from the list ofnetwork interfaces on the left3.Click the Advanced button4.Click the plus (+) sign under Preferred Networks to define a new networkApril-2012-15.In the network profile dialogue, make sure the correct SSID, security type andcredentials are entered46.Click OK7.Click OK in the next dialogue box to save your changes8.The new SSID should appear in the dropdown box of Network Names9.Select the new SSID and connect. Enter your credentials if promptedEAP-TLS ConfigurationIf you are using EAP-TLS instead of PEAP there is no change to the configuration. Simply make sure the client certificate is installed in the Keychain Access before connecting. If prompted, select the correct certificate from the TLS Certificate dropdown menu.4 User credentials are not required, however if not entered here you will be prompted for your credentials when you connectApril-2012-1Appendix A–Fur ther Reading802.1XAn Introduction to 802.1X for Wireless Local Area Networks/media/pdf_autogen/802_1X_for_Wireless_LAN.pdfDigital Certificates and Certificate AuthoritiesMicrosoft – Understanding Digital Certificates and Public Key Cryptography /en-us/library/bb123848(v=exchg.65).aspx Installing a Certificate Server with Microsoft Windows Server 2008Application note available from Ruckus WirelessMicrosoft Network Policy ServerNetwork Policy and Access Services/en-us/library/cc754521(WS.10).aspxApril-2012-1Introduction & Key Concepts dffdfdApril-2012-1。

03-802.1x配置目录1 802.1X配置1.1 802.1X简介1.1.1 802.1X的体系结构1.1.2 802.1X的认证方式1.1.3 802.1X的基本概念1.1.4 EAPOL消息的封装1.1.5 EAP属性的封装1.1.6 802.1X的认证触发方式1.1.7 802.1X的认证过程1.1.8 802.1X的接入控制方式1.1.9 802.1X的定时器1.1.10 和802.1X配合使用的特性1.2 802.1X配置任务简介1.3 802.1X基本配置1.3.1 配置准备1.3.2 配置全局802.1X1.3.3 配置端口的802.1X1.4 开启在线用户握手功能1.5 配置代理检测功能1.6 开启组播触发功能1.7 配置端口的强制认证域1.8 配置静默定时器功能1.9 配置重认证功能1.10 配置Guest VLAN1.10.1 配置准备1.10.2 配置Guest VLAN1.11 配置Auth-Fail VLAN1.11.1 配置准备1.11.2 配置Auth-Fail VLAN1.12 802.1X显示和维护1.13 802.1X典型配置举例（WX系列无线控制产品适用）1.14 下发ACL典型配置举例（WX系列无线控制产品适用）l 本手册中标有“请以设备实际情况为准”的特性描述，表示WX系列无线控制产品的各型号对于此特性的支持情况不同，具体差异请参见“特性差异化列表”的“特性支持情况”章节。

l 无线控制产品支持的接口类型和编号与设备的实际情况相关，实际使用中请根据具体设备的接口类型和编号进行配置。

1802.1X配置1.1 802.1X简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。

后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议（port based network access control protocol）。

如何设置华为802.1x认证客户端实现无线上网一、必要条件：1. 使用支持802.1x认证的无线路由器，如TP-Link的TL-WR340G+和541G+。

2. 所用账号支持多台电脑上网。

设置步骤：1. 连接好无线路由和电脑。

2. 按照无线路由器的说明书更改电脑的IP地址，设成198.168.1.X，DNS按照原来的就行。

3. 浏览器里输入198.168.1.1，进入路由器设置网页。

禁用DHCP，设置连接方式为802.1x+动态IP(DHCP+动态IP)，输入账号和密码，保存后重启一下路由器。

当设置好路由器后，网线要从WAN口改插到LAN口。

也就是把无线路由器当成AP来使用。

注意：不要设置安全登录方式，如WEP等。

4. 无线上网的电脑里，选择无线网卡，右键属性，把IP设成自动选择，DNS 设成与有线连接的电脑相同。

安装好iNode认证软件（VISTA系统也可以正常运行），需重启电脑。

5. 有线连接的电脑最好重启一下，再把IP设置成自动选择，DNS不变。

点击“我的802.1x连接”，应该可以上网了。

6. 在无线连接的电脑上也运行“我的802.1x连接”，显示登录成功，成功！关掉有线连接的电脑也能无线上网了。

二、Windows无线客户端的相关配置1、在Windows无线客户端中，通过“刷新网络列表”搜索相应的SSID，本例中的SSID为cams，然后选择“更改高级设置”，如下图所示：2、在弹出的对话框中，选择“无线网络配置”，在“首选网络”中选择“cams”，然后点击“属性”，如下图所示：3、在弹出的“cams属性”对话框中，在“关联”项中根据SSID的配置，在“网络验证(A)”中选择“WPA”，在“数据加密(D)”中选择“TKIP”，如下图所示：4、选择“验证”项，在“EAP类型(T)”中选择“受保护的EAP (PEAP)”，然后点击“属性”，如下图所示：5、在弹出的“受保护的EAP属性”的对话框中，如需验证服务器证书，在“验证服务器证书(V)”选项上打勾，否则勾掉该选项。

第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议，起源于802.11协议－－标准的无线局域网协议。

IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题，但其在IEEE 802 LAN所定义的有线局域网中的应用，为LAN提供了接入认证的手段。

在IEEE 802 LAN所定义的局域网中，只要用户接入局域网控制设备，如LanSwitch，用户就可以访问局域网中的设备或资源。

但是对于如电信接入、写字楼LAN 以及移动办公等应用，设备提供者希望能对用户的接入进行控制，为此产生了基于端口的网络接入控制（Port Based network access control）需求。

基于端口的网络接入控制（Port Based network access control）是在 LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，而且仅定义了接入设备与接入端口间点到点的连接方式。

其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station（基于物理端口）；IEEE 802.11定义的无线LAN 接入（基于逻辑端口）等。

Quidway S3526在802.1X的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性。

1.1.2 802.1X体系结构802.1X系统包括三个实体：客户端、认证系统、认证服务器，图1中与之相应的各部分为： Supplicant System（用户接入）；Authenticator System（接入认证）；Authentication Sever System（认证服务器）。

Windows xp客户端802.1x认证配置：1、右键网上邻居->属性：2、点击无线网络->右键->属性：3、点击无线网络配置：4、在首选网络中选中采用802.1x认证的ssid：wlan_test_wpa2网络身份验证：WPA2数据加密：AES5、选择验证标签：EAP类型：受保护的EAP(PEAP) 点击属性：勾掉验证服务器证书和启用快速重新连接点击配置：勾掉自动使用windows登陆名和密码连续点击确定，关闭无线网络属性窗口。

6、重新连接niding1 ssid 会弹出如下提示消息：点击该消息会弹出如下登陆框：输入用户名密码，即可完成认证。

Windows 7 802.1x认证配置：1、右键网上邻居->属性->选择管理无线网络：2、点击添加：3、选择手动创建网络配置文件：4、输入无线网络信息：网络名：niding1（需要802.1x接入认证的ssid）安全类型：WPA2-企业加密类型：AES点击下一步：4、选择更改连接设置：6、选择安全标签：安全类型：WPA2-企业加密类型：AES网络身份验证方法：Microsoft：受保护的EAP(PEAP)7、点击设置：勾掉验证服务证书勾掉启用快速重新连接8、选择身份验证方法：安全密码(EAP-MSCHAP V2)；点击配置勾掉自动使用windows登录名和密码9、连续两次点击确定，回到无线网络属性，点击高级属性：10、选择802.1x设置：勾上指定身份验证模式选择用户身份验证10、连续点击确定，关闭配置框，重新连接该ssid,会弹出如下网络身份验证框，输入用户名，密码，即完成认证。

802.1x认证的配置一组网需求：1．在交换机上启动802.1x认证，对PC1、PC2进行本地认证上网；2．远程RADIUS服务器开启802.1x认证，对PC1、PC2认证上网。

二组网图：1．进行本地认证2．服务器认证三配置步骤：1作本地认证时交换机相关配置1．创建（进入）VLAN10[H3C]vlan 102．将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[H3C]vlan 204．将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25．分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26．全局使能802.1X认证功能（缺省情况下，802.1X功能处于关闭状态）[H3C]dot1x7．添加本地802.1X用户，用户名为“dot1x”，密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8．补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式，缺省是接入控制方式为macbased。

两种方法的区别是：当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

例如，修改端口E1/0/1的接入控制方式为portbased方式：[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者：[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1．创建（进入）VLAN10[SwitchA]vlan 102．将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[SwitchA]vlan 204．将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25．创建（进入）VLAN100[SwitchA]vlan 1006．将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17．创建（进入）VLAN接口100，并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8．创建一个名为“cams”的RADIUS方案，并进入其视图[SwitchA]radius scheme cams9．配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310．配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11．配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12．创建用户域“huawei”，并进入其视图[SwitchA]domain huawei13．指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14．指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15．分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216．全局使能dot1x认证功能（缺省情况下，dot1x功能处于关闭状态）[SwitchA]dot1x17．补充说明如果RADIUS服务器不是与SwitchA直连，那么需要在SwitchA上增加路由的配置，来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

一、引言802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LANS witch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

802.1x的体系结构如图1所示。

它的体系结构中包括三个部分，即请求者系统、认证系统和认证服务器系统三部分：图1802.1x认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。

请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.lx认证，后文的认证请求者和客户端二者表达相同含义。

2.认证系统认证系统对连接到链路对端的认证请求者进行认证。

认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备(如LAN Switch 和AP)上实现802.1x认证。

802.1X内部认证配置及注意事项
1 登录AP配置页面
在IE浏览器里输入192.168.0.50.默认登录的账号名为admin，密码为空。

2 进入到AP的基本管理页面
Basic setting-----Wireless选项卡
更改SSID名称
启用WPA企业级认证方式
开户内部认证功能
2.1：根据需要更改SSID名称
2.2：在验证模式下开户WPA企业级认证
2.3：选择DAP-2590内部认证功能
注：配置完成以后，请保存配置并激活，否则无法激活内部帐号。

3 进到AP的高级配置页面
Advanced setting----internal RADIUS Server填写认证的账号与密码，注：密码不低于8位字符。

添加账号名与密码。

注：内部认证数据库目前只有DAP-2590与DAP-2690支持，其他AP暂不支持。

外部认证数据库所有的AP都支持。

4更改终端无线网卡配置
4.1 XP配置
选择对应的SSID.点击属性
EAP类型为（受保护的EAP(PEAP)----属性
去掉验证服务器------点击配置---去掉启用本机认证的功能
4.2 win7不用配置些设置
注：做完配置以后，请注意保存并激活配置，否则所以的配置将不会生效。

configuradtion----save and activate。

清华大学无线校园网802.1x认证登录客户端配置说明信息化技术中心2018年9月目录一、注册802.1x密码 (3)二、配置用户端设备 (4)2.1Windows10操作系统下配置802.1x的方法 (4)2.2Windows 7系统下的配置802.1x的方法 (9)2.3Android系统下的配置802.1x的方法 (12)2.4iPhone、iPad下的配置802.1x的方法 (13)2.5macOS下的配置802.1x的方法 (14)2.6Linux系统下配置802.1x的配置方法 (16)三、用户服务 (19)清华无线校园网802.1x认证系统正式开通啦！无线信号名称是“Tsinghua-Secure”，用户只需通过校园网账号登录自服务系统（）注册802.1x认证系统的密码，一次性配置用户终端设备（手机、PAD、电脑等），以后无需再做任何登录认证操作，直接可以上网。

无线校园网802.1x认证系统将于2018年9月于部分办公区域逐步开通，预计在2018年年底学校无线覆盖区域全部开通。

使用802.1x认证系统需要进行以下两个操作步骤：1.注册802.1x的密码；2.配置用户端的设备。

详细操作说明如下。

一、注册802.1x密码1.登录自服务系统: ，选择“802.1x功能”下的“自注册及修改口令”，如下图所示。

在密码及确认密码的区域输入密码后，点击“确定”按钮后，即注册802.1x密码成功。

如下图所示:2. 注意事项：为确保校园网账号安全，请勿将802.1x密码设置为校园网账号密码。

若以后需更改该密码，可登录到自服务系统中按照上述步骤进行。

二、配置用户端设备用户终端设备需按不同的操作系统进行配置，Windows/Android/iOS/macOS等不同系统下的配置方法如下。

2.1Windows10操作系统下配置802.1x的方法1.确认终端在信号覆盖范围内：查找是否能找到802.1X SSID“Tsinghua-Secure”如果能找到则可以进行下一步。

本地802.1X认证典型配置举例(V7)1 组网需求如图1所示,switch通过PoE方式给AP供电，switch做为DHCP server为AP、Client 分配IP地址,需要实现无线客户端Client通过AP连接到AC上。

图1 无线客户端进行802.1X认证组网图。

2 配置关键点2.1 配置AC(1)在AC上配置相关VLAN及对应虚接口地址，并放通对应接口。

(2)配置本地用户，用户名为localuser，密码为localpass。

[AC] local-user localuser class network[AC-luser-network-localuser] password simple localpass[AC-luser-network-localuser] service-type lan-access(3)配置ISP域，为802.1X用户配置AAA认证方法为本地认证、授权和计费。

[AC] domain bbb[AC-isp-bbb] authentication lan-access local[AC-isp-bbb] authorization lan-access local[AC-isp-bbb] accounting lan-access local(4)配置802.1X认证方式为CHAP。

[AC] dot1x authentication-method chap(5)配置无线服务。

[AC] wlan service-template service[AC-wlan-st-service] ssid service[AC-wlan-st-service] vlan 200[AC-wlan-st-service] client-security authentication-mode dot1x [AC-wlan-st-service] dot1x domain bbb[AC-wlan-st-service] service-template enable(6)配置AP。