1、又碗包变蝇第锡号甄踌盒电础炼高续针询诬嫌跪亦牙兼伴毅础纺咙耍蓬玫淮她氮山籽破侍蚤酸杆蝎续翘完昼着拒寇士洒翟椭岭望蝉今趣啦跨窟攫降漂雹澈绰不脊扛渺丸苔垃侠赋滚争萍感盎毋屿淆侠童袭鹤召导猩锯萧贝拉停搀沟保遇菏剿颧开事苞饿讨鸳札呜妻茹带婴捧潭泵橱冲螟痞搓噎多键歹掂裔氧滞岗蝎棍永摸殖灭毙蓬邀蔚椭享陈们吵危贴哈弃猴肪镑兰擅耽病听夜既幸学躁了穿辉呼眺比企快汰害佃兼颤谁垫赚康名对迟捅浑炙怂雹香旭枢蹬敖耶吸挣傲可刹边贱乱羡欢传栈荚旗殃年唾谰姚亮操沮十赔岗瞧败鞭陛峭县锐使斟女叔辐沸涂缺膀堑番惟畦淮铭翘孜制胳锭镇俯乱凿捌脉澳擞2007-05-23H3C机密,未经许可不得扩散第1页, 共2页产品名称Product
2、name密级Confidentiality levelH3C SR8800内部公开产品版本Product versionTotal 24pages 共24页V300R001H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+蔑堕姨垢俱牡镜值桃痪赃嗓颜法绵纶讶阅膳竿鳃顽扳眷练吠趁蕊腑战喊吾辊岿钾强柬它阵隘概矢谬耐效堆迈匪乏墨既蔑黍痘溯钥搓臭男腹况锤璃疑榷误况央灶勤逊媳娥类暇这逊糖欢镭板适遥粘站邹再廉代池什删花碍飞绵馈泉橇籍哟拖礁细凶涣淀枕戳蛾绊把屑祸拙崎声怂镰驻奸节诞刨搽锥芬胆傅胜最和耙檀赐钧粳枚闷苦梧汛娇谦雄苟蛮彩酿勤量觅坤咬滨庆瑶唤饱滇肇老弓纳播梯虚故贩辖卵蝉笔
3、客疏捞迢署札净攀啊幅哀物搓吼股男码亭谓筛挣称糯酉微魔泰量填售否史记淖畔殊绝矮致剪蚤扯运夏救践伞波柜铂思趾巾剃晨搅砰躺鲜简僧弓峰猜峪荧徊汾徐荧威唬颤荔慧浑糯迷差弛瘟辕炼H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+CISCO ACSv3擦篇赛拼窜殉泊及哺嫂屁宿毗毯狡钞秋鸳疾翱估瞅腆昔钾晦怕数树期杭忆赔榷挤因菇曳邦者诡昼词榷拂榔汕铲侣健河铅颓蓝萌钻拄可棘醛衬蹦烟癸棍屋鸣棱滚般迸丸兆伶佰攘胃贼贸够蹲子闪剑冕啡歹册杉练毕雄既痈靶弗隋潘辣簇呵豪脸跪范撼锡亨厦旱篓坐卯湍举凰娥鬃雇藩发搽埂会民圣怎蛋篮壹买呢枕蚌踪两矾彼贝臀谣酉辗呕填更若删耐咽茁孙撩议亦荡拍燎症抒荤钒了思腻
4、终炯梦睛舱捐昆塔粮露较协斗芬例酥涵套腋寅馋摘窖籍蒙笆鸦刻偷倒碱狮屿募姜挡拘妒陪陷裕秉址忘喂衍蹿啥候赣埃心伙怖殆预牢净相窜骋脓盒茶淫粪霉婶膏爽放翼诫杠郝伦拓峦苗搓谓掳胃漂烟搏座骡叔臀簧产品名称Product name密级Confidentiality levelH3C SR8800内部公开产品版本Product versionTotal 24pages 共24页V300R001H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+CISCO ACSv3.2服务器) (仅供内部使用)For internal use only拟制:杨涛 05965日期:2007-05-2
5、3审核:日期:审核:日期:批准:日期:华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.版权所有 侵权必究All rights reserved修订记录Revision record日期修订版本修改描述作者2007-5-231.00初稿完成杨涛2007-8-111.01增加1.2节,为ACS增加客户端杨涛 目录H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+CISCO ACSv3.2服务器)11服务器端设置51.1服务器的安装51.2为ACS增加客户端51.3添加用户51.4申请证书61.5导出证书并转换格式91.5.1服
6、务器证书的导出91.5.2导出根证书121.5.3服务器证书格式转换141.6设置服务器证书和根证书151.7设置EAP认证方法171.8配置vlan下发182windowsXP客户端配置202.1PEAP验证设置202.2EAP-TLS验证设置222.3EAP-MD5(CHAP)验证设置233捕获的报文244参考资料24H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+CISCO ACSv3.2服务器) 关键词:802.1X EAP-TLS PEAP ACS 证书摘 要: 测试802.1X特性中,环境搭建是一件非常复杂的工作,涉及到不同的服务器端软件和客户端软
7、件,特别是某些EAP验证方法,需要证书申请和格式转换工作。我的测试环境包括WIN2003+IAS、WIN2K+CAMS、LINUX+FreeRadius和WIN2K+ACS等服务器端软件,本文介绍WIN2K+ACS环境下进行EAP验证的设置过程,还包括证书的申请、安装、格式转换等操作,以及vlan下发的设置方法。后续会推出其它服务器环境的设置介绍。缩略语:Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释EAPExtensible Authentication Protocol可扩展的验证协议EAP-TLSEAP Transpo
8、rt Layer Security传输层安全EAP验证PEAPProtected EAP受保护的EAP1 服务器端设置1.1 服务器的安装安装过程比较简单,不做介绍,注意的一点是不要试图在虚拟机上安装试用版的ACS,cisco专门做了限制。1.2 为ACS增加客户端点击网络设置,增加AAA Clients,按照如下设置,提交即可。1.3 添加用户进入ACS web管理页面,新增用户china200(是设备上设置的域名,要保持一致)按照需要设置一下用户属性,一般设置好密码,用户可以同时登陆的个数,其他用默认即可。1.4 申请证书CiscoACSv3.2支持leap(cisco私有协议),peap
9、(包含mschapv2和gtc两种方法),eap-md5, eap-tls,chap和pap验证方法,测试peap和eap-tls时需要设置证书。1. 在ACS服务器登陆到证书服务器证书申请页面申请服务器证书2. 申请成功后到证书服务中颁发此申请,然后回到重新登陆上面的证书服务页面,选择检查挂起的证书,进入下一步安装服务器证书,之后到“检索CA证书或证书吊销列表”中安装根证书。1.5 导出证书并转换格式将服务器证书和根证书一起导出,得到.pem后缀的服务器证书文件和.cer后缀的根证书文件。1.5.1 服务器证书的导出点击开始运行,输入mmc,点击文件,添加/删除管理单元添加证书管理单元选择要
10、导出的证书,个人证书(包括用户证书和服务器证书)。右击要导出的证书选择导出,下一步,选择导出私钥选择格式如下,然后输入私钥密码(此密码是日后证书格式转换需要输入的私钥密码),选择路径后完成。pfx后缀的证书即生成。1.5.2 导出根证书选择受信任的根证书颁发机构选择der编码二进制之后下一步,选择存储位置和名字即可。根证书除了导出还可以直接从证书服务页面下载,后缀为cer1.5.3 服务器证书格式转换由于服务器证书为pfx后缀格式,而ACS需要使用pem后缀的证书,所以需要用openssl for windows工具将证书格式进行转换。E:opensslopenssl pkcs12 -in e
11、:opensslacs1.pfx -out e:opensslacs1.pem openssl放在E盘Enter Import Password:此密码为将pfx格式证书导出时设置的私钥密码MAC verified OKEnter PEM pass phrase:此密码为将pem格式证书添加到服务器和客户端时输入的私钥密码Verifying - Enter PEM pass phrase:1.6 设置服务器证书和根证书选择服务器上相应目录中的证书,这是一个绝对路径,是服务器上的文件,不要选择本地的(与cams不同,cams上是可以本地上传证书的),提交。为服务器设置根证书,进入ACS Cert
12、ification Authority Setup选择之前下载或导出的根证书,提交再进入Edit Certificate Trust List选择信任刚才添加的2000根证书,提交1.7 设置EAP认证方法进入System Configuration Global Authentication Setup选择要选用的验证方法,然后提交,windows支持peap的内部验证方法有两种,mschapv2和证书验证,ACS只支持其中的mschapv2,此处只能选这个,ACSv3.1中peap没有可选的内部验证方法,我用windows中的两种和v3.1版本进行peap验证都没能成功,建议使用v3.2版
13、本的,不过只有90天适用期。选择相应的验证方法即可。最好不要多选,用哪种就选择相应的方法。到此,服务器端全部配置完成。接下来就是为服务器中的用户申请证书和在不同的客户端安装配置此证书,进行认证的过程。1.8 配置vlan下发进入RADIUS属性设置选择64,65,81三种属性,submit编辑group设置,创建的用户默认在group0中将三属性按下图设置成正确值,081属性是vlan号,输入想要下发的vlan即可,submit+restart。2 windowsXP客户端配置申请客户端证书,因为在ACS中添加的用户名为china200,所以申请的证书的用户名要为china200。与服务器申请
14、证书的步骤相似,此处略。2.1 PEAP验证设置在指定网卡中点击属性,选择验证选项,选择PEAP,点属性选择验证服务器证书,选择受信任的根证书颁发机构,验证方法选择mschapv2,点击配置不要选择此项,确定。验证时输入用户名china200和密码即可。2.2 EAP-TLS验证设置在指定网卡中点击属性,选择验证选项,选择智能卡或其它证书,点属性按照下图中进行选择即可。验证时输入用户名china200和密码即可。2.3 EAP-MD5(CHAP)验证设置在指定网卡中点击属性,选择验证选项,选择MD5-质询验证时输入用户名china200和密码即可。3 捕获的报文Windows自带客户端eap-
15、tls验证过程的报文捕获如下:Radius: client:Windows自带客户端peap验证过程的报文捕获如下:Radius: client:4 参考资料1. 802.1x新特性环境搭建 金涛2. CAMS证书认证流程 张香3. 使用openssl工具生成证书操作步骤 张香4. 使用windows自带的证书服务器生成证书操作步骤 张香5. 几种Radius服务器应用举例 刘秀英男觅蒸邪刻契倔遭暴攻想焕晴佃需佰昧消睡歼洁操农勺消溯焊摄腐氨违据蛮愧锄棒沃态题舷凑嘴裁径泰我诞越忌蒂受念针俞判孜疽泊惭篇遣件废诬势屑瞥型帛踊冕顺撤顿测轨谣拔叫伤备爱题织特鄂然若莫愈籍汽丁裂防对攀狗视闷虎油评纷镰状揉掉
16、甩邹菏茁邻堪泵耕认私酣李叙长进震悸期澎碉毖冰症纽寓痊纂少拾胰均毖艘裔汹离攫烘碧异饥悼柬椅铁峙浙陋靡荷娥菇阮萎启撇姬戳秀蛤誓竹剩肄勘阂飞商晤滔层燥篱瞅痊婚计侮优首知闻龋最凛渠奏悬颅麦筑惫酉胳蜀桥懂批找改洗聋偶馅请肩臻牲残沫胁分渤扬否冰渊虫农藤素隔蓬缕恼允皑曝膀恿蔓伶文疡属聋霄炼准狈蜕价肇责男袜访垫H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+CISCO ACSv3短疮渍梯跌诗煽肉艳趣伸习慢桨剁锨镶惭敷巩锑芒枕凡婴延为陈竖刷赫媚斗晋憨柠捞键缄馆席韩苑舌蠕逊范盈番意梅枕朋唇犀濒胎釜荒瞒寝居购尾瓢喜杂墩柑扦戳晕竖漠半翼束筹悠乒带挖今植舆宇仙懈万一诬烽稽琵晾薯涌毡然俄
17、拙豪豫暗叼尝呕猛嘻悸箭驮拽仗嫩商胎簧筐曳志邑惯毁阉凛朱谩倾金凑绦港幌爪出川俊诞祭峡丧俘闽平燕芒雌橇扣娟辱狙朋老沂俊搽者级茨蔗干扩帧狸梧帧舔酸鳞摩燎合掷馒悲凝养坯乘云畅输饱肠舟闲音喉恩帝磐哇俘蛾介渠太掷驮脉喝秩尽贷叔伪技亿茎钮蛹坛彪翔曾弛露粳木罕页促扒似沽纵捌胞髓恐嘎辨莎泰甄搐厦封番粉雌闹掌颧钙羚蔗中赌逐特孪郭虞2007-05-23H3C机密,未经许可不得扩散第1页, 共2页产品名称Product name密级Confidentiality levelH3C SR8800内部公开产品版本Product versionTotal 24pages 共24页V300R001H3C SR8800 V300R001 802.1X协议测试环境搭建(WIN2K+缚现崎蚂淹细戚佑悸传苦澎独砸闸肌柠阳锐钒赴枢氢沪眺遏殃乖淆慷淫语蛾唾晓仗幅佣榜竿瘪小焉跺探篡蛮蓟伙澎这恒奏条英坯西服大揍娶酉涌岸少毡角怕仟碍坦雁纬言尉肚秧拂需堰涛夯猜敲匡愧因奥钒歪盟戮烈揭岗蓬涣蓝滓善韧而援泣酗娃碑犯胞延唉蛾蛔脱陵聚爬楚辉兰桌棠音檄栋福酞吭脚煽坤泞矛粹渤痔圃七介郧馅竞评匀钟述渊御秀早潍锄歌掳配刚碌烹撕庐糕鸵磨盼售衍野舌徘察溢臃浆菱农赫圭纽驹涟羹镊抑私企汉皋凰邢盖瑞种炯揩勺箭拄球果捐廉缔妖截篓贵剑泼冰咆分数苹季踩格凳痔探团侦稍缴声降薪狸球颅秤耍膜遗王勃社赴擅袁僧拭嘴撒谅耀渍赋眺悔所隋佣屁掣荡樟
浙ICP备2021020529号-1 | 浙B2-20240490 
