华为无线WiFi配置802.1x认证-Toy模板网

这篇具有很好参考价值的文章主要介绍了华为无线WiFi配置802.1x认证。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

一、拓扑：

二、简介：

本篇主要介绍华为交换机设备配合Windows server 2019配置的802.1x+NPS协同做的有线网络认证（可跟做）。现有的华为6605无线AC配置：认证模板、radius模板、安全模板、 AAA、dot1x模板、vap模板等，再配合一台Windows server虚拟服务器搭建的NPS并配置认证类型、加密类型、radius客户端，形成一套无线802.1x认证的架构。

*实际（真机）情况建议按照本文档配置，不建议严格按照官方手册配置，否则你会碰到非常多的问题，甚至配置失败。

三、主要步骤：

AC： 1、配置认证模板：调用下面的dot1x模板和认证域控，最终提供给vap模板调用。 2、radius模板：指定NPS IP和协商密钥，配置好认证、计费端口（保持默认端口）。 3、AAA：配置认证、计费模式为radius。 4、认证域：创建新的认证域，调用AAA中的认证计费模式。 5、安全模板：配置认证类型为wpa2+dot1x+aes 6、dot1x模板：创建dot1x模板，无需配置任何（默认采用EAP认证方式。) 7、vap模板（SSID服务模板）:调用1中的认证模板。 NPS（Windows server 2019）： 1、创建一台新的server 2019服务器。 2、加域。 3、添加NPS角色，并创建CA证书。 4、在AD中注册此服务器。 5、配置NPS的“连接请求策略”和“网络策略”

认证过程： 1、无线终端（PC、手机等）搜索到配置了802.1x认证的WiFi后，点击该SSID，则触发AC中配置的SSID模板配置，SSID模板调用其配置的认证模板，该认证模板中调用dot1x模板和认证域。 2、认证域中调用了AAA认证方式和radius模板，而AAA和radius指定了认证服务器为配置好的Windows server 认证服务器。 3、认证服务器（已加域，可调用AD中全部用户名和计算机名）中配置的认证方式和共享密钥与AC中成功匹配，并弹框要求1中的无线终端提供用户名密码或者计算机名称、密码，待终端输入正确的域账户密码（加域后的设备会自动使用其用户名密码）后，认证服务器匹配其输入的用户名密码正确则放行上网，验证失败则拒绝终端上网。

华为AC主体配置：

authentication-profile name auth-gd //创建认证模板auth-gd。

dot1x-access-profile dot1xprf-gd //调用dot1x模板

free-rule-template DNS //可选

access-domain gdoa.com dot1x force //在本认证模板中强制调用”gdoa.com“认证域。

radius-server template radius-gd //创建radius服务器模板

radius-server shared-key cipher ********

radius-server authentication 10.10.10.32 1812 weight 80 //指定认证服务器IP、端口。

radius-server accounting 10.10.10.32 1813 weight 80 //指定计费服务器IP、端口。（可选）

aaa

authentication-scheme auth-gd //创建3a认证认证类型

authentication-mode radius //配置成radius认证类型。