> 返回 首页 > 关于我们 > 媒体报道 >华为无线网络配置宁盾802.1x认证指南

华为无线网络配置宁盾802.1x认证指南

发布时间:2022-03-17 16:12:00  来源:宁盾  点击量:

一、企业内网准入安全挑战:


无线网络大量部署,BYOD、高级访客、员工随时随地办公,实现接入企业内网用户身份及终端的合法性、并分配适当的权限,是企业内网安全当下迫切希望解决的问题。


二、方案概述:


通过802.1x(或802.1x+Portal+动态密码),可以解决内网接入身份认证和访问权限控制,增加一重动态密码认证,可以避免非授权用户盗用身份接入内网可能性;配合宁盾终端准入引擎(ND ACE)可以实现笔记本、PC终端合规性检测。

该方案适合政府、金融、互联网、电力能源、医疗教育等内网安全等级高企业。


三、兼容多种终端类型:


手机接入无线802.1x认证

1、Android 802.1认证:

选择要连接的SSID;在弹出框中配置,“EAP方法”选择“PEAP”,“阶段2身份验证”选择“MSCHAPV2”,“身份”输入用户名,“匿名身份”留空,“密码”输入密码;


2、IOS 802.1x笔记本认证:直接输入用户秘密登录即可。

Android 802.1认证 Android 802.1认证成功页 IOS 802.1x认证

首次次接入增加Portal+宁盾动态令牌认证(图示),二次无感知接入。


Windows 802.1x认证+终端安全检测(可选)

1、高版本win10 802.1x无线认证直接输入用户名秘密登录即可。



2、低版本win7802.1x认证略复杂,登录之前需要先进行配置。

step1、在“管理无线网络”中添加无线网络,并将 “网络设置”>>“安全类型”设置为“WPA2-企业;

step2、“更改连接设置”中“安全”>>“设置”弹框里取消“验证服务器证书”,同是勾选“安全”>>“高级设置”中的“指定身份验证模式”,并将其设为“用户身份验证”。


3、ND ACE终端检测(可选)

安装了ND ACE,在认证的基础上,只有检测合规的终端才允许接入,ND ACE主动探测终端安装了哪些软件、软件运行进程、杀毒软件、系统信息、需要安装的补丁信息等,以保证入网终端合规。



三、方案拓扑及配置办法


华为AC6605/6005通过Radius协议与DKEY AM(宁盾一体化身份认证服务器)实现交互,实现802.1x认证;

在核心交换机部署宁盾准入引擎(ND ACE),实现笔记本/PC终端安全检测(可选项);

802.1X默认的MS CHAP v2认证协议,宁盾认证服务器(DKEY AM)同步AD/LDAP作为用户源进行身份认证和用户管理,与无线设备之间通过RADIUS建立PEAP管道(使用TLS加密),管道中传输802.1x MS CHAP v2协议。

当用户接入网络时,首现输入AD/LDAP用户名、密码,并将该用户名密码通过RADIUS请求发送至宁盾认证服务器(DKEY AM),宁盾认证系统将MS CHAP v2协议报文解出,重新封装成普通RADIUS请求发送至NPS做认证,再将NPS的认证结果封装到PEAP管道传回无线设备,完成认证过程。


认证系统对接配置:

step1:安装好NPS,同步注册NPS;


step2:在宁盾认证服务器(DKEY AM)上配置AD的外部用户源;



step3:DKEY AM上为AD用户源添加MS CHAP认证代理,代理的IP、端口、共享密钥都是NPS的信息;



step4:DKEY AM上创建AC、SSID,绑定商户。必须确保AC的IP和SSID配置正确;




step5:查看在线用户;

宁盾科技版权所有。

—END—

企业级数字身份基础设施提供商
x