Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 WLAN 上启用 WPA2/WPA3 企业 (802.1X) 安全性

在 WLAN 上启用 WPA2/WPA3 企业版,以便使用 RADIUS 服务器进行高级身份验证。

这些主题将指导您完成启用 802.1x 安全性和添加 RADIUS 服务器的基本步骤,以及有关各种选项的更多信息。

设置 WLAN 安全性类型并添加您的 RADIUS 服务器

Wi-Fi 7 (802.11be) 以及使用 6 GHz 无线电频谱时,需要 WPA3 或增强型开放(基于 OWE)安全类型。对于 Wi-Fi 7,您还必须启用 Wi-Fi 7 安全性 选项。尽管受支持,但默认情况下 WPA2 和开放式安全类型不可用。要使用它们,您需要在 Wi-Fi 协议下取消选择 Wi-Fi 6 和 Wi-Fi 7,并在 WLAN 模板或配置页面的 无线电频段 下取消选择 6 GHz,

固件版本为 0.15.34098 或更高版本的瞻博网络 Mist Wi-Fi 7 和 Wi-Fi 6E 接入点支持 Wi-Fi 7 安全性。

要设置 WLAN 安全类型并添加 RADIUS 服务器:

  1. 导航至 WLAN。

    • 如果WLAN在WLAN模板中,请选择 组织>无线 |WLAN 模板,单击模板,然后单击 WLAN。

    • 对于站点级WLAN,请选择站点>无线>WLAN,然后单击WLAN。

  2. 在“编辑 WLAN”窗口的“安全性”部分中:
    1. 单击 WPA3WPA2
    2. 单击企业 (802.1X)。

    仅当在“安全性”部分中选择了 WPA2/WPA3 和企业 (802.1X) 时,RADIUS 身份验证才可用。

    Security Type Section of the Edit/Create WLAN Page
  3. “身份验证服务器”部分中,添加您的服务器。
    1. 选择 RADIUS 作为服务器类型。
    2. 单击“添加服务器”。
      Add Server Button
    3. 输入主机名共享密钥
      注意:

      您可以使用站点变量来代替输入主机名。请参阅 (可选)使用站点变量添加服务器
    4. 单击复选标记按钮。
      Hostname, Shared Secret, and Checkmark Button
  4. (可选)如果需要,为 WLAN 配置其他选项(如本文档其余部分中所述)。
  5. 保存 WLAN 配置,并保存模板更改(如果 WLAN 是 WLAN 模板的一部分)。

(选答)使用站点变量添加服务器

通过使用站点变量来识别 RADIUS 服务器,即使某些属性不同,也可以轻松地将相同的 WLAN 配置应用于不同站点的接入点。在此方案中,假设站点 A 和站点 B 使用不同的 RADIUS 服务器。您将使用变量在 WLAN 配置中添加 RADIUS 服务器。然后,您将在两个站点配置中以不同的方式定义变量。

要使用站点变量添加服务器,请执行以下操作:

  1. 在第一个站点的站点配置中定义站点变量:
    1. 从 瞻博网络 Mist 门户的左侧菜单中选择“组织>站点配置”。
    2. 单击要配置的站点,例如站点 A。
    3. 站点变量部分中,单击添加变量。
    4. 输入 RADIUS 服务器 IP 地址的变量名称和值,然后单击保存。

      如下所示,输入{{RADIUS_IP}}变量。输入“值”的实际 IP 地址。

      Entering the Variable Name and Value
    5. 共享密钥添加变量,如 {{RADIUS_Secret}},然后输入此服务器的实际共享密钥作为

      添加这两个变量后,它们将显示在“站点配置”页面的“ 站点变量 ”部分中。

      Example: Site Variables List on the Site Configuration Page
  2. 相同的变量添加到下一个站点(站点 B),并为该站点的 RADIUS 服务器输入正确的值。
    例如,在站点 B 的站点配置中,添加相同的 {{RADIUS_Server}} 变量。在 字段中,输入站点 B 的 RADIUS 服务器的实际 IP 地址。还要添加相同的 {{RADIUS_Secret}} 变量,并为该 输入正确的共享密钥。
  3. 单击“站点配置”页面右上角的“保存”。
  4. 设置 WLAN 安全性类型并添加您的 RADIUS 服务器,然后输入服务器详细信息的变量。

    例如,在添加 RADIUS 服务器或 CoA/DM 服务器时使用变量。

    在此示例中,主机名为 {{RADIUS_IP}},共享密钥为 {{RADIUS_Secret}}。

    Example: Variables in the Hostname and Shared Secret Fields
  5. 保存 WLAN 设置。

(选答)添加 NAS 标识符和 NAS IP 地址

在 WLAN 上启用 802.1X 安全性时,可以添加 NAS 标识符NAS IP 地址 ,以自定义传递到 RADIUS 服务器的信息。

例如,您可以输入站点 ID(在站点级 WLAN 中)或站点名称变量(在 WLAN 模板中)作为 NAS 标识符。使用此方法,您可以将所有活动与站点相关联,以促进审计/会计流程,或为不同的站点创建不同的 RADIUS 规则。另一个示例是输入单词 Mist 作为 NAS 标识符。这样,您就可以为来自 Mist 的流量创建不同的 RADIUS 规则或访客门户体验。

如果将 NAS 标识符字段留空,则 WLAN ID 将用作 NAS ID。

您可以输入纯文本和变量。以下变量在此字段中有效:

  • 设备名称—{{DEVICE_NAME}}

  • 型号—{{DEVICE_MODEL}}

  • MAC 地址—{{DEVICE_MAC}}

  • 站点名称—{{SITE_NAME}}

此示例说明如何在 ID 中同时使用文本和变量。

Example: Using Variables in the NAS Identifier Field

如下所示,当此 WLAN 上的接入点发送访问请求时,将转换变量以标识接入点。

Example: Access-Request Contents Including NAS-ID

或者,指定 NAS IP 地址。通常,Mist 会通过接入点的实际 IP 地址。但您可能希望指定要用于所有活动的 IP 地址,以便可以在 RADIUS 策略中引用该地址。

您可以在“编辑/创建 WLAN”窗口中添加 NAS 标识符或 NAS IP 地址。

(选答)添加 CoA/DM 服务器

在 WLAN 上启用 802.1X 安全性时,还可以添加 CoA/DM 服务器。

授权变更 (CoA) 允许您在初始身份验证后修改授权的 RADIUS 会话,以满足不断变化的访问要求。例如,启用管理员发起的会话重置等用例。

注意:

有关更多信息,请参阅授权变更 (CoA)。

(选答)启用 RadSec

RadSec 是一种协议,允许 RADIUS 服务器通过 TCP 和 TLS 传输数据以提高安全性。借助 RadSec 功能,您可以通过公共网络传输 RADIUS 数据包,同时仍确保传输层的端到端安全性。
要启用 RadSec 并安装证书:
  1. 设置 WLAN 安全性类型并添加 RADIUS 服务器后,添加 RadSec 服务器:
    1. “身份验证服务器”部分中,从下拉列表中选择 RadSec
    2. 输入服务器名称
    3. 单击“添加服务器”,然后输入主机名
      RadSec Settings
    4. 单击复选标记按钮以添加服务器。
    5. 保存 WLAN 配置,并保存模板更改(如果 WLAN 是 WLAN 模板的一部分)。
  2. 从组织设置中获取 Mist 证书:
    1. 瞻博网络Mist门户的左侧菜单中选择 “组织 > 设置 ”。
    2. 在 Mist 证书下,单击查看证书。复制证书。您将需要它进行下一步。
  3. 转到您的 RadSec 服务器并完成以下任务:
    1. 加载复制的 Mist 证书。
    2. 从 RadSec 服务器复制您的 RadSec 证书。您将需要它进行下一步。
  4. 返回瞻博网络 Mist 门户的“组织设置”页面,添加您的 RadSec 证书:
    1. 在 RadSec 证书下,单击添加 RadSec 证书
    2. 粘贴 RadSec 服务器中的证书内容。
    3. 单击添加
  5. (可选)如果您想使用自己的接入点 RadSec 证书(而不是 Mist 为每个 AP 生成的唯一接入点证书),请单击添加接入点 RadSec 证书,然后输入 CA 证书的私钥和签名证书颁发机构证书。
  6. 单击“组织设置”页面右上角的“保存”。

也可以看看