Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 WLAN 上启用 WPA2/WPA3 Enterprise (802.1X) 安全性

在 WLAN 上启用 WPA2/WPA3 Enterprise,以便使用 RADIUS 服务器进行高级身份验证。

这些主题将指导您完成启用 802.1x 安全性和添加 RADIUS 服务器的基本步骤,并提供有关各种选项的其他信息。

设置 WLAN 安全类型并添加 RADIUS 服务器

Juniper Mist支持 WPA2 和 WPA3 的 IEEE 802.1X 安全性。

注意:

WPA3 或 OWE 在 6 GHz 中是必需的。采用 6 GHz 也意味着采用 WPA3。

要设置 WLAN 安全类型并添加 RADIUS 服务器,请执行以下作:

  1. 导航至 WLAN。

    • 如果 WLAN 在 WLAN 模板中,请选择无线 >组织 |WLAN 模板,单击该模板,然后单击该 WLAN。

    • 对于站点级 WLAN,请选择 站点 > 无线> WLAN,然后单击该 WLAN。

  2. 在“编辑 WLAN”窗口的“安全性”部分中:
    1. 单击 WPA3WPA2
    2. 单击“企业 (802.1X)”

    仅当在“安全性”部分中选择“WPA2/WPA3”和“企业 (802.1X)”时,RADIUS 身份验证才可用。

    Security Type Section of the Edit/Create WLAN Page
  3. “身份验证服务器”部分中,添加服务器。
    1. 选择“RADIUS”作为服务器类型。
    2. 单击添加服务器
      Add Server Button
    3. 输入主机名共享密钥
      注意:

      您可以使用站点变量来代替输入主机名。请参阅 (可选)使用站点变量添加服务器
    4. 单击复选标记按钮。
      Hostname, Shared Secret, and Checkmark Button
  4. (可选)如果需要,为 WLAN 配置其他选项(如本文档其余部分所述)。
  5. 保存 WLAN 配置,并保存模板更改(如果 WLAN 是 WLAN 模板的一部分)。

(选答)使用站点变量添加服务器

通过使用站点变量来识别 RADIUS 服务器,即使某些属性不同,您也可以轻松地将相同的 WLAN 配置应用于不同站点的接入点。在此场景中,假设站点 A 和站点 B 使用不同的 RADIUS 服务器。您将使用变量在 WLAN 配置中添加 RADIUS 服务器。然后,您将在两个站点配置中以不同的方式定义变量。

要使用站点变量添加服务器,请执行以下作:

  1. 在第一个站点的站点配置中定义站点变量:
    1. 从Juniper Mist门户的左侧菜单中选择“组织”>“站点配置”。
    2. 单击要配置的站点,例如站点 A。
    3. “站点变量”部分中,单击“添加变量”。
    4. 输入 RADIUS 服务器 IP 地址的变量名称和值,然后单击“保存”。

      如下所示,为“变量”输入{{RADIUS_IP}}。输入“值”的实际 IP 地址。

      Entering the Variable Name and Value
    5. 为共享密钥添加一个变量(如 {{RADIUS_Secret}}),然后输入此服务器的实际共享密钥作为

      添加这两个变量后,它们将显示在“站点配置”页的 “站点变量 ”部分。

      Example: Site Variables List on the Site Configuration Page
  2. 将相同的变量添加到下一个站点(站点 B),并为该站点的 RADIUS 服务器输入正确的值。
    例如,在站点 B 的站点配置中,添加相同的 {{RADIUS_Server}} 变量。在 字段中,输入站点 B 的 RADIUS 服务器的实际 IP 地址。同时添加相同的 {{RADIUS_Secret}} 变量,并为 输入正确的共享密钥。
  3. 单击“站点配置”页面右上角的“保存”。
  4. 设置“WLAN 安全类型”和“添加 RADIUS 服务器”,然后输入服务器详细信息的变量。

    例如,在添加 RADIUS 服务器或 CoA/DM 服务器时使用变量。

    在此示例中,主机名为 {{RADIUS_IP}},共享密钥为 {{RADIUS_Secret}}。

    Example: Variables in the Hostname and Shared Secret Fields
  5. 保存 WLAN 设置。

(选答)添加 NAS 标识符和 NAS IP 地址

在 WLAN 上启用 802.1X 安全性时,可以添加 NAS 标识符NAS IP 地址 来自定义传递到 RADIUS 服务器的信息。

例如,您可以输入站点 ID(在站点级 WLAN 中)或站点名称变量(在 WLAN 模板中)作为 NAS 标识符。使用此方法,您可以将所有活动与网站相关联,以简化审核/计费流程,或为不同的网站创建不同的 RADIUS 规则。另一个示例是输入单词 Mist 作为 NAS 标识符。这样,您可以为来自Mist的流量创建不同的 RADIUS 规则或访客门户体验。

如果将 NAS 标识符字段留空,则 WLAN ID 将用作 NAS ID。

您可以输入纯文本和变量。以下变量在此字段中有效:

  • 设备名称 - {{DEVICE_NAME}}

  • 型号—{{DEVICE_MODEL}}

  • MAC 地址 — {{DEVICE_MAC}}

  • 站点名称 - {{SITE_NAME}}

此示例说明如何在 ID 中同时使用文本和变量。

Example: Using Variables in the NAS Identifier Field

如下所示,当该 WLAN 上的 AP 发送 Access-Request 时,变量将进行转换以标识 AP。

Example: Access-Request Contents Including NAS-ID

或者,指定 NAS IP 地址。通常,Mist会通过接入点的实际 IP 地址。但是,您可能希望指定要用于所有活动的 IP 地址,以便在 RADIUS 策略中引用该地址。

您可以在编辑/创建 WLAN 窗口中添加 NAS 标识符或 NAS IP 地址。

(选答)添加 CoA/DM 服务器

在 WLAN 上启用 802.1X 安全性时,您还可以添加 CoA/DM 服务器。

授权变更 (CoA) 允许您在初始身份验证后修改授权的 RADIUS 会话,以满足不断变化的访问要求。例如,启用用户启动的会话重置等用例。

注意:

有关详细信息,请参阅授权变更 (CoA)。

(选答)启用 RadSec

RadSec 是一种协议,允许 RADIUS 服务器通过 TCP 和 TLS 传输数据以提高安全性。借助 RadSec 功能,您可以通过公共网络传输 RADIUS 数据包,同时仍然确保传输层的端到端安全性。
要启用 RadSec 并安装证书,请执行以下作:
  1. 设置 WLAN 安全类型并添加 RADIUS 服务器后,添加 RadSec 服务器:
    1. “身份验证服务器”部分中,从下拉列表中选择“RadSec”。
    2. 输入服务器名称
    3. 单击 Add Server,然后输入主机名
      RadSec Settings
    4. 单击复选标记按钮以添加服务器。
    5. 保存 WLAN 配置,并保存模板更改(如果 WLAN 是 WLAN 模板的一部分)。
  2. 从组织设置中获取Mist证书:
    1. 从Juniper Mist门户的左侧菜单中选择“组织>设置”。
    2. 在“Mist证书”下,单击“查看证书”。复制证书。您将需要它进行下一步。
  3. 转到 RadSec 服务器并完成以下任务:
    1. 加载复制的Mist证书。
    2. 从 RadSec 服务器复制 RadSec 证书。您将需要它进行下一步。
  4. 返回到门户Juniper Mist“组织设置”页面并添加 RadSec 证书:
    1. 在“RadSec 证书”下,单击“添加 RadSec 证书”。
    2. 粘贴 RadSec 服务器中的证书内容。
    3. 单击“添加”
  5. (可选)如果要使用自己的 AP RadSec 证书(而不是Mist为每个 AP 生成的唯一证书),请单击“添加 AP RadSec 证书”,然后输入 CA 证书的私钥和签名证书。
  6. 单击“组织设置”页面右上角的“保存”。

另见