混音(Mixig)
#1
你好,
到目前为止,我们已经为几所大学部署了一个Eduroam网络:
- 通过接入点(WLAN EDUROAM),+200访问点
- 通过CNMATRIX开关(以太网端口上的dot1x,有线Eduroam),数十个CNMATRIX交换机,带有dot1x配置的+1000以太网端口
该大学的下一个Eduroam网络项目正在寻找一个略有不同的解决方案。
将使用425H访问点(每个房间一个访问点)以这样的方式使用Eduroam(802.1x auth)必须启用(WLAN上的除外)和该接入点上的以太网端口(换句话说,AP必须必须成为同一eduroam网络一部分的WLAN和以太网端口的身份验证者。
CNPILOT是否可以使用这种情况?据我目前看到,CNPILOT没有这种可能性吗?
1喜欢
Cireddy(Cireddy)
#2
你好,
很高兴听到Edroam部署新闻。即将到来的425h要求,当有线主机连接到AP的以太网端口时,您可以精确列出要求或工作流吗?
如果WLAN上的802.1倍,
- AP为每个客户进行身份验证
- 将为每个客户执行半径策略
- COA得到断开的支持
混音(Mixig)
#3
你好,
每个学生的笔记本电脑 / PC上都有外套,并提供大学提供的设置以及独特的AAI证书(用户名和密码)。
当他将电缆插入该ETH RADIUS AUTHENTICATIIN过程时。
半径是检查凭据,证书(如果需要)。
VLAN是静态的(由Admin敲定),与WLAN相同。
长话短说,我们需要与CNMATRIX开关上相同的功能。
混音(Mixig)
#4
我刚刚看到,也可以为以太网端口(附件)配置半径主机。
将使用与WLAN相同的设置尝试。
混音(Mixig)
#5
你好,
CN Pilot E425H DOENST工作的ETH端口(ETH2和ETH3)上的RADIUS AUTH(ETH1是上行链路,不需要半径配置)。
首先,您不能将RADIUS服务器作为域名放置(cnamestro上没有错误,但命令在AP侧忽略,当您使用SSH执行此操作时,您会收到EN错误),只有IP地址,因此我们这样做了,并且现在在AP上可以看到配置的那一部分。
在AP上的显示事件中,甚至没有消息可以尝试AP将auth消息发送到Radius Server,只有FOW WiFi客户端即可。
E425-879558(config)#显示事件
10月20日11:19:13 Network-5续订接口-IP在以太网链接[ETH1]状态移动到启动状态上,更新接口IP
10月20日11:15:49 Network-5续订接口-IP在以太网链接[ETH1]状态移动到启动状态上,更新接口IP
10月20日11:15:37 Network-5续订接口-IP在以太网链接上更新接口IP [ETH1]状态移动到启动状态和运行状态
10月20日11:13:25 Network-5续订接口-IP在以太网链接[ETH1]状态移动到启动状态上,更新接口IP
10月20日11:13:13 Network-5续订接口-IP在以太网链接上更新接口IP [ETH1]状态移动到启动状态和运行状态
10月20日11:12:11 Network-5续订接口-IP在以太网链接上更新接口IP [ETH1]状态移动到启动状态和运行状态
10月20日11:12:06 Network-5续订接口-IP在以太网链接上更新接口IP [ETH2]状态移动到启动状态和运行状态
10月20日11:11:28 Network-5续订接口-IP在以太网链接上更新接口IP [ETH2]状态移动到启动状态和运行状态
10月20日11:11:23 Network-5续订接口-IP在以太网链接上更新接口IP [ETH2]状态移动到启动状态和运行状态
10月20日11:10:11 Network-5更新interface-ip在以太网链接上更新接口IP [ETH2]状态移动到启动和运行状态
10月20日11:09:55 Network-5续订接口-IP在以太网链接[ETH2]状态移动到启动状态上,更新接口IP
10月20日11:09:53 WIFI-6-CLIENT-AUTH-AUTH-SUCCESS身份验证成功[84-EF-18-B1-4C-4C-48] IP [0.0.0.0.0]用户[anonymous@unizd.hr] ssid [eduroam]这是给予的
10月20日11:09:53 WIFI-6-Client-radius-auth-auth-auth-auth-sut-sut-sut-Success-Success-Success-Success-Success-Success-Success-Suctication Success [84-EF-18-B1-4C-4C-48]在无线LAN上[Eduroam]
10月20日11:09:53 WIFI-6-Connect-Connect-Connect-Connect [84-EF-18-B1-4C-4C-48]连接到无线LAN [EDUROAM]
请建议,100个AP正在等待安装,这是一个表演塞子!!!
P.S.来自AP的配置文件已连接CNPILOT E425H.TXT(4.9 kb)
FW 4.2.1R17
Cnmaestro云
Ashok
#6
嗨,Mixig,
在您的配置中,我可以看到未启用Mac auth,您可以启用Mac auth并确认观察结果。这是启用Mac Auth功能的Case的快照。
混音(Mixig)
#7
你好,
我可以尝试一下,但是为什么要启用该功能?每个学生都有唯一的AAI凭据(username@domain.xyz和密码),并且在Radius Server上检查了该参数,Radius Server上的MAC地址身份验证一无所有。
第二个选项如果我理解正确,将允许所有Mac失败的用户连接到本机VLAN,我不想要。
我想要的是,AP以与CNMATRIX开关相同的方式将凭据发送到半径。
Cireddy(Cireddy)
#8
嗨,Mixig,
CNPILOT APS没有能力在以太端口上进行802.1X身份验证,可以验证用户凭据类似于WLAN / SSID端上的无线用户。
混音(Mixig)
#9
感谢您直接回答问题。
基于该答案,我可以得出结论,CNPILOT模型(在这种情况下为E425 / e430)无法替换(如果我错了,请纠正我),这些设备已有8年历史(WiFi4和100Mbps ETH端口),并且仍然具有通过WLAN和以太网接口(在本例中为用户名 /密码凭据),DOT1X身份验证(RADIUS)的能力,并且CNPILOT AP在此时的真正意义上在技术上不足以用于全球存在的Eduroam网络吗?
这种设置的市场很大:
https://monitor.eduroam.org/map_service_loc.php
Cireddy(Cireddy)
#10
谢谢,如果我的理解是正确的,AP必须对连接到AP的有线端口的笔记本电脑 /台式机进行有线身份验证。
可以帮助我们澄清以下几点,
有线主机(笔记本电脑 /台式机)对外部AAA进行用户名和基于密码的身份验证(可能还使用证书)
有可能将超过1个有线主机连接到AP以太网端口,在这种情况下,AP必须为每个有线主机进行802.1倍身份验证
根据MAC识别的每个主机和根据802.1X身份验证结果确定的数据准备状态确定的状态
当大多数最终用户设备上常见Wi-Fi接口时,为什么我们仍然会看到有线端口使用情况的用例?
