网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 认证配置 双向证书认证配置指导手册_NAC_V3.13.0.docx配置指导
{{sendMatomoQuery("网络控制器NAC","双向证书认证配置指导手册_NAC_V3.13.0.docx配置指导")}}

双向证书认证配置指导手册_NAC_V3.13.0.docx配置指导

更新时间:2024-07-02

1功能简介

1.1应用场景

EAP-TLS 协议使用双向证书认证,要求服务器及客户端都使用证书,向对方证明身份,并使用非对称加密方式,在无线客户端及认证服务器间安全地协商数据加密密钥,保证无线数据传输的机密性及完整性。

由于使用了基于证书的身份验证方法,避免了基于密码认证方法所存在的由于密码泄漏,密码强度低等原因导致的密码被猜测或暴力破解的风险。因此 EAP-TLS 提供了目前无线认证中,最安全的认证方法。缺点是所有客户端都需要安装个人证书,部署比较复杂。

1.2适用版本

NAC_3.13.0

1.3配置思路

1、初始化控制器CA证书

2、配置无线网络

3、配置无线网络自动配置

4、新增本地用户

2注意事项

2.1业务影响范围

新增无线网络不会影响现有业务

2.2配置注意事项

3配置步骤

3.1初始化CA证书

1、点击【认证配置】-【证书管理】-【证书管理】,内置CA操作初始化,其中【颁发给】是必填字段,其他内容选填

2、在当前页面点击【新增】-【服务器证书】-【由内置CA颁发证书】,同样【颁发给】是必填字段,其他内容选填

3.2配置无线网络

1、点击【接入点管理】-【无线网络】-【无线网络】新增高级无线网络并设置SSID、接入点和转发方式

2、配置【认证类型】为WPA/WPA2(企业)

3、配置【账号认证】,终端认证选择证书认证EAP-TLS,选择刚新增的服务器证书

4、配置【VLAN设置】

5、配置【权限设定】为默认角色

6、提交即可完成配置

3.3配置无线网络自动配置功能

手动去配置企业级的认证是比较繁琐的,不仅新建wifi连接还需要导入服务器证书,所以建议是使用我们的无线网络自动配置工具。需要注意的是自动配置工具支持的是windows设备,macOS设备想要实现802.1xEAP-TLS认证还需要自己编写配置描述文件。据苹果技术支持介绍,有Apple Remote Desktop 可能可以生成这种配置描述文件,且该软件需要收费。所以环境中如果有macOS系统的设备,推荐不要使用证书认证方式。使用新建下发自动配置工具的无线网络。

1、点击【无线网络自动配置】,启用无线网络配置设置自动配置的无线网络SSID

2、点击下方新增,配置需要自动下发配置的无线网络,按照下方内容配置完成

3.4新增本地用户

点击【认证配置】-【用户管理】-【本地用户】新增测试账号

4效果演示

4.1电脑WIN10连接示例

1、需要先连接配置工具的无线网络,点击下载用户证书,使用控制器本地创建的用户进行配置工具下载

2、运行配置工具,点击详情查看配置内容,点击开始配置完成配置,提示配置成功即可。

3、配置完成之后可以自动连接该SSID

4.2苹果手机连接示例

1、先连接配置工具的无线网络

2、输入在本地用户创建的用户名和密码,下载完成证书后前往手机安装证书,即可连接网络。

4.3系统在线情况