网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 认证配置 WAPI(企业)认证配置指导
{{sendMatomoQuery("网络控制器NAC","WAPI(企业)认证配置指导")}}

WAPI(企业)认证配置指导

更新时间:2024-07-02

1功能简介

1.1应用场景

WAPI是中国无线局域网强制性标准中的安全机制。与WIFI的单向加密认证不同,WAPI 双向 均认证,从而保证传输的安全性。WAPI安全系统采用公钥密码技术,鉴权服务器 AS 负责证书的颁发、验证与吊销等,无线客户端与无线接入点AP上都安装有 AS颁发的公钥证书,作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据 验证的结果,持有合法证书的移动终端才能接入持有合法证书的无线接入点AP

WAPI无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。从而满足更多用户和更复杂的安全性要求。

1.2适用版本

NAC3.13

1.3配置思路

1、配置AS服务器

2、控制器导入补丁包

3、控制器添加证书

4、控制器上添加AS服务器

5、配置无线网络

6、终端配置WIPI认证

2注意事项

2.1业务影响范围

配置WIPI功能不会影响其它功能。

2.2配置注意事项

1WAPI认证服务器中如果IP地址进行变更,苹果手机以及安卓手机的app 需要由 WAPI认证服务器厂商做相应的调整。

2、目前有个别手机终端不支持WAPI认证,需要与WAPI认证服务器厂商确认。

3、认证之前用户终端是需要事先安装证书,并提交个人用户信息供网络管理员审核。如果证书安装失败或是网络管理员不进行审核,都是无法正常通过认证的。

4、前期认证需要配置两个SSID,后期等单位所有员工认证上去之后,可以把其中用于辅助WAPI认证的SSID关闭掉 。

5、用户连接上WiFi,必须要保证用户认证前能够成功的与WAPI服务器进行数据交互,即认证前的流量可达WAPI服务器。

6、“业务管理”-AP凭证申请”处导出的证书对应导入到我司控制器的 AE证书中,“初始化设置”中的根证书对应了我司控制器上面的AS证书。

3配置步骤

3.1AS服务器配置

1、修改AS服务器的网络管理地址,如下:

2、创建分组,如下:

3、添加AP设备,如下:

4、申请AP凭证并下载,如下:

5、将AP凭证放到相应分组,如下:

6、在初始化设置中下载根证书,如下:

7、重启AS服务器以生效配置。

8、添加STA设备(注意认证时,使用设备MAC,不要使用随机MAC,如果访问AS服务器下载证书,则需要填写MAC地址,若使用APP下载,则不需要填写,建议使用网页下载)截图如下:

9、申请STA凭证,如下:

10、审核STA凭证并下载,如下:

11、将STA凭证放入相应分组,如下:

3.2控制器配置

3.2.1 NAC3.13.0版本控制器导入补丁包

1、【系统管理】—【系统更新】—【控制器升级】-补丁包升级,上传相应补丁包,该补丁级包升级不需要重启控制,截图如下:

图形用户界面, 应用程序, Teams

描述已自动生成

2、 点击开始升级,等待设备升级完成,出现“升级完成”提示,即完成补丁包升级.

3.2.2 证书导入

1、导入AS证书,【认证配置】—【证书管理】—【新增】-WAPI-AS证书,点击选择添加AS证书,上传AS证书并点击提交:

图形用户界面, 应用程序, Teams

描述已自动生成

2、导入AE证书,【认证配置】—【证书管理】—【新增】-WAPI-AE证书,点击选择添加AE证书,上传AE证书并点击提交:

3.2.3添加AS服务器

1、【认证配置】—【认证授权】—【外部服务器】,新建一个AS服务器。

图形用户界面, 文本, 应用程序

描述已自动生成

2、填写AS服务器相关信息,IP地址为AS服务器地址,端口默认3810,如下:

图形用户界面, 应用程序

描述已自动生成

3.2.4创建无线网络

1、基本配置,【接入点管理】—【无线网络】—新增高级无线网络,点击基本配置,填入SSID名称以及选择对应的AP接入点,其他选项如无特殊要求,保持默认即可,如下:

图形用户界面, 应用程序

描述已自动生成

2、认证类型,点击认证类型,选择WAPI(企业),如下:

图形用户界面, 应用程序

描述已自动生成

3、账号认证,选择对应的AS\AE证书以及创建的AS服务器,截图如下:

图形用户界面, 应用程序, 电子邮件

描述已自动生成

4、VLAN设置以及权限设置等其他设置,按业务需求自行更改即可。

图形用户界面, 文本, 应用程序, 电子邮件

描述已自动生成

3.3终端配置

1、将下载的终端证书以及根证书下载到手机存储的根目录下。

2、在终端WLAN-更多WLAN设置-安装证书 选择对应的证书进行安装即可。

图形用户界面, 文本, 应用程序, 聊天或短信

描述已自动生成

4效果演示

用户认证成功后可以在AS服务上和控制器上在线用户中查看用户信息

5常见问题

补丁包的需要找当地办事处技服或通过400电话申请获取,申请时请提前准备好项目姓名、控制器SN/网关ID等信息。