41基于AP的无线终端准入典型配置举例.docx

41基于AP的无线终端准入典型配置举例.docx

《41基于AP的无线终端准入典型配置举例.docx》由会员分享，可在线阅读，更多相关《41基于AP的无线终端准入典型配置举例.docx（23页珍藏版）》请在冰豆网上搜索。

41基于AP的无线终端准入典型配置举例

基于AP的无线终端准入典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1简介

本文档介绍基于AP的无线终端准入，即使无线客户端只能从指定的AP接入无线网络的典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN接入和UserProfile特性。

3配置举例

3.1组网需求

如图1所示，无线网络中AC下关联两台AP，AP和Client通过DHCPserver获取IP地址。

Client1、Client2分别通过AP1、AP2接入到外部网络。

现要求如下：

∙AP1和AP2划分到VLAN100内，Client1和Client2划分到VLAN200内。

∙Client1只能通过AP1访问网络，而Client2只能通过AP2访问网络。

图1基于AP的用户接入控制组网图

3.2配置思路

∙在AC上配置802.1X认证，配置主认证服务器的IP地址指向RADIUSserver，使Client的认证信息能够转发到RADIUSserver上进行认证。

∙建立AP组与802.1X用户组，将AP管理模板officeap1和officeap2分别加入到不同的AP组中，再将802.1X用户组与AP组进行绑定。

这样就可以确保Client只能通过指定的AP访问网络资源。

3.3配置注意事项

配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.4配置步骤

3.4.1AC的配置

（1）配置AC的接口

#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress150.10.1.1255.255.0.0

[AC-Vlan-interface100]quit

#创建VLAN200作为WLAN-ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN，并为该接口配置IP地址。

[AC]vlan300

[AC-vlan300]quit

[AC]interfacevlan-interface300

[AC-Vlan-interface300]ipaddress150.30.1.1255.255.0.0

[AC-Vlan-interface300]quit

#配置AC的GigabitEthernet1/0/1接口的链路类型为Trunk，当前Trunk口的PVID为100，允许VLAN100和VLAN300通过。

[AC]interfacegigabitethernet1/0/1

[AC-GigabitEthernet1/0/1]portlink-typetrunk

[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300

[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100

[AC-GigabitEthernet1/0/1]quit

（2）配置认证策略

#启用端口安全，配置802.1X认证方式为EAP。

[AC]port-securityenable

[AC]dot1xauthentication-methodeap

#创建RADIUS方案office，将RADIUS服务器类型设置为extended。

[AC]radiusschemeoffice

[AC-radius-office]server-typeextended

#配置RADIUS方案的主认证服务器的IP地址为8.1.1.5/8，认证报文的共享密钥设置为明文123456。

[AC-radius-office]primaryauthentication8.1.1.5

[AC-radius-office]keyauthentication123456

#指定发送给RADIUS服务器的用户名不得携带ISP域名。

[AC-radius-office]user-name-formatwithout-domain

[AC-radius-office]quit

（3）配置认证域

#创建名为office的ISP域，并进入其视图。

[AC]domainoffice

#配置802.1X用户使用RADIUS方案office进行认证和授权，不对用户使用的网络服务进行计费。

[AC-isp-office]authenticationdefaultradius-schemeoffice

[AC-isp-office]authorizationdefaultradius-schemeoffice

[AC-isp-office]accountingdefaultnone

[AC-isp-office]quit

#把配置的认证域office设置为系统缺省域。

[AC]domaindefaultenableoffice

（4）配置无线口的端口安全（802.1X认证）

#创建WLANESS接口1。

[AC]interfacewlan-ess1

#配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为200，禁止VLAN1通过并允许VLAN200不带tag通过。

[AC-WLAN-ESS1]porthybridpvidvlan200

[AC-WLAN-ESS1]undoporthybridvlan1

[AC-WLAN-ESS1]porthybridvlan200untagged

#使能MACVLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

#配置WLANESS1的端口安全模式为userlogin-secure-ext。

[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext

#使能11key类型的密钥协商功能。

[AC-WLAN-ESS1]port-securitytx-key-type11key

#关闭在线用户握手和802.1X的组播触发功能。

[AC-WLAN-ESS1]undodot1xhandshake

[AC-WLAN-ESS1]undodot1xmulticast-trigger

[AC-WLAN-ESS1]quit

#配置到RADIUS服务器的静态路由。

[AC]iproute-static8.1.1.5255.0.0.0150.10.1.200

（5）配置无线服务

#创建crypto类型的服务模板1。

[AC]wlanservice-template1crypto

#设置当前服务模板的SSID为service。

[AC-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1]bindWLAN-ESS1

#使能TKIP加密套件。

[AC-wlan-st-1]cipher-suitetkip

#使能CCMP加密套件。

[AC-wlan-st-1]cipher-suiteccmp

#配置信标和探查帧时携带RSNIE。

[AC-wlan-st-1]security-iersn

#启用无线服务。

[AC-wlan-st-1]service-templateenable

[AC-wlan-st-1]quit

（6）配置AP

#创建AP1模板，名称为officeap1，选择AP1的型号为WA2620E-AGN，并配置序列号为21023529G007C000020。

[AC]wlanapofficeap1modelWA2620E-AGN

[AC-wlan-ap-officeap1]serial-id21023529G007C000020

#进入radio2射频视图。

[AC-wlan-ap-officeap1]radio2

#将服务模板绑定到射频接口。

[AC-wlan-ap-officeap1-radio-2]service-template1vlan-id300

[AC-wlan-ap-officeap1-radio-2]radioenable

#创建AP2模板，名称为officeap2，选择AP2的型号为WA2620E-AGN，并配置序列号为21023529G007C000021。

[AC]wlanapofficeap2modelWA2620E-AGN

[AC-wlan-ap-officeap2]serial-id21023529G007C000021

#进入radio2射频视图。

[AC-wlan-ap-officeap2]radio2

#将服务模板绑定到射频接口。

[AC-wlan-ap-officeap2-radio-2]service-template1vlan-id300

[AC-wlan-ap-officeap2-radio-2]radioenable

[AC-wlan-ap-officeap2-radio-2]quit

[AC-wlan-ap-officeap2]quit

（7）配置UserProfile和AP组

#配置AP组，在AP组内添加允许接入的AP列表。

[AC]wlanap-group1

[AC-ap-group1]apofficeap1

[AC-ap-group1]quit

[AC]wlanap-group2

[AC-ap-group2]apofficeap2

[AC-ap-group2]quit

#配置基于802.1X用户的user-profile，添加允许接入的AP组，并使能UserProfile功能。

[AC]user-profilegroup1

[AC-user-profile-group1]wlanpermit-ap-group1

[AC-user-profile-group1]quit

[AC]user-profilegroup1enable

[AC]user-profilegroup2

[AC-user-profile-group2]wlanpermit-ap-group2

[AC-user-profile-group2]quit

[AC]user-profilegroup2enable

3.4.2Switch的配置

#创建VLAN100和VLAN300，其中VLAN100用于转发AC和AP间LWAPP隧道内的流量，VLAN300为无线客户端接入的VLAN。

system-view

[Switch]vlan100

[Switch-vlan100]quit

[Switch]vlan300

[Switch-vlan300]quit

#配置Switch和AC相连的GigabitEthernet1/0/1接口链路类型为Trunk，当前Trunk口的PVID为100，允许VLAN100通过。

[Switch]interfacegigabitethernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100

[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100

[Switch-GigabitEthernet1/0/1]quit

#配置Switch与AP1相连的GigabitEthernet1/0/2接口属性为Access，当前Access口允许VLAN100通过，并使能PoE功能。

[Switch]interfacegigabitethernet1/0/2

[Switch-GigabitEthernet1/0/2]portlink-typeaccess

[Switch-GigabitEthernet1/0/2]portaccessvlan100

[Switch-GigabitEthernet1/0/2]poeenable

[Switch-GigabitEthernet1/0/2]quit

#配置Switch与AP2相连的GigabitEthernet1/0/3接口属性为Access，当前Access口允许VLAN100通过，并使能PoE功能。

[Switch]interfacegigabitethernet1/0/3

[Switch-GigabitEthernet1/0/3]portlink-typeaccess

[Switch-GigabitEthernet1/0/3]portaccessvlan100

[Switch-GigabitEthernet1/0/3]poeenable

[Switch-GigabitEthernet1/0/3]quit

#配置Switch与RADIUSserver相连的GigabitEthernet1/0/4接口属性为Access，当前Access口允许VLAN100通过。

[Switch]interfacegigabitethernet1/0/4

[Switch-GigabitEthernet1/0/4]portlink-typeaccess

[Switch-GigabitEthernet1/0/4]portaccessvlan100

[Switch-GigabitEthernet1/0/4]quit

#配置Switch与DHCPserver相连的GigabitEthernet1/0/5接口属性为Access，当前Access口允许VLAN100通过。

[Switch]interfacegigabitethernet1/0/5

[Switch-GigabitEthernet1/0/5]portlink-typeaccess

[Switch-GigabitEthernet1/0/5]portaccessvlan100

[Switch-GigabitEthernet1/0/5]quit

3.4.3RADIUS服务器的配置

下面以iMC为例（使用iMC版本为：

iMCPLAT7.0（E0202）、iMCUAM7.0（E0202）），说明RADIUS服务器的基本配置。

#增加接入设备。

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入“接入设备配置”页面，在该页面中单击<增加>按钮，进入“增加接入设备”页面。

∙设置与AC交互报文时使用的认证、计费共享密钥为“123456”；

∙设置认证及计费的端口号分别为“1812”和“1813”；

∙选择业务类型为“LAN接入业务”；

∙选择接入设备类型为“H3C”；

∙选择或手工增加接入设备，添加IP地址为150.10.1.1的接入设备；

∙其它参数采用缺省值，并单击<确定>按钮完成操作。

图1增加接入设备

#增加接入策略。

选择“用户”页签，单击导航树中的[用户/接入策略管理/接入策略管理]菜单项，进入接入策略管理页面，在该页面中单击<增加>按钮，进入“增加接入策略”页面。

∙输入服务名“dot1xauth”；

∙认证证书类型“EAP-PEAP”

∙认证证书子类型“MS-CHAPV2认证”

∙下发UserProfile“group1”

∙其它参数采用缺省值，并单击<确定>按钮完成操作。

图2增加接入策略

#增加接入服务。

选择“用户”页签，单击导航树中的[用户/接入策略管理/接入服务管理]菜单项，进入服务列表页面，在该页面中单击<增加>按钮，进入“增加接入服务”页面。

∙输入服务名“dot1xauth”；

∙缺省接入策略“dot1xauth”

∙其它参数采用缺省值，并单击<确定>按钮完成操作。

图3增加接入服务

#增加接入用户。

选择“用户”页签，单击导航树中的[接入用户管理/接入用户]菜单项，进入接入用户列表页面，在该页面中单击<增加>按钮，进入“增加用户”页面。

增加两个接入用户，账号名分别是office1_client、office2_client，其余配置均相同。

下面以增加用户office1_client为例。

∙在增加接入用户页面，单击<增加用户>按钮弹出增加用户窗口；

∙输入用户姓名“office”；

∙输入证件号码“12345”；

∙单击“检查是否可用”按钮；

∙如用户姓名和证件号码可用，单击<确定>按钮完成操作。

图4增加用户

∙输入账号名“office1_client”；

∙输入密码“admin”；

∙在接入服务处选择“dot1xauth”；

∙其他配置保持默认；

∙单击<确定>按钮完成操作。

图5增加接入用户

3.5验证配置

（1）Client通过认证后，可以成功关联AP，可以通过displayconnection命令查看用户连接的相关信息。

displayconnection

Index=276,Username=office1_client@office

MAC=00-24-01-30-69-1A

IP=N/A

IPv6=N/A

Index=277,Username=office2_client@office

MAC=00-1E-E5-9D-D6-D7

IP=N/A

IPv6=N/A

Total2connection（s）matched.

（2）根据上面信息显示的索引号，可以通过displayconnectionucibindex命令查看用户连接的详细信息。

displayconnectionucibindex276

Index=276,Username=office1_client@office

MAC=00-24-01-30-69-1A

IP=N/A

IPv6=N/A

Access=8021X,AuthMethod=EAP

PortType=Wireless-802.11,PortName=WLAN-DBSS1:

3

InitialVLAN=1,AuthorizationVLAN=300

ACLGroup=Disable

UserProfile=group1

CAR=Disable

Priority=Disable

AccountingUsername=office1_client

Start=2014-01-0916:

59:

36,Current=2014-01-0917:

01:

30,Online=00h01m53s

Total1connectionmatched.

displayconnectionucibindex277

Index=277,Username=office2_client@office

MAC=00-1E-E5-9D-D6-D7

IP=N/A

IPv6=N/A

Access=8021X,AuthMethod=EAP

PortType=Wireless-802.11,PortName=WLAN-DBSS1:

2

InitialVLAN=1,AuthorizationVLAN=300

ACLGroup=Disable

UserProfile=group2

CAR=Disable

Priority=Disable

AccountingUsername=office2_client

Start=2014-01-0916:

59:

50,Current=2014-01-0917:

01:

38,Online=00h01m49s

Total1connectionmatched.

（3）通过displaywlanclientverbose命令查看所有无线客户端的详细信息，可以看到用户office1_client用户只能通过名为officeap1的AP1接入无线网络，用户office2_client只能通过名为officeap2的AP2接入无线网络。

displaywlanclientverbose

TotalNumberofClients:

2

ClientInformation

-------------------------------------------------------------------------------

MACAddress:

001e-e59d-d6d7

UserName:

office2_client

AID:

1

APName:

officeap2

RadioId:

2

SSID:

service

BSSID:

80f6-2e02-2d30

Port:

WLAN-DBSS1:

2

VLAN:

300

State:

Running

PowerSaveMode:

Active

WirelessMode:

11gn

ChannelBand-width:

20MHz

SMPowerSaveEnable:

Disabled

ShortGIfor20MHz:

NotSupported

ShortGIfor40MHz:

NotSupported

SupportMCSSet:

0,1,2,3,4,5,6,7,8,9,

10,11,12,13,14,15

BLOCKACK-TID0:

IN

BLOCKACK-TID7:

OUT

QoSMode:

WMM

ListenInterval（BeaconIn