41基于AP的无线终端准入典型配置举例.docx
《41基于AP的无线终端准入典型配置举例.docx》由会员分享,可在线阅读,更多相关《41基于AP的无线终端准入典型配置举例.docx(23页珍藏版)》请在冰豆网上搜索。
![41基于AP的无线终端准入典型配置举例.docx](https://file1.bdocx.com/fileroot1/2023-2/21/7b95b83a-48c5-4cc1-aa0c-6cfead2ca27f/7b95b83a-48c5-4cc1-aa0c-6cfead2ca27f1.gif)
41基于AP的无线终端准入典型配置举例
基于AP的无线终端准入典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
1简介
本文档介绍基于AP的无线终端准入,即使无线客户端只能从指定的AP接入无线网络的典型配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WLAN接入和UserProfile特性。
3配置举例
3.1组网需求
如图1所示,无线网络中AC下关联两台AP,AP和Client通过DHCPserver获取IP地址。
Client1、Client2分别通过AP1、AP2接入到外部网络。
现要求如下:
∙AP1和AP2划分到VLAN100内,Client1和Client2划分到VLAN200内。
∙Client1只能通过AP1访问网络,而Client2只能通过AP2访问网络。
图1基于AP的用户接入控制组网图
3.2配置思路
∙在AC上配置802.1X认证,配置主认证服务器的IP地址指向RADIUSserver,使Client的认证信息能够转发到RADIUSserver上进行认证。
∙建立AP组与802.1X用户组,将AP管理模板officeap1和officeap2分别加入到不同的AP组中,再将802.1X用户组与AP组进行绑定。
这样就可以确保Client只能通过指定的AP访问网络资源。
3.3配置注意事项
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.4配置步骤
3.4.1AC的配置
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
system-view
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress150.10.1.1255.255.0.0
[AC-Vlan-interface100]quit
#创建VLAN200作为WLAN-ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN,并为该接口配置IP地址。
[AC]vlan300
[AC-vlan300]quit
[AC]interfacevlan-interface300
[AC-Vlan-interface300]ipaddress150.30.1.1255.255.0.0
[AC-Vlan-interface300]quit
#配置AC的GigabitEthernet1/0/1接口的链路类型为Trunk,当前Trunk口的PVID为100,允许VLAN100和VLAN300通过。
[AC]interfacegigabitethernet1/0/1
[AC-GigabitEthernet1/0/1]portlink-typetrunk
[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300
[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100
[AC-GigabitEthernet1/0/1]quit
(2)配置认证策略
#启用端口安全,配置802.1X认证方式为EAP。
[AC]port-securityenable
[AC]dot1xauthentication-methodeap
#创建RADIUS方案office,将RADIUS服务器类型设置为extended。
[AC]radiusschemeoffice
[AC-radius-office]server-typeextended
#配置RADIUS方案的主认证服务器的IP地址为8.1.1.5/8,认证报文的共享密钥设置为明文123456。
[AC-radius-office]primaryauthentication8.1.1.5
[AC-radius-office]keyauthentication123456
#指定发送给RADIUS服务器的用户名不得携带ISP域名。
[AC-radius-office]user-name-formatwithout-domain
[AC-radius-office]quit
(3)配置认证域
#创建名为office的ISP域,并进入其视图。
[AC]domainoffice
#配置802.1X用户使用RADIUS方案office进行认证和授权,不对用户使用的网络服务进行计费。
[AC-isp-office]authenticationdefaultradius-schemeoffice
[AC-isp-office]authorizationdefaultradius-schemeoffice
[AC-isp-office]accountingdefaultnone
[AC-isp-office]quit
#把配置的认证域office设置为系统缺省域。
[AC]domaindefaultenableoffice
(4)配置无线口的端口安全(802.1X认证)
#创建WLANESS接口1。
[AC]interfacewlan-ess1
#配置端口的链路类型为Hybrid。
[AC-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带tag通过。
[AC-WLAN-ESS1]porthybridpvidvlan200
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS1]porthybridvlan200untagged
#使能MACVLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
#配置WLANESS1的端口安全模式为userlogin-secure-ext。
[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext
#使能11key类型的密钥协商功能。
[AC-WLAN-ESS1]port-securitytx-key-type11key
#关闭在线用户握手和802.1X的组播触发功能。
[AC-WLAN-ESS1]undodot1xhandshake
[AC-WLAN-ESS1]undodot1xmulticast-trigger
[AC-WLAN-ESS1]quit
#配置到RADIUS服务器的静态路由。
[AC]iproute-static8.1.1.5255.0.0.0150.10.1.200
(5)配置无线服务
#创建crypto类型的服务模板1。
[AC]wlanservice-template1crypto
#设置当前服务模板的SSID为service。
[AC-wlan-st-1]ssidservice
#将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1]bindWLAN-ESS1
#使能TKIP加密套件。
[AC-wlan-st-1]cipher-suitetkip
#使能CCMP加密套件。
[AC-wlan-st-1]cipher-suiteccmp
#配置信标和探查帧时携带RSNIE。
[AC-wlan-st-1]security-iersn
#启用无线服务。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(6)配置AP
#创建AP1模板,名称为officeap1,选择AP1的型号为WA2620E-AGN,并配置序列号为21023529G007C000020。
[AC]wlanapofficeap1modelWA2620E-AGN
[AC-wlan-ap-officeap1]serial-id21023529G007C000020
#进入radio2射频视图。
[AC-wlan-ap-officeap1]radio2
#将服务模板绑定到射频接口。
[AC-wlan-ap-officeap1-radio-2]service-template1vlan-id300
[AC-wlan-ap-officeap1-radio-2]radioenable
#创建AP2模板,名称为officeap2,选择AP2的型号为WA2620E-AGN,并配置序列号为21023529G007C000021。
[AC]wlanapofficeap2modelWA2620E-AGN
[AC-wlan-ap-officeap2]serial-id21023529G007C000021
#进入radio2射频视图。
[AC-wlan-ap-officeap2]radio2
#将服务模板绑定到射频接口。
[AC-wlan-ap-officeap2-radio-2]service-template1vlan-id300
[AC-wlan-ap-officeap2-radio-2]radioenable
[AC-wlan-ap-officeap2-radio-2]quit
[AC-wlan-ap-officeap2]quit
(7)配置UserProfile和AP组
#配置AP组,在AP组内添加允许接入的AP列表。
[AC]wlanap-group1
[AC-ap-group1]apofficeap1
[AC-ap-group1]quit
[AC]wlanap-group2
[AC-ap-group2]apofficeap2
[AC-ap-group2]quit
#配置基于802.1X用户的user-profile,添加允许接入的AP组,并使能UserProfile功能。
[AC]user-profilegroup1
[AC-user-profile-group1]wlanpermit-ap-group1
[AC-user-profile-group1]quit
[AC]user-profilegroup1enable
[AC]user-profilegroup2
[AC-user-profile-group2]wlanpermit-ap-group2
[AC-user-profile-group2]quit
[AC]user-profilegroup2enable
3.4.2Switch的配置
#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线客户端接入的VLAN。
system-view
[Switch]vlan100
[Switch-vlan100]quit
[Switch]vlan300
[Switch-vlan300]quit
#配置Switch和AC相连的GigabitEthernet1/0/1接口链路类型为Trunk,当前Trunk口的PVID为100,允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100
[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/1]quit
#配置Switch与AP1相连的GigabitEthernet1/0/2接口属性为Access,当前Access口允许VLAN100通过,并使能PoE功能。
[Switch]interfacegigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2]portlink-typeaccess
[Switch-GigabitEthernet1/0/2]portaccessvlan100
[Switch-GigabitEthernet1/0/2]poeenable
[Switch-GigabitEthernet1/0/2]quit
#配置Switch与AP2相连的GigabitEthernet1/0/3接口属性为Access,当前Access口允许VLAN100通过,并使能PoE功能。
[Switch]interfacegigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3]portlink-typeaccess
[Switch-GigabitEthernet1/0/3]portaccessvlan100
[Switch-GigabitEthernet1/0/3]poeenable
[Switch-GigabitEthernet1/0/3]quit
#配置Switch与RADIUSserver相连的GigabitEthernet1/0/4接口属性为Access,当前Access口允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/4
[Switch-GigabitEthernet1/0/4]portlink-typeaccess
[Switch-GigabitEthernet1/0/4]portaccessvlan100
[Switch-GigabitEthernet1/0/4]quit
#配置Switch与DHCPserver相连的GigabitEthernet1/0/5接口属性为Access,当前Access口允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/5
[Switch-GigabitEthernet1/0/5]portlink-typeaccess
[Switch-GigabitEthernet1/0/5]portaccessvlan100
[Switch-GigabitEthernet1/0/5]quit
3.4.3RADIUS服务器的配置
下面以iMC为例(使用iMC版本为:
iMCPLAT7.0(E0202)、iMCUAM7.0(E0202)),说明RADIUS服务器的基本配置。
#增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入“接入设备配置”页面,在该页面中单击<增加>按钮,进入“增加接入设备”页面。
∙设置与AC交互报文时使用的认证、计费共享密钥为“123456”;
∙设置认证及计费的端口号分别为“1812”和“1813”;
∙选择业务类型为“LAN接入业务”;
∙选择接入设备类型为“H3C”;
∙选择或手工增加接入设备,添加IP地址为150.10.1.1的接入设备;
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图1增加接入设备
#增加接入策略。
选择“用户”页签,单击导航树中的[用户/接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入“增加接入策略”页面。
∙输入服务名“dot1xauth”;
∙认证证书类型“EAP-PEAP”
∙认证证书子类型“MS-CHAPV2认证”
∙下发UserProfile“group1”
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图2增加接入策略
#增加接入服务。
选择“用户”页签,单击导航树中的[用户/接入策略管理/接入服务管理]菜单项,进入服务列表页面,在该页面中单击<增加>按钮,进入“增加接入服务”页面。
∙输入服务名“dot1xauth”;
∙缺省接入策略“dot1xauth”
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图3增加接入服务
#增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户列表页面,在该页面中单击<增加>按钮,进入“增加用户”页面。
增加两个接入用户,账号名分别是office1_client、office2_client,其余配置均相同。
下面以增加用户office1_client为例。
∙在增加接入用户页面,单击<增加用户>按钮弹出增加用户窗口;
∙输入用户姓名“office”;
∙输入证件号码“12345”;
∙单击“检查是否可用”按钮;
∙如用户姓名和证件号码可用,单击<确定>按钮完成操作。
图4增加用户
∙输入账号名“office1_client”;
∙输入密码“admin”;
∙在接入服务处选择“dot1xauth”;
∙其他配置保持默认;
∙单击<确定>按钮完成操作。
图5增加接入用户
3.5验证配置
(1)Client通过认证后,可以成功关联AP,可以通过displayconnection命令查看用户连接的相关信息。
displayconnection
Index=276,Username=office1_client@office
MAC=00-24-01-30-69-1A
IP=N/A
IPv6=N/A
Index=277,Username=office2_client@office
MAC=00-1E-E5-9D-D6-D7
IP=N/A
IPv6=N/A
Total2connection(s)matched.
(2)根据上面信息显示的索引号,可以通过displayconnectionucibindex命令查看用户连接的详细信息。
displayconnectionucibindex276
Index=276,Username=office1_client@office
MAC=00-24-01-30-69-1A
IP=N/A
IPv6=N/A
Access=8021X,AuthMethod=EAP
PortType=Wireless-802.11,PortName=WLAN-DBSS1:
3
InitialVLAN=1,AuthorizationVLAN=300
ACLGroup=Disable
UserProfile=group1
CAR=Disable
Priority=Disable
AccountingUsername=office1_client
Start=2014-01-0916:
59:
36,Current=2014-01-0917:
01:
30,Online=00h01m53s
Total1connectionmatched.
displayconnectionucibindex277
Index=277,Username=office2_client@office
MAC=00-1E-E5-9D-D6-D7
IP=N/A
IPv6=N/A
Access=8021X,AuthMethod=EAP
PortType=Wireless-802.11,PortName=WLAN-DBSS1:
2
InitialVLAN=1,AuthorizationVLAN=300
ACLGroup=Disable
UserProfile=group2
CAR=Disable
Priority=Disable
AccountingUsername=office2_client
Start=2014-01-0916:
59:
50,Current=2014-01-0917:
01:
38,Online=00h01m49s
Total1connectionmatched.
(3)通过displaywlanclientverbose命令查看所有无线客户端的详细信息,可以看到用户office1_client用户只能通过名为officeap1的AP1接入无线网络,用户office2_client只能通过名为officeap2的AP2接入无线网络。
displaywlanclientverbose
TotalNumberofClients:
2
ClientInformation
-------------------------------------------------------------------------------
MACAddress:
001e-e59d-d6d7
UserName:
office2_client
AID:
1
APName:
officeap2
RadioId:
2
SSID:
service
BSSID:
80f6-2e02-2d30
Port:
WLAN-DBSS1:
2
VLAN:
300
State:
Running
PowerSaveMode:
Active
WirelessMode:
11gn
ChannelBand-width:
20MHz
SMPowerSaveEnable:
Disabled
ShortGIfor20MHz:
NotSupported
ShortGIfor40MHz:
NotSupported
SupportMCSSet:
0,1,2,3,4,5,6,7,8,9,
10,11,12,13,14,15
BLOCKACK-TID0:
IN
BLOCKACK-TID7:
OUT
QoSMode:
WMM
ListenInterval(BeaconIn