048021X与LDAP组合认证典型配置举例Word格式文档下载.docx
《048021X与LDAP组合认证典型配置举例Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《048021X与LDAP组合认证典型配置举例Word格式文档下载.docx(11页珍藏版)》请在冰豆网上搜索。
∙为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。
3.3配置注意事项
∙当端口安全功能处于使能状态时,端口上的802.1X功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变由系统更改。
∙在端口上有用户在线的情况下,端口安全功能无法关闭。
∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。
3.4配置步骤
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
<
AC>
system-view
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface1]ipaddress8.140.1.3255.255.0.0
[AC-Vlan-interface1]quit
#创建VLAN200作为ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN。
[AC]vlan300
[AC-vlan300]quit
(2)配置无线接口
#创建WLAN-ESS0接口,并进入该视图。
[AC]interfacewlan-ess0
#配置端口的链路类型为Hybrid。
[AC-WLAN-ESS0]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带tag通过。
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS0]porthybridpvidvlan200
[AC-WLAN-ESS0]porthybridvlan200untagged
#在Hybrid端口上使能MAC-VLAN功能。
[AC-WLAN-ESS0]mac-vlanenable
[AC-WLAN-ESS0]quit
(3)配置无线服务
#创建crypto类型的服务模板1。
[AC]wlanservice-template1crypto
#配置当前服务模板的SSID为service。
[AC-wlan-st-1]ssidservice
#将WLAN-ESS0接口绑定到服务模板1。
[AC-wlan-st-1]bindwlan-ess0
#使能AES-CCMP加密套件。
[AC-wlan-st-1]cipher-suiteccmp
[AC-wlan-st-1]security-iersn
#使能无线服务。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(4)配置AP并绑定无线服务
#在AC上配置AP名称为ap1,型号名称WA2620E-AGN,并配置AP的序列号。
[AC]wlanapap1modelWA2620E-AGN
[AC-wlan-ap-ap1]serial-id21023529G007C000020
#进入射频2视图。
[AC-wlan-ap-ap1]radio2
#将无线服务1绑定到射频2。
[AC-wlan-ap-ap1-radio-2]service-template1
#使能AP的radio2。
[AC-wlan-ap-ap1-radio-2]radioenable
[AC-wlan-ap-ap1-radio-2]quit
[AC-wlan-ap-ap1]quit
(5)配置LDAP认证
#创建LDAP方案ldap1并进入其视图。
[AC]ldapschemeldap1
#配置LDAP服务器的IP地址8.1.1.22。
[AC-ldap-ldap1]authentication-server8.1.1.22
#配置具有管理员权限的用户DN。
[AC-ldap-ldap1]login-dncn=administrator,cn=users,dc=myias,dc=com
#配置具有管理员权限的用户密码。
[AC-ldap-ldap1]login-passwordsimpleadmin!
123456
#配置查询用户的起始目录。
[AC-ldap-ldap1]user-parameterssearch-base-dndc=myias,dc=com
[AC-ldap-ldap1]quit
(6)配置802.1X认证
#启用端口安全。
[AC]port-securityenable
#配置802.1X认证方式为EAP中继方式。
[AC]dot1xauthentication-methodeap
#创建office域并进入其视图。
[AC]domainldap
#为lan-access用户配置认证方法为本地认证。
[AC-isp-ldap]authenticationlan-accesslocal
#为lan-access用户配置授权方法为不授权
[AC-isp-ldap]authorizationlan-accessnone
#为lan-access用户配置计费为none,不计费。
[AC-isp-ldap]accountinglan-accessnone
[AC-isp-ldap]quit
#进入WLAN-ESS接口视图。
#配置端口的安全模式为userLogin-SecureExt。
[AC-WLAN-ESS0]port-securityport-modeuserlogin-secure-ext
#在接口WLAN-ESS0下使能11key类型的密钥协商功能。
[AC-WLAN-ESS0]port-securitytx-key-type11key
#关闭在线用户握手功能。
[AC-WLAN-ESS0]undodot1xhandshake
#关闭802.1X的组播触发功能。
[AC-WLAN-ESS0]undodot1xmulticast-trigger
#指定ESS口的认证域为ldap。
[AC-WLAN-ESS0]dot1xmandatory-domainldap
(7)配置SSL服务器端策略
#创建PKI实体en,通用名common。
[AC]pkientityen
[AC-pki-entity-en]common-namecommon
[AC-pki-entity-en]quit
#创建PKI域do,本端实体en,注册机构:
CA,不启用CRL查询。
[AC]pkidomaindo
[AC-pki-domain-do]certificaterequestfromca
[AC-pki-domain-do]certificaterequestentityen
[AC-pki-domain-do]crlcheckdisable
[AC-pki-domain-do]quit
#先用FTP等方式把证书上传到无线控制器中,再用命令导入证书。
[AC]pkiimport-certificatecadomaindopemfilenameroot.pem
[AC]pkiimport-certificatelocaldomaindop12filenameserver.pfx
#配置SSL服务器端策略eap-policy,指定使用的PKI域为do。
[AC]sslserver-policyeap-policy
[AC-ssl-server-policy-eap-policy]pki-domaindo
[AC-ssl-server-policy-eap-policy]quit
(8)配置本地EAP认证
#配置EAPProfile,指定认证方法为EAP-TLS和PEAP-GTC。
[AC]eap-profiledefault-profile
[AC-eap-prof-default-profile]ssl-server-policyeap-policy
[AC-eap-prof-default-profile]methodtls
[AC-eap-prof-default-profile]methodpeap-gtc
#配置使用LDAP数据库查询用户身份,引用LDAP方案ldap1。
[AC-eap-prof-default-profile]user-credentialsldap-schemeldap1
[AC-eap-prof-default-profile]quit
#配置本地服务器认证所使用的eap-profile为default-profile。
[AC]local-serverauthenticationeap-profiledefault-profile
#配置无线控制器去往LDAP服务器的静态路由。
[AC]iproute-static8.0.0.0255.0.0.08.140.1.1
3.5验证配置
#当用户通过认证连接到AC后,可以在AC上使用displayconnection查看有1个用户在线。
displayconnection
Index=5,Username=client@ldap
MAC=00-19-5B-EC-7A-E9
IP=N/A
IPv6=N/A
Total1connection(s)matched.
#在AC上使用displayconnectionucibindex查看用户的较详细信息。
displayconnectionucibindex5
Index=5,Username=client@ldap
Access=8021X,AuthMethod=EAP
PortType=Wireless-802.11,PortName=WLAN-DBSS0:
2
InitialVLAN=300,AuthorizationVLAN=N/A
ACLGroup=Disable
UserProfile=N/A
CAR=Disable
Priority=Disable
Start=2014-1-1415:
24:
21,Current=2014-1-1418:
29:
24,Online=03h05m03s
Total1connectionmatched.
#在AC上使用displaywlanclientverbose查看终端信息。
displaywlanclientverbose
TotalNumberofClients:
1
ClientInformation
-------------------------------------------------------------------------------
MACAddress:
0019-5bec-7ae9
UserName:
client
AID:
APName:
ap1
RadioId:
2
SSID:
service
BSSID:
0023-8998-0450
Port:
WLAN-DBSS0:
VLAN:
300
State:
Running
PowerSaveMode:
Active
WirelessMode:
11g
QoSMode:
WMM
ListenInterval(BeaconInterval):
10
RSSI:
32
Rx/TxRate:
54/54
ClientType:
WPA2(RSN)
AuthenticationMethod:
OpenSystem
AKMMethod:
Dot1X
4-WayHandshakeState:
PTKINITDONE
GroupKeyState:
IDLE
EncryptionCipher:
AES-CCMP
RoamStatus:
Normal
RoamCount:
0
UpTime(hh:
mm:
ss):
00:
54:
47
3.6配置文件
#
port-securityenable
dot1xauthentication-methodeap
vlan100
vlan200
vlan300
ldapschemeldap1
authentication-server8.1.1.22
login-dncn=administrator,cn=users,dc=myias,dc=com
login-passwordcipher$c$3$5emHSGcXdOkZPDCjh5zpTV+vrAR3aNUd
user-parameterssearch-base-dndc=myias,dc=com
domainldap
authenticationlan-accesslocal
authorizationlan-accessnone
accountinglan-accessnone
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
pkientityen
common-namecommon
pkidomaindo
certificaterequestfromca
certificaterequestentityen
crlcheckdisable
wlanservice-template1crypto
ssidservice
bindWLAN-ESS0
cipher-suiteccmp
security-iersn
service-templateenable
sslserver-policyeap-policy
pki-domaindo
eap-profiledefault-profile
ssl-server-policyeap-policy
methodtls
methodpeap-gtc
user-credentialsldap-schemeldap1
interfaceVlan-interface100
ipaddress8.140.1.3255.255.0.0
interfaceWLAN-ESS0
portlink-typehybrid
undoporthybridvlan1
porthybridvlan200untagged
porthybridpvidvlan200
mac-vlanenable
port-securityport-modeuserlogin-secure-ext
port-securitytx-key-type11key
undodot1xhandshake
dot1xmandatory-domainldap
undodot1xmulticast-trigger
wlanapap1modelWA2620E-AGNid1
serial-id21023529G007C000020
radio1
radio2
service-template1
radioenable
iproute-static8.0.0.0255.0.0.08.140.1.1
local-serverauthenticationeap-profiledefault-profile
4相关资料
∙《H3CWX系列无线控制器产品配置指导》“安全配置指导”。
∙《H3CWX系列无线控制器产品命令参考》“安全命令参考”。
∙《H3CWX系列无线控制器产品配置指导》“WLAN配置指导”。
∙《H3CWX系列无线控制器产品命令参考》“WLAN命令参考”。
升级会员 