048021X与LDAP组合认证典型配置举例.docx
《048021X与LDAP组合认证典型配置举例.docx》由会员分享,可在线阅读,更多相关《048021X与LDAP组合认证典型配置举例.docx(11页珍藏版)》请在冰豆网上搜索。
048021X与LDAP组合认证典型配置举例
802.1X与LDAP组合认证典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
1简介
本文档介绍在无线控制器上配置本地802.1X认证,通过LDAP协议将AC设备解析出的用户名和密码传到LDAP服务器上对无线用户进行认证的典型配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA和802.1X特性。
3配置举例
3.1组网需求
如图1所示,Client和AP通过DHCP服务器获得IP地址,要求:
∙在AC上配置EAP中继方式的802.1X认证,以控制Client对网络资源的访问。
∙通过LDAP服务器对Client进行身份信息的存储和验证。
∙配置WLAN-ESS接口使能密钥协商功能。
∙对AC和Client之间的数据传输进行加密,加密套件采用AES-CCMP。
∙EAP认证方式采用TLS和PEAP-GTC,优先使用TLS。
图1802.1X与LDAP组合认证组网图
3.2配置思路
∙由于网络中部署了LDAP服务器对Client进行身份认证,因此需要在AC上配置本地EAP服务器来协助完成EAP认证。
∙为了优先使用TLS的EAP认证方式,在配置顺序上必须先配置TLS认证方式,后配置PEAP-GTC的认证方式。
∙由于EAP认证方式采用TLS和PEAP-GTC,所以必须配置SSL服务器端策略。
∙由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
∙对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。
∙为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。
3.3配置注意事项
∙当端口安全功能处于使能状态时,端口上的802.1X功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变由系统更改。
∙在端口上有用户在线的情况下,端口安全功能无法关闭。
∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。
3.4配置步骤
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
system-view
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface1]ipaddress8.140.1.3255.255.0.0
[AC-Vlan-interface1]quit
#创建VLAN200作为ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN。
[AC]vlan300
[AC-vlan300]quit
(2)配置无线接口
#创建WLAN-ESS0接口,并进入该视图。
[AC]interfacewlan-ess0
#配置端口的链路类型为Hybrid。
[AC-WLAN-ESS0]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带tag通过。
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS0]porthybridpvidvlan200
[AC-WLAN-ESS0]porthybridvlan200untagged
#在Hybrid端口上使能MAC-VLAN功能。
[AC-WLAN-ESS0]mac-vlanenable
[AC-WLAN-ESS0]quit
(3)配置无线服务
#创建crypto类型的服务模板1。
[AC]wlanservice-template1crypto
#配置当前服务模板的SSID为service。
[AC-wlan-st-1]ssidservice
#将WLAN-ESS0接口绑定到服务模板1。
[AC-wlan-st-1]bindwlan-ess0
#使能AES-CCMP加密套件。
[AC-wlan-st-1]cipher-suiteccmp
[AC-wlan-st-1]security-iersn
#使能无线服务。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(4)配置AP并绑定无线服务
#在AC上配置AP名称为ap1,型号名称WA2620E-AGN,并配置AP的序列号。
[AC]wlanapap1modelWA2620E-AGN
[AC-wlan-ap-ap1]serial-id21023529G007C000020
#进入射频2视图。
[AC-wlan-ap-ap1]radio2
#将无线服务1绑定到射频2。
[AC-wlan-ap-ap1-radio-2]service-template1
#使能AP的radio2。
[AC-wlan-ap-ap1-radio-2]radioenable
[AC-wlan-ap-ap1-radio-2]quit
[AC-wlan-ap-ap1]quit
(5)配置LDAP认证
#创建LDAP方案ldap1并进入其视图。
[AC]ldapschemeldap1
#配置LDAP服务器的IP地址8.1.1.22。
[AC-ldap-ldap1]authentication-server8.1.1.22
#配置具有管理员权限的用户DN。
[AC-ldap-ldap1]login-dncn=administrator,cn=users,dc=myias,dc=com
#配置具有管理员权限的用户密码。
[AC-ldap-ldap1]login-passwordsimpleadmin!
123456
#配置查询用户的起始目录。
[AC-ldap-ldap1]user-parameterssearch-base-dndc=myias,dc=com
[AC-ldap-ldap1]quit
(6)配置802.1X认证
#启用端口安全。
[AC]port-securityenable
#配置802.1X认证方式为EAP中继方式。
[AC]dot1xauthentication-methodeap
#创建office域并进入其视图。
[AC]domainldap
#为lan-access用户配置认证方法为本地认证。
[AC-isp-ldap]authenticationlan-accesslocal
#为lan-access用户配置授权方法为不授权
[AC-isp-ldap]authorizationlan-accessnone
#为lan-access用户配置计费为none,不计费。
[AC-isp-ldap]accountinglan-accessnone
[AC-isp-ldap]quit
#进入WLAN-ESS接口视图。
[AC]interfacewlan-ess0
#配置端口的安全模式为userLogin-SecureExt。
[AC-WLAN-ESS0]port-securityport-modeuserlogin-secure-ext
#在接口WLAN-ESS0下使能11key类型的密钥协商功能。
[AC-WLAN-ESS0]port-securitytx-key-type11key
#关闭在线用户握手功能。
[AC-WLAN-ESS0]undodot1xhandshake
#关闭802.1X的组播触发功能。
[AC-WLAN-ESS0]undodot1xmulticast-trigger
#指定ESS口的认证域为ldap。
[AC-WLAN-ESS0]dot1xmandatory-domainldap
[AC-WLAN-ESS0]quit
(7)配置SSL服务器端策略
#创建PKI实体en,通用名common。
[AC]pkientityen
[AC-pki-entity-en]common-namecommon
[AC-pki-entity-en]quit
#创建PKI域do,本端实体en,注册机构:
CA,不启用CRL查询。
[AC]pkidomaindo
[AC-pki-domain-do]certificaterequestfromca
[AC-pki-domain-do]certificaterequestentityen
[AC-pki-domain-do]crlcheckdisable
[AC-pki-domain-do]quit
#先用FTP等方式把证书上传到无线控制器中,再用命令导入证书。
[AC]pkiimport-certificatecadomaindopemfilenameroot.pem
[AC]pkiimport-certificatelocaldomaindop12filenameserver.pfx
#配置SSL服务器端策略eap-policy,指定使用的PKI域为do。
[AC]sslserver-policyeap-policy
[AC-ssl-server-policy-eap-policy]pki-domaindo
[AC-ssl-server-policy-eap-policy]quit
(8)配置本地EAP认证
#配置EAPProfile,指定认证方法为EAP-TLS和PEAP-GTC。
[AC]eap-profiledefault-profile
[AC-eap-prof-default-profile]ssl-server-policyeap-policy
[AC-eap-prof-default-profile]methodtls
[AC-eap-prof-default-profile]methodpeap-gtc
#配置使用LDAP数据库查询用户身份,引用LDAP方案ldap1。
[AC-eap-prof-default-profile]user-credentialsldap-schemeldap1
[AC-eap-prof-default-profile]quit
#配置本地服务器认证所使用的eap-profile为default-profile。
[AC]local-serverauthenticationeap-profiledefault-profile
#配置无线控制器去往LDAP服务器的静态路由。
[AC]iproute-static8.0.0.0255.0.0.08.140.1.1
3.5验证配置
#当用户通过认证连接到AC后,可以在AC上使用displayconnection查看有1个用户在线。
displayconnection
Index=5,Username=client@ldap
MAC=00-19-5B-EC-7A-E9
IP=N/A
IPv6=N/A
Total1connection(s)matched.
#在AC上使用displayconnectionucibindex查看用户的较详细信息。
displayconnectionucibindex5
Index=5,Username=client@ldap
MAC=00-19-5B-EC-7A-E9
IP=N/A
IPv6=N/A
Access=8021X,AuthMethod=EAP
PortType=Wireless-802.11,PortName=WLAN-DBSS0:
2
InitialVLAN=300,AuthorizationVLAN=N/A
ACLGroup=Disable
UserProfile=N/A
CAR=Disable
Priority=Disable
Start=2014-1-1415:
24:
21,Current=2014-1-1418:
29:
24,Online=03h05m03s
Total1connectionmatched.
#在AC上使用displaywlanclientverbose查看终端信息。
displaywlanclientverbose
TotalNumberofClients:
1
ClientInformation
-------------------------------------------------------------------------------
MACAddress:
0019-5bec-7ae9
UserName:
client
AID:
1
APName:
ap1
RadioId:
2
SSID:
service
BSSID:
0023-8998-0450
Port:
WLAN-DBSS0:
2
VLAN:
300
State:
Running
PowerSaveMode:
Active
WirelessMode:
11g
QoSMode:
WMM
ListenInterval(BeaconInterval):
10
RSSI:
32
Rx/TxRate:
54/54
ClientType:
WPA2(RSN)
AuthenticationMethod:
OpenSystem
AKMMethod:
Dot1X
4-WayHandshakeState:
PTKINITDONE
GroupKeyState:
IDLE
EncryptionCipher:
AES-CCMP
RoamStatus:
Normal
RoamCount:
0
UpTime(hh:
mm:
ss):
00:
54:
47
3.6配置文件
#
port-securityenable
#
dot1xauthentication-methodeap
#
vlan100
#
vlan200
#
vlan300
#
ldapschemeldap1
authentication-server8.1.1.22
login-dncn=administrator,cn=users,dc=myias,dc=com
login-passwordcipher$c$3$5emHSGcXdOkZPDCjh5zpTV+vrAR3aNUd
user-parameterssearch-base-dndc=myias,dc=com
#
domainldap
authenticationlan-accesslocal
authorizationlan-accessnone
accountinglan-accessnone
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
pkientityen
common-namecommon
#
pkidomaindo
certificaterequestfromca
certificaterequestentityen
crlcheckdisable
#
wlanservice-template1crypto
ssidservice
bindWLAN-ESS0
cipher-suiteccmp
security-iersn
service-templateenable
#
sslserver-policyeap-policy
pki-domaindo
#
eap-profiledefault-profile
ssl-server-policyeap-policy
methodtls
methodpeap-gtc
user-credentialsldap-schemeldap1
#
interfaceVlan-interface100
ipaddress8.140.1.3255.255.0.0
#
interfaceWLAN-ESS0
portlink-typehybrid
undoporthybridvlan1
porthybridvlan200untagged
porthybridpvidvlan200
mac-vlanenable
port-securityport-modeuserlogin-secure-ext
port-securitytx-key-type11key
undodot1xhandshake
dot1xmandatory-domainldap
undodot1xmulticast-trigger
#
wlanapap1modelWA2620E-AGNid1
serial-id21023529G007C000020
radio1
radio2
service-template1
radioenable
#
iproute-static8.0.0.0255.0.0.08.140.1.1
#
local-serverauthenticationeap-profiledefault-profile
#
4相关资料
∙《H3CWX系列无线控制器产品配置指导》“安全配置指导”。
∙《H3CWX系列无线控制器产品命令参考》“安全命令参考”。
∙《H3CWX系列无线控制器产品配置指导》“WLAN配置指导”。
∙《H3CWX系列无线控制器产品命令参考》“WLAN命令参考”。
升级会员 