028021X热备典型配置举例.docx

028021X热备典型配置举例.docx

《028021X热备典型配置举例.docx》由会员分享，可在线阅读，更多相关《028021X热备典型配置举例.docx（23页珍藏版）》请在冰豆网上搜索。

028021X热备典型配置举例

802.1X热备典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1简介

本文档介绍无线控制器802.1X热备典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解802.1X和双机热备的相关功能。

3配置举例

3.1组网需求

如图1所示，AC1和AC2均支持双机热备，现要求AC1和AC2在运行双机热备情况下支持802.1X客户端的信息备份，主备AC切换的过程中，客户端不会重新上下线，可以继续正常通信。

具体要求如下：

∙采用加密类型的服务模板，加密套件采用AES-CCMP。

∙AC1正常工作的情况下，Client通过AC1进行802.1X认证接入。

AC1发生故障的情况下，Client通过AC2接入。

∙802.1X的认证方式采用EAP中继方式。

∙采用RADIUS服务器作为认证服务器，RADIUS服务器上注册的接入设备NAS-IP是133.1.1.3/16。

∙防止用户通过恶意假冒其它域账号从本端口接入网络。

∙配置VRRP来提高链路的可靠性，保证业务流量在切换过程中不会中断。

∙将VLAN10作为备份VLAN，用于双机热备。

图1无线控制器802.1X热备典型配置组网图

3.2配置思路

∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用，因此为实现802.1X认证，需要在AC上全局配置端口安全；

∙为实现802.1X认证状态的备份，需要配置双机热备功能；

∙在无线环境中，为了保证AC在切换过程中，无线服务不中断，同时使客户端的信息在AC间同步，需要配置双AC备份及IACTP隧道。

∙在双AC备份配置中，为了让AP优先连接到AC1，需要为AC1配置较高的优先级。

∙在VRRP配置中，为了让AC1成为Master，需要为AC1配置较高的优先级。

∙由于部分802.1X客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

∙对于无线局域网来说，802.1X认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X组播报文的方式来触发。

同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X组播触发功能。

∙为了防止用户通过恶意假冒其它域账号从本端口接入网络，配置端口的强制认证域。

3.3配置注意事项

∙主备AC热备相关配置必须保持一致；

∙配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.4配置步骤

3.4.1AC1的配置

（1）配置AC1的接口

#创建VLAN10作为双机热备的VLAN。

system-view

[AC1]vlan10

[AC1-vlan10]quit

#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

[AC1]vlan100

[AC1-vlan100]quit

[AC1]interfacevlan-interface100

[AC1-Vlan-interface100]ipaddress133.4.1.116

[AC1-Vlan-interface100]quit

#创建VLAN200作为ESS接口的缺省VLAN。

[AC1]vlan200

[AC1-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN。

[AC1]vlan300

[AC1-vlan300]quit

#创建VLAN400作为RADIUSserver所在VLAN，并配置其IP地址。

[AC1]vlan400

[AC1-vlan400]quit

[AC1]interfacevlan-interface400

[AC1-Vlan-interface400]ipaddress133.1.1.116

[AC1-Vlan-interface400]quit

#配置AC1与Switch连接的端口为Trunk模式，允许VLAN10、VLAN200、VLAN300、VLAN400通过。

[AC1]interfacegigabitethernet1/0/1

[AC1-GigabitEthernet1/0/1]portlink-typetrunk

[AC1-GigabitEthernet1/0/1]porttrunkpermitvlan10200300400

[AC1-GigabitEthernet1/0/1]quit

（2）配置无线接口

#创建WLAN-ESS1接口。

[AC1]interfacewlan-ess1

#配置WLAN-ESS1接口类型为Hybrid类型。

[AC1-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为VLAN200，禁止VLAN1通过并允许VLAN200不带tag通过。

[AC1-WLAN-ESS1]undoporthybridvlan1

[AC1-WLAN-ESS1]porthybridvlan200untagged

[AC1-WLAN-ESS1]porthybridpvidvlan200

#开启MAC-VLAN功能。

[AC1-WLAN-ESS1]mac-vlanenable

[AC1-WLAN-ESS1]quit

（3）配置无线服务

#创建crypto类型的服务模板1。

[AC1]wlanservice-template1crypto

#将WLAN-ESS1接口绑定到服务模板1。

[AC1-wlan-st-1]bindwlan-ess1

#设置当前服务模板的SSID为service。

[AC1-wlan-st-1]ssidservice

#配置加密套件为CCMP。

[AC1-wlan-st-1]cipher-suiteccmp

#配置安全信息元素为RSN。

[AC1-wlan-st-1]security-iersn

#启用无线服务。

[AC1-wlan-st-1]service-templateenable

[AC1-wlan-st-1]quit

（4）配置射频接口并绑定服务模板

#创建AP的管理模板，名称为officeap，型号名称选择WA2620E-AGN，并配置其序列号。

[AC1]wlanapofficeapmodelWA2620E-AGN

[AC1-wlan-ap-officeap]serial-id21023529G007C000020

#指定该AP在AC1上优先级为7。

[AC1-wlan-ap-officeap]prioritylevel7

#进入AP的radio2视图。

[AC1-wlan-ap-officeap]radio2

#将服务模板1绑定到radio2口并使能radio2。

[AC1-wlan-ap-officeap-radio-2]service-template1vlan-id300

[AC1-wlan-ap-officeap-radio-2]radioenable

[AC1-wlan-ap-officeap-radio-2]return

（5）配置802.1X

#全局开启端口安全。

[AC1]port-securityenable

#选择802.1X认证方式为EAP中继方式。

[AC1]dot1xauthentication-methodeap

#进入WLAN-ESS1接口视图。

[AC1]interfacewlan-ess1

#配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。

[AC1-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext

#使能WLAN-ESS1上端口安全的双机热备功能。

[AC1-WLAN-ESS1]port-securitysynchronizationenable

#使能11key类型的密钥协商功能。

[AC1-WLAN-ESS1]port-securitytx-key-type11key

#指定802.1X用户使用的强制认证域office，以防止恶意用户通过假冒其它域账号从本端口接入网络。

[AC1-WLAN-ESS1]dot1xmandatory-domainoffice

#关闭802.1X的组播触发功能，以节省无线的通信带宽。

[AC1-WLAN-ESS1]undodot1xmulticast-trigger

#关闭在线用户握手功能，以避免不支持在线握手功能的客户端被强制下线。

[AC1-WLAN-ESS1]undodot1xhandshake

[AC1-WLAN-ESS1]quit

（6）配置RADIUS认证策略和认证域

#创建名字为office的RADIUS方案并进入该方案视图。

[AC1]radiusschemeoffice

#配置RADIUS方案的主认证服务器及其通信密钥。

[AC1-radius-office]primaryauthentication133.1.0.50

[AC1-radius-office]keyauthenticationkey

#配置AC1发送RADIUS报文使用的nas-ip地址为133.1.1.3。

[AC1-radius-office]nas-ip133.1.1.3

[AC1-radius-office]quit

#创建ISP域office，并进入其视图。

[AC1]domainoffice

#为lan-access用户配置计费为none，不计费。

[AC1-isp-office]accountinglan-accessnone

#为lan-access用户配置认证方案为RADIUS方案，方案名为office。

[AC1-isp-office]authenticationlan-accessradius-schemeoffice

#为lan-access用户配置授权方案为RADIUS方案，方案名为office。

[AC1-isp-office]authorizationlan-accessradius-schemeoffice

[AC1-isp-office]quit

（7）配置VRRP

#在VLAN400接口下创建VRRP备份组1，并配置备份组1的虚拟IP地址为133.1.1.3。

[AC1]interfacevlan-interface400

[AC1-Vlan-interface400]vrrpvrid1virtual-ip133.1.1.3

#配置AC1在备份组1中的优先级为200。

[AC1-Vlan-interface400]vrrpvrid1priority200

[AC1-Vlan-interface400]quit

（8）配置双机热备

#配置备份VLAN为VLAN10。

[AC1]dhbkvlan10

#使能双机热备功能，且支持对称路径。

[AC1]dhbkenablebackup-typesymmetric-path

#配置双机热备模式下的设备ID为1。

[AC1]nasdevice-id1

（9）配置双AC备份

#配置备份AC（AC2）的IP地址为133.4.1.2。

[AC1]wlanbackup-acip133.4.1.2

#开启AC间热备份功能。

[AC1]hot-backupenable

#配置热备AC间连接心跳周期为2000毫秒（缺省情况下，心跳周期为2000毫秒）。

[AC1]hot-backuphellointerval2000

#配置热备AC间数据端口的VLANID为100。

[AC1]hot-backupvlan100

#配置客户端信息备份功能。

[AC1]wlanbackup-clientenable

（10）配置IACTP隧道

#配置漫游隧道，漫游组名称为roam。

[AC1]wlanmobility-grouproam

#配置IACTP隧道的源地址为133.4.1.1，成员地址为133.4.1.2。

[AC1-wlan-mg-roam]sourceip133.4.1.1

[AC1-wlan-mg-roam]memberip133.4.1.2

#开启IACTP隧道。

[AC1-wlan-mg-roam]mobility-groupenable

[AC1-wlan-mg-roam]quit

3.4.2AC2的配置

（1）配置AC2的接口

#创建VLAN10作为双机热备的VLAN。

system-view

[AC2]vlan10

[AC2-vlan10]quit

#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

[AC2]vlan100

[AC2-vlan100]quit

[AC2]interfacevlan-interface100

[AC2-Vlan-interface100]ipaddress133.4.1.216

[AC2-Vlan-interface100]quit

#创建VLAN200作为ESS接口的缺省VLAN。

[AC2]vlan200

[AC2-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN。

[AC2]vlan300

[AC2-vlan300]quit

#创建VLAN400作为RADIUSserver所在VLAN，并配置其IP地址。

[AC2]vlan400

[AC2-vlan400]quit

[AC2]interfacevlan-interface400

[AC2-Vlan-interface400]ipaddress133.1.1.216

[AC2-Vlan-interface400]quit

#配置AC2与Switch连接的端口为Trunk模式，允许VLAN10、VLAN200、VLAN300、VLAN400通过。

[AC2]interfacegigabitethernet1/0/1

[AC2-GigabitEthernet1/0/1]portlink-typetrunk

[AC2-GigabitEthernet1/0/1]porttrunkpermitvlan10200300400

[AC2-GigabitEthernet1/0/1]quit

（2）配置无线接口

#创建WLAN-ESS1接口。

[AC2]interfacewlan-ess1

#配置WLAN-ESS1接口类型为Hybrid类型。

[AC2-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为VLAN200，禁止VLAN1通过并允许VLAN200不带tag通过。

[AC2-WLAN-ESS1]undoporthybridvlan1

[AC2-WLAN-ESS1]porthybridvlan200untagged

[AC2-WLAN-ESS1]porthybridpvidvlan200

#开启MAC-VLAN功能。

[AC2-WLAN-ESS1]mac-vlanenable

[AC2-WLAN-ESS1]quit

（3）配置无线服务

#创建crypto类型的服务模板1。

[AC2]wlanservice-template1crypto

#将WLAN-ESS1接口绑定到服务模板1。

[AC2-wlan-st-1]bindwlan-ess1

#设置当前服务模板的SSID为service。

[AC2-wlan-st-1]ssidservice

#配置加密套件为AES-CCMP。

[AC2-wlan-st-1]cipher-suiteccmp

#配置安全信息元素为RSN。

[AC2-wlan-st-1]security-iersn

#启用无线服务。

[AC2-wlan-st-1]service-templateenable

[AC2-wlan-st-1]quit

（4）配置射频接口并绑定服务模板

#创建AP的管理模板，名称为officeap，型号名称选择WA2620E-AGN，并配置其序列号。

[AC2]wlanapofficeapmodelWA2620E-AGN

[AC2-wlan-ap-officeap]serial-id21023529G007C000020

#进入AP的radio2视图。

[AC2-wlan-ap-officeap]radio2

#将在AC2上配置的服务模板1与射频2进行关联，Client通过服务模板1接入VLAN300。

[AC2-wlan-ap-officeap-radio-2]service-template1vlan-id300

#使能AP的radio2。

[AC2-wlan-ap-officeap-radio-2]radioenable

[AC2-wlan-ap-officeap-radio-2]return

（5）配置802.1X

#全局开启端口安全。

[AC2]port-securityenable

#选择802.1X认证方式为EAP中继方式。

[AC2]dot1xauthentication-methodeap

#配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。

[AC2-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext

#使能WLAN-ESS1端口安全的双机热备功能。

[AC2-WLAN-ESS1]port-securitysynchronizationenable

#使能11key类型的密钥协商功能。

[AC2-WLAN-ESS1]port-securitytx-key-type11key

#指定802.1X用户使用的强制认证域，以防止恶意用户通过假冒其它域账号从本端口接入网络。

[AC2-WLAN-ESS1]dot1xmandatory-domainoffice

#关闭802.1X组播触发功能，以节省无线的通信带宽。

[AC2-WLAN-ESS1]undodot1xmulticast-trigger

#关闭在线用户握手功能，以避免不支持在线握手功能的客户端被强制下线。

[AC2-WLAN-ESS1]undodot1xhandshake

[AC2-WLAN-ESS1]quit

（6）配置RADIUS认证策略和认证域

#创建名字为office的RADIUS方案并进入该方案视图。

[AC2]radiusschemeoffice

#配置RADIUS方案的主认证服务器及其通信密钥。

[AC2-radius-office]primaryauthentication133.1.0.50

[AC2-radius-office]keyauthenticationkey

#配置AC2发送RADIUS报文使用的nas-ip地址为133.1.1.3。

[AC2-radius-office]nas-ip133.1.1.3

[AC2-radius-office]quit

#创建ISP域office，并进入其视图。

[AC2]domainoffice

#为lan-access用户配置计费为none，不计费。

[AC2-isp-office]accountinglan-accessnone

#为lan-access用户配置认证方案为RADIUS方案，方案名为office。

[AC2-isp-office]authenticationlan-accessradius-schemeoffice

#为lan-access用户配置授权方案为RADIUS方案，方案名为office。

[AC2-isp-office]authorizationlan-accessradius-schemeoffice

[AC2-isp-office]quit

（7）配置VRRP

#在VLAN400中配置VRRP备份组1，并配置VRRP备份组1的虚拟IP地址为133.1.1.3。

[AC2]interfacevlan-interface400

[AC2-Vlan-interface400]vrrpvrid1virtual-ip133.1.1.3

[AC2-Vlan-interface400]quit

（8）配置双机热备

#配置备份VLAN为VLAN10。

[AC2]dhbkvlan10

#使能双机热备功能，且支持对称路径。

[AC2]dhbkenablebackup-typesymmetric-path

#配置双机热备模式下的设备ID为2。

[AC2]nasdevice-id2

（9）配置双AC备份

#配置备份AC（AC1）的IP地址为133.4.1.1。

[AC2]wlanbackup-acip133.4.1.1

#开启AC间热备份功能。

[AC2]hot-backupenable

#配置热备AC间连接心跳周期为2000毫秒（缺省情况下，心跳周期为2000毫秒）。

[AC2]hot-backuphellointerval2000

#配置热备AC间数据端口的VLANID为100。

[AC2]hot-backupvlan100

#配置客户端信息备份功能。

[AC2]wlanbackup-clientenable

（10）配置IACTP隧道