028021X热备典型配置举例.docx
《028021X热备典型配置举例.docx》由会员分享,可在线阅读,更多相关《028021X热备典型配置举例.docx(23页珍藏版)》请在冰豆网上搜索。
028021X热备典型配置举例
802.1X热备典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
1简介
本文档介绍无线控制器802.1X热备典型配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解802.1X和双机热备的相关功能。
3配置举例
3.1组网需求
如图1所示,AC1和AC2均支持双机热备,现要求AC1和AC2在运行双机热备情况下支持802.1X客户端的信息备份,主备AC切换的过程中,客户端不会重新上下线,可以继续正常通信。
具体要求如下:
∙采用加密类型的服务模板,加密套件采用AES-CCMP。
∙AC1正常工作的情况下,Client通过AC1进行802.1X认证接入。
AC1发生故障的情况下,Client通过AC2接入。
∙802.1X的认证方式采用EAP中继方式。
∙采用RADIUS服务器作为认证服务器,RADIUS服务器上注册的接入设备NAS-IP是133.1.1.3/16。
∙防止用户通过恶意假冒其它域账号从本端口接入网络。
∙配置VRRP来提高链路的可靠性,保证业务流量在切换过程中不会中断。
∙将VLAN10作为备份VLAN,用于双机热备。
图1无线控制器802.1X热备典型配置组网图
3.2配置思路
∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此为实现802.1X认证,需要在AC上全局配置端口安全;
∙为实现802.1X认证状态的备份,需要配置双机热备功能;
∙在无线环境中,为了保证AC在切换过程中,无线服务不中断,同时使客户端的信息在AC间同步,需要配置双AC备份及IACTP隧道。
∙在双AC备份配置中,为了让AP优先连接到AC1,需要为AC1配置较高的优先级。
∙在VRRP配置中,为了让AC1成为Master,需要为AC1配置较高的优先级。
∙由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
∙对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。
∙为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。
3.3配置注意事项
∙主备AC热备相关配置必须保持一致;
∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.4配置步骤
3.4.1AC1的配置
(1)配置AC1的接口
#创建VLAN10作为双机热备的VLAN。
system-view
[AC1]vlan10
[AC1-vlan10]quit
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
[AC1]vlan100
[AC1-vlan100]quit
[AC1]interfacevlan-interface100
[AC1-Vlan-interface100]ipaddress133.4.1.116
[AC1-Vlan-interface100]quit
#创建VLAN200作为ESS接口的缺省VLAN。
[AC1]vlan200
[AC1-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN。
[AC1]vlan300
[AC1-vlan300]quit
#创建VLAN400作为RADIUSserver所在VLAN,并配置其IP地址。
[AC1]vlan400
[AC1-vlan400]quit
[AC1]interfacevlan-interface400
[AC1-Vlan-interface400]ipaddress133.1.1.116
[AC1-Vlan-interface400]quit
#配置AC1与Switch连接的端口为Trunk模式,允许VLAN10、VLAN200、VLAN300、VLAN400通过。
[AC1]interfacegigabitethernet1/0/1
[AC1-GigabitEthernet1/0/1]portlink-typetrunk
[AC1-GigabitEthernet1/0/1]porttrunkpermitvlan10200300400
[AC1-GigabitEthernet1/0/1]quit
(2)配置无线接口
#创建WLAN-ESS1接口。
[AC1]interfacewlan-ess1
#配置WLAN-ESS1接口类型为Hybrid类型。
[AC1-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为VLAN200,禁止VLAN1通过并允许VLAN200不带tag通过。
[AC1-WLAN-ESS1]undoporthybridvlan1
[AC1-WLAN-ESS1]porthybridvlan200untagged
[AC1-WLAN-ESS1]porthybridpvidvlan200
#开启MAC-VLAN功能。
[AC1-WLAN-ESS1]mac-vlanenable
[AC1-WLAN-ESS1]quit
(3)配置无线服务
#创建crypto类型的服务模板1。
[AC1]wlanservice-template1crypto
#将WLAN-ESS1接口绑定到服务模板1。
[AC1-wlan-st-1]bindwlan-ess1
#设置当前服务模板的SSID为service。
[AC1-wlan-st-1]ssidservice
#配置加密套件为CCMP。
[AC1-wlan-st-1]cipher-suiteccmp
#配置安全信息元素为RSN。
[AC1-wlan-st-1]security-iersn
#启用无线服务。
[AC1-wlan-st-1]service-templateenable
[AC1-wlan-st-1]quit
(4)配置射频接口并绑定服务模板
#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN,并配置其序列号。
[AC1]wlanapofficeapmodelWA2620E-AGN
[AC1-wlan-ap-officeap]serial-id21023529G007C000020
#指定该AP在AC1上优先级为7。
[AC1-wlan-ap-officeap]prioritylevel7
#进入AP的radio2视图。
[AC1-wlan-ap-officeap]radio2
#将服务模板1绑定到radio2口并使能radio2。
[AC1-wlan-ap-officeap-radio-2]service-template1vlan-id300
[AC1-wlan-ap-officeap-radio-2]radioenable
[AC1-wlan-ap-officeap-radio-2]return
(5)配置802.1X
#全局开启端口安全。
[AC1]port-securityenable
#选择802.1X认证方式为EAP中继方式。
[AC1]dot1xauthentication-methodeap
#进入WLAN-ESS1接口视图。
[AC1]interfacewlan-ess1
#配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。
[AC1-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext
#使能WLAN-ESS1上端口安全的双机热备功能。
[AC1-WLAN-ESS1]port-securitysynchronizationenable
#使能11key类型的密钥协商功能。
[AC1-WLAN-ESS1]port-securitytx-key-type11key
#指定802.1X用户使用的强制认证域office,以防止恶意用户通过假冒其它域账号从本端口接入网络。
[AC1-WLAN-ESS1]dot1xmandatory-domainoffice
#关闭802.1X的组播触发功能,以节省无线的通信带宽。
[AC1-WLAN-ESS1]undodot1xmulticast-trigger
#关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下线。
[AC1-WLAN-ESS1]undodot1xhandshake
[AC1-WLAN-ESS1]quit
(6)配置RADIUS认证策略和认证域
#创建名字为office的RADIUS方案并进入该方案视图。
[AC1]radiusschemeoffice
#配置RADIUS方案的主认证服务器及其通信密钥。
[AC1-radius-office]primaryauthentication133.1.0.50
[AC1-radius-office]keyauthenticationkey
#配置AC1发送RADIUS报文使用的nas-ip地址为133.1.1.3。
[AC1-radius-office]nas-ip133.1.1.3
[AC1-radius-office]quit
#创建ISP域office,并进入其视图。
[AC1]domainoffice
#为lan-access用户配置计费为none,不计费。
[AC1-isp-office]accountinglan-accessnone
#为lan-access用户配置认证方案为RADIUS方案,方案名为office。
[AC1-isp-office]authenticationlan-accessradius-schemeoffice
#为lan-access用户配置授权方案为RADIUS方案,方案名为office。
[AC1-isp-office]authorizationlan-accessradius-schemeoffice
[AC1-isp-office]quit
(7)配置VRRP
#在VLAN400接口下创建VRRP备份组1,并配置备份组1的虚拟IP地址为133.1.1.3。
[AC1]interfacevlan-interface400
[AC1-Vlan-interface400]vrrpvrid1virtual-ip133.1.1.3
#配置AC1在备份组1中的优先级为200。
[AC1-Vlan-interface400]vrrpvrid1priority200
[AC1-Vlan-interface400]quit
(8)配置双机热备
#配置备份VLAN为VLAN10。
[AC1]dhbkvlan10
#使能双机热备功能,且支持对称路径。
[AC1]dhbkenablebackup-typesymmetric-path
#配置双机热备模式下的设备ID为1。
[AC1]nasdevice-id1
(9)配置双AC备份
#配置备份AC(AC2)的IP地址为133.4.1.2。
[AC1]wlanbackup-acip133.4.1.2
#开启AC间热备份功能。
[AC1]hot-backupenable
#配置热备AC间连接心跳周期为2000毫秒(缺省情况下,心跳周期为2000毫秒)。
[AC1]hot-backuphellointerval2000
#配置热备AC间数据端口的VLANID为100。
[AC1]hot-backupvlan100
#配置客户端信息备份功能。
[AC1]wlanbackup-clientenable
(10)配置IACTP隧道
#配置漫游隧道,漫游组名称为roam。
[AC1]wlanmobility-grouproam
#配置IACTP隧道的源地址为133.4.1.1,成员地址为133.4.1.2。
[AC1-wlan-mg-roam]sourceip133.4.1.1
[AC1-wlan-mg-roam]memberip133.4.1.2
#开启IACTP隧道。
[AC1-wlan-mg-roam]mobility-groupenable
[AC1-wlan-mg-roam]quit
3.4.2AC2的配置
(1)配置AC2的接口
#创建VLAN10作为双机热备的VLAN。
system-view
[AC2]vlan10
[AC2-vlan10]quit
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
[AC2]vlan100
[AC2-vlan100]quit
[AC2]interfacevlan-interface100
[AC2-Vlan-interface100]ipaddress133.4.1.216
[AC2-Vlan-interface100]quit
#创建VLAN200作为ESS接口的缺省VLAN。
[AC2]vlan200
[AC2-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN。
[AC2]vlan300
[AC2-vlan300]quit
#创建VLAN400作为RADIUSserver所在VLAN,并配置其IP地址。
[AC2]vlan400
[AC2-vlan400]quit
[AC2]interfacevlan-interface400
[AC2-Vlan-interface400]ipaddress133.1.1.216
[AC2-Vlan-interface400]quit
#配置AC2与Switch连接的端口为Trunk模式,允许VLAN10、VLAN200、VLAN300、VLAN400通过。
[AC2]interfacegigabitethernet1/0/1
[AC2-GigabitEthernet1/0/1]portlink-typetrunk
[AC2-GigabitEthernet1/0/1]porttrunkpermitvlan10200300400
[AC2-GigabitEthernet1/0/1]quit
(2)配置无线接口
#创建WLAN-ESS1接口。
[AC2]interfacewlan-ess1
#配置WLAN-ESS1接口类型为Hybrid类型。
[AC2-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为VLAN200,禁止VLAN1通过并允许VLAN200不带tag通过。
[AC2-WLAN-ESS1]undoporthybridvlan1
[AC2-WLAN-ESS1]porthybridvlan200untagged
[AC2-WLAN-ESS1]porthybridpvidvlan200
#开启MAC-VLAN功能。
[AC2-WLAN-ESS1]mac-vlanenable
[AC2-WLAN-ESS1]quit
(3)配置无线服务
#创建crypto类型的服务模板1。
[AC2]wlanservice-template1crypto
#将WLAN-ESS1接口绑定到服务模板1。
[AC2-wlan-st-1]bindwlan-ess1
#设置当前服务模板的SSID为service。
[AC2-wlan-st-1]ssidservice
#配置加密套件为AES-CCMP。
[AC2-wlan-st-1]cipher-suiteccmp
#配置安全信息元素为RSN。
[AC2-wlan-st-1]security-iersn
#启用无线服务。
[AC2-wlan-st-1]service-templateenable
[AC2-wlan-st-1]quit
(4)配置射频接口并绑定服务模板
#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN,并配置其序列号。
[AC2]wlanapofficeapmodelWA2620E-AGN
[AC2-wlan-ap-officeap]serial-id21023529G007C000020
#进入AP的radio2视图。
[AC2-wlan-ap-officeap]radio2
#将在AC2上配置的服务模板1与射频2进行关联,Client通过服务模板1接入VLAN300。
[AC2-wlan-ap-officeap-radio-2]service-template1vlan-id300
#使能AP的radio2。
[AC2-wlan-ap-officeap-radio-2]radioenable
[AC2-wlan-ap-officeap-radio-2]return
(5)配置802.1X
#全局开启端口安全。
[AC2]port-securityenable
#选择802.1X认证方式为EAP中继方式。
[AC2]dot1xauthentication-methodeap
#配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。
[AC2-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext
#使能WLAN-ESS1端口安全的双机热备功能。
[AC2-WLAN-ESS1]port-securitysynchronizationenable
#使能11key类型的密钥协商功能。
[AC2-WLAN-ESS1]port-securitytx-key-type11key
#指定802.1X用户使用的强制认证域,以防止恶意用户通过假冒其它域账号从本端口接入网络。
[AC2-WLAN-ESS1]dot1xmandatory-domainoffice
#关闭802.1X组播触发功能,以节省无线的通信带宽。
[AC2-WLAN-ESS1]undodot1xmulticast-trigger
#关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下线。
[AC2-WLAN-ESS1]undodot1xhandshake
[AC2-WLAN-ESS1]quit
(6)配置RADIUS认证策略和认证域
#创建名字为office的RADIUS方案并进入该方案视图。
[AC2]radiusschemeoffice
#配置RADIUS方案的主认证服务器及其通信密钥。
[AC2-radius-office]primaryauthentication133.1.0.50
[AC2-radius-office]keyauthenticationkey
#配置AC2发送RADIUS报文使用的nas-ip地址为133.1.1.3。
[AC2-radius-office]nas-ip133.1.1.3
[AC2-radius-office]quit
#创建ISP域office,并进入其视图。
[AC2]domainoffice
#为lan-access用户配置计费为none,不计费。
[AC2-isp-office]accountinglan-accessnone
#为lan-access用户配置认证方案为RADIUS方案,方案名为office。
[AC2-isp-office]authenticationlan-accessradius-schemeoffice
#为lan-access用户配置授权方案为RADIUS方案,方案名为office。
[AC2-isp-office]authorizationlan-accessradius-schemeoffice
[AC2-isp-office]quit
(7)配置VRRP
#在VLAN400中配置VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为133.1.1.3。
[AC2]interfacevlan-interface400
[AC2-Vlan-interface400]vrrpvrid1virtual-ip133.1.1.3
[AC2-Vlan-interface400]quit
(8)配置双机热备
#配置备份VLAN为VLAN10。
[AC2]dhbkvlan10
#使能双机热备功能,且支持对称路径。
[AC2]dhbkenablebackup-typesymmetric-path
#配置双机热备模式下的设备ID为2。
[AC2]nasdevice-id2
(9)配置双AC备份
#配置备份AC(AC1)的IP地址为133.4.1.1。
[AC2]wlanbackup-acip133.4.1.1
#开启AC间热备份功能。
[AC2]hot-backupenable
#配置热备AC间连接心跳周期为2000毫秒(缺省情况下,心跳周期为2000毫秒)。
[AC2]hot-backuphellointerval2000
#配置热备AC间数据端口的VLANID为100。
[AC2]hot-backupvlan100
#配置客户端信息备份功能。
[AC2]wlanbackup-clientenable
(10)配置IACTP隧道