H3C WX系列AC+Fit AP 8021x无线认证和IAS配合C.docx

资源描述

H3C WX系列AC+Fit AP 8021x无线认证和IAS配合C.docx

《H3C WX系列AC+Fit AP 8021x无线认证和IAS配合C.docx》由会员分享，可在线阅读，更多相关《H3C WX系列AC+Fit AP 8021x无线认证和IAS配合C.docx（10页珍藏版）》请在冰豆网上搜索。

H3C WX系列AC+Fit AP 8021x无线认证和IAS配合C.docx

H3CWX系列AC+FitAP8021x无线认证和IAS配合C

H3CWX系列AC+FitAP802.1x无线认证和IAS配合

典型配置举例

1特性简介

IEEE802.1X定义了基于端口的网络接入控制协议（portbasednetworkaccesscontrol），该协议适用于接入设备与接入端口间点到点的连接方式。

通过开关端口的状态来实现对报文转发的控制。

2使用场合

802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过控制接入端口的开/关状态来实现，这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证，而在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。

3注意事项

● 接入设备上服务器端口配置正确

● 相关AAA配置正确。

4IAS配置举例

4.1 组网需求

本配置举例中的AC使用的是WX5002无线控制器，AP使用的是WA2100无线局域网接入点。

AC的IP地址为192.168.1.50/24，RadiusServer的IP地址为8.1.1.4/8，AP和Client通过DHCP服务器获取IP地址。

本典型配置举例简化组网为两台PC（Client）以及一台FitAP和无线控制器AC通过IP网络相连。

图4-1802.1X无线认证和IAS配合组网图

4.2 配置思路

（1）配置802.1X

（2）配置服务器

4.3 使用版本

displayversion

H3CComwarePlatformSoftware

ComwareSoftware,Version5.00,0001

CompiledJul13200714:

32:

12,RELEASESOFTWARE

H3CWX5002-128uptimeis0week,2days,17hours,3minutes

CPUtype:

BCMMIPS1250700MHz

512MbytesDDRSDRAMMemory

32MbytesFlashMemory

Pcb Version:

Logic Version:

1.0

Basic BootROM Version:

1.13

ExtendBootROM Version:

1.14

[SLOT 1]CON （Hardware）A, （Driver）1.0, （Cpld）1.0

[SLOT 1]GE1/0/1 （Hardware）A, （Driver）1.0, （Cpld）1.0

[SLOT 1]GE1/0/2 （Hardware）A, （Driver）1.0, （Cpld）1.0

[SLOT 1]M-E1/0/1 （Hardware）A, （Driver）1.0, （Cpld）1.0.

4.4 配置步骤

配置802.1X：

displaycurrent-configuration

version5.00,0001

sysnameAC

configure-usercount1

domaindefaultenableias

port-securityenable

dot1xauthentication-methodeap

vlan1

vlan2to4094

radiusschemesystem

primaryauthentication127.0.0.1

primaryaccounting127.0.0.1

keyauthenticationh3c

keyaccountingh3c

accounting-onenable

radiusschemeias

server-typeextended

primaryauthentication8.1.1.4

primaryaccounting8.1.1.4

keyauthenticationh3c

keyaccountingh3c

timerrealtime-accounting3

user-name-formatwithout-domain

undostop-accounting-bufferenable

accounting-onenablee

domainias

authenticationdefaultradius-schemeias

authorizationdefaultradius-schemeias

accountingdefaultradius-schemeias

access-limitdisable

stateactive

idle-cutdisable

self-service-urldisable

domainsystem

access-limitdisable

stateactive

idle-cutdisable

self-service-urldisable

wlanradio-policyrp

beacon-interval500

wlanservice-template2crypto

ssidh3c-dot1x

bindWLAN-ESS2

authentication-methodopen-system

cipher-suiteccmp

security-iersn

gtk-rekeymethodtime-based180

service-templateenable

interfaceNULL0

interfaceVlan-interface1

ipaddress192.168.1.50255.255.255.0

interfaceGigabitEthernet1/0/1

interfaceGigabitEthernet1/0/2

interfaceM-Ethernet1/0/1

interfaceWLAN-ESS2

port-securityport-modeuserlogin-secure-ext

port-securitytx-key-type11key

wlanapap3modelWA2100

serial-id210235A29G007C000020

radio1type11g

radio-policyrp

service-template2

radioenable

iproute-static0.0.0.00.0.0.0192.168.1.1

4.4.1 主要配置步骤

1.在802.1X接入端配置802.1X和认证

（1）启用port-security，配置802.1X认证方式为EAP

[AC]port-securityenable

[AC]dot1xauthentication-methodeap

（2）配置认证策略

#创建RADIUS方案ias并进入其视图。

[AC]radiusschemeias

#将RADIUS方案ias的RADIUS服务器类型设置为extended。

[AC-radius-ias]server-typeextended

#设置主认证RADIUS服务器的IP地址8.1.1.4。

[AC-radius-ias]primaryauthentication8.1.1.4

#设置主计费RADIUS服务器的IP地址8.1.1.4。

[AC-radius-ias]primaryaccounting8.1.1.4

#设置系统与认证RADIUS服务器交互报文时的共享密钥为h3c。

[AC-radius-ias]keyauthenticationh3c

#设置系统与计费RADIUS服务器交互报文时的共享密钥为h3c。

[AC-radius-ias]keyaccountingh3c

#将RADIUS方案ias的实时计费的时间间隔设置为3分钟。

[AC-radius-ias]timerrealtime-accounting3

#指定发送给RADIUS方案ias中RADIUS服务器的用户名不得携带域名。

[AC-radius-ias]user-name-formatwithout-domain

#禁止在设备上缓存没有得到响应的停止计费请求报文。

[AC-radius-ias]undostop-accounting-bufferenable

#使能accounting-on功能。

[AC-radius-ias]accounting-onenable

（3）配置认证域

#创建ias域并进入其视图。

[AC-radius-ias]domainias

#在ISP域ias下，为所有类型的用户配置方案名为ias的RADIUS认证方案。

[AC-isp-ias]authenticationdefaultradius-schemeias

#在ISP域ias下，为所有类型的用户配置方案名为ias的RADIUS授权方案。

[AC-isp-ias]authorizationdefaultradius-schemeias

#在ISP域ias下，为所有类型的用户配置方案名为ias的RADIUS计费方案。

[AC-isp-ias]accountingdefaultradius-schemeias

（4）把配置的认证域IAS设置为系统缺省域

[AC-isp-ias]domaindefaultenableias

（5）配置射频策略

#创建一个名为rp的射频策略。

[AC]wlanradio-policyrp

#设置发送信标帧的时间间隔为500TU。

[AC-wlan-rp-rp]beacon-interval500

（6）配置无线接口，认证方式为EAP

[AC-wlan-rp-rp]interfaceWLAN-ESS2

#配置无线端口WLAN-ESS2的端口安全模式为userlogin-secure-ext。

[AC-WLAN-ESS2]port-securityport-modeuserlogin-secure-ext

#在接口WLAN-ESS2下使能11key类型的密钥协商功能。

[AC-WLAN-ESS2]port-securitytx-key-type11key

（7）配置无线服务模板

#创建crypto类型的服务模板2。

[AC-wlan-rp-rp]wlanservice-template2crypto

#设置当前服务模板的SSID（服务模板的标识）为h3c-dot1x。

[AC-wlan-st-2]ssidh3c-dot1x

#将WLAN-ESS2接口绑定到服务模板2。

[AC-wlan-st-2]bindWLAN-ESS2

#设置无线客户端接入该无线服务（SSID）的认证方式为开放式系统认证。

[AC-wlan-st-2]authentication-methodopen-system

#使能CCMP加密套件。

[AC-wlan-st-2]cipher-suiteccmp

#配置信标和探查帧携带RSNIE信息。

[AC-wlan-st-2]security-iersn

#使能服务模板。

[AC-wlan-st-2]service-templateenable

（8）配置FitAP

#创建AP管理模板，其名称为ap3，型号名称这里选择WA2100。

[AC-WLAN-ESS2]wlanapap3modelWA2100

#设置AP的序列号为210235A29G007C000020。

[AC-wlan-ap-ap3]serial-id210235A29G007C000020

#设置radio1的射频类型为802.11g。

[AC-wlan-ap-ap3]radio1type11g

#将射频策略rp映射到射频1。

[AC-wlan-ap-ap3-radio-1]radio-policyrp

#将在AC上配置的crypto类型的服务模板2与射频1进行关联。

[AC-wlan-ap-ap3-radio-1]service-template2

#使能AP的radio1。

[AC-wlan-ap-ap3-radio-1]radioenable

（9）配置VLAN虚接口

[AC-wlan-ap-ap3-radio-1]interfaceVlan-interface1

[AC-Vlan-interface1]ipaddress192.168.1.50255.255.255.0

（10）配置缺省路由

[AC-Vlan-interface1]iproute-static0.0.0.00.0.0.0192.168.1.1

2.在IAS上配置802.1X认证项：

配置Radius客户端：

配置远程访问策略：

编辑拨入配置文件：

IAS相关的其他配置（比如采用证书认证时需要的证书、AD中的用户等）这里不再详细说明，请参考windows相关帮助文档。

4.5 验证结果

使用displaydot1xsessions查看802.1X用户，是否用户在线。

4.6 注意事项

（1）如果采用EAP-TL

展开阅读全文