17IAG业务板支持PEAP认证典型配置举例.docx
《17IAG业务板支持PEAP认证典型配置举例.docx》由会员分享,可在线阅读,更多相关《17IAG业务板支持PEAP认证典型配置举例.docx(21页珍藏版)》请在冰豆网上搜索。
17IAG业务板支持PEAP认证典型配置举例
IAG业务板支持PEAP认证典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录
1简介1
2配置前提1
3配置举例1
3.1组网需求1
3.2配置思路2
3.3配置注意事项2
3.4配置步骤2
3.4.1AC的配置2
3.4.2IAG的配置5
3.4.3Switch的配置6
3.4.4RADIUS服务器的配置7
3.5验证配置11
3.6配置文件12
4相关资料15
1简介
本文档介绍IAG业务板支持PEAP认证典型配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WLAN无线接入、802.1X等特性。
3配置举例
3.1组网需求
如图1所示,本举例按照AC+IAG方式进行组网,AC作为DHCP服务器为Client和AP分配IP地址,AC和AP通过交换机相连。
现要求无线用户接入无线网络时在IAG上做PEAP认证,在AC上进行加密。
图1无线控制器IAG业务板支持PEAP认证组网图
=
3.2配置思路
∙IAG上面三层口支持802.1X认证,但不支持加密方式的802.1X认证,需要在AC上配置加密功能,并使用代理,将认证指向IAG。
∙配置漫游隧道来实现AC与IAG之间Client的同步。
3.3配置注意事项
∙IAG上配置的nas-ip要与RADIUS服务器上添加设备时使用的地址一致。
∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
∙开启代理功能,代理设备与被代理设备必须处于同一漫游组中,且一台代理设备只能代理一台其他设备。
3.4配置步骤
3.4.1AC的配置
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
system-view
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress188.10.0.1116
[AC-Vlan-interface100]quit
#创建VLAN200及其对应的VLAN接口,并为该接口配置IP地址,该VLAN作为WLAN-ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
[AC]interfacevlan-interface200
[AC-Vlan-interface200]ipaddress188.20.0.1116
[AC-Vlan-interface200]quit
#创建VLAN300及其对应的VLAN接口,并为该接口配置IP地址,该VLAN作为Client接入的业务VLAN。
[AC]vlan300
[AC-vlan300]quit
[AC]interfacevlan-interface300
[AC-Vlan-interface300]ipaddress188.30.0.1116
[AC-Vlan-interface300]quit
#将与Switch相连的接口Bridge-Aggregation1的链路类型配置为Trunk,配置PVID为100,禁止VLAN1通过,允许VLAN100、VLAN200和VLAN300通过。
[AC]interfacebridge-aggregation1
[AC-Bridge-Aggregation1]portlink-typetrunk
[AC-Bridge-Aggregation1]porttrunkpermitvlan100200300
[AC-Bridge-Aggregation1]undoporttrunkpermitvlan1
[AC-Bridge-Aggregation1]quit
(2)配置DHCP
#在AC上开启DHCP服务。
[AC]dhcpenable
#配置DHCP地址池vlan100为AP动态分配的网段为188.10.0.0/16,网关地址为188.10.0.11。
[AC]dhcpserverip-poolvlan100
[AC-dhcp-pool-vlan100]network188.10.0.016
[AC-dhcp-pool-vlan100]gateway-list188.10.0.11
[AC-dhcp-pool-vlan100]quit
#配置DHCP地址池vlan300为Client动态分配的网段为188.30.0.0/16,网关地址为188.30.0.11。
[AC]dhcpserverip-poolvlan300
[AC-dhcp-pool-vlan300]network188.30.0.016
[AC-dhcp-pool-vlan300]gateway-list188.30.0.11
[AC-dhcp-pool-vlan300]quit
(3)配置802.1X认证
#使能端口安全。
[AC]port-securityenable
#配置dot1x认证方式为eap。
[AC]dot1xauthentication-methodeap
#配置WLAN-ESS接口,并设置端口的链路类型为Hybrid类型。
[AC]interfacewlan-ess1
[AC-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,允许VLAN200不带tag通过。
[AC-WLAN-ESS1]porthybridvlan200untagged
[AC-WLAN-ESS1]porthybridpvidvlan200
#在Hybrid端口上使能MACVLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
#WLAN-ESS接口下配置dot1x认证。
[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext
#使能11key类型的密钥协商功能
[AC-WLAN-ESS1]port-securitytx-key-type11key
#关闭802.1X多播触发功能和在线用户握手功能。
[AC-WLAN-ESS1]undodot1xmulticast-trigger
[AC-WLAN-ESS1]undodot1xhandshake
#使能远程代理认证功能。
即802.1X用户需要在AC上面进行11key协商加解密,IAG插卡上面负责认证和控制报文的转发。
[AC-WLAN-ESS1]port-securityremote-auth-proxyenable
[AC-WLAN-ESS1]quit
#创建服务模板1(加密类型服务模板)。
[AC]wlanservice-template1crypto
#配置SSID为service。
[AC-wlan-st-1]ssidservice
#将WLAN-ESS1接口绑定到服务模板。
[AC-wlan-st-1]bindwlan-ess1
#设置信标和探查响应帧携带RSNIE。
[AC-wlan-st-1]security-iersn
#配置加密方式为ccmp。
[AC-wlan-st-1]cipher-suiteccmp
#开启服务模板。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(4)配置AP
#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN。
[AC]wlanapofficeapmodelWA2620E-AGN
#设置AP的序列号为21023529G007C000020。
[AC-wlan-ap-officeap]serial-id21023529G007C000020
#进入radio2射频视图。
[AC-wlan-ap-officeap]radio2
#将在AC上配置的加密类型的服务模板1与射频2进行关联,并设置绑定到射频接口的VLAN编号。
[AC-wlan-ap-officeap-radio-2]service-template1vlan-id300
#使能AP的radio2。
[AC-wlan-ap-officeap-radio-2]radioenable
[AC-wlan-ap-officeap-radio-2]quit
[AC-wlan-ap-officeap]quit
(5)配置漫游组
#配置漫游组,AC通过VLAN100与IAG板卡建立漫游隧道。
[AC]wlanmobility-groupsystemgroup
[AC-wlan-mg-systemgroup]sourceip188.10.0.11
[AC-wlan-mg-systemgroup]memberip188.10.0.12
#使能漫游组。
[AC-wlan-mg-systemgroup]mobility-groupenable
[AC-wlan-mg-systemgroup]quit
(6)配置代理功能
#开启SNMP代理功能,AC对IAG插卡进行代理。
[AC]snmp-agentproxyip188.10.0.12
#开启ARPSnooping功能后可以在AC上显示学习到的Client的IP地址。
[AC]arp-snoopingenable
3.4.2IAG的配置
(1)配置IAG的接口
#创建VLAN100、VLAN300。
其中VLAN100作为漫游隧道的VLAN,VLAN300作为无线用户接入VLAN,同时VLAN100作为与RADIUSServer通信的VLAN。
system-view
[IAG]vlan100
[IAG-vlan100]quit
[IAG]vlan300
[IAG-vlan300]quit
#配置子接口Ten-GigabitEthernet0/0.100,并配置IP地址为188.10.0.12/16。
[IAG]interfaceten-gigabitethernet0/0.100
#使能当前接口的Dot1q终结功能,并指定当前接口能够终结的VLAN报文的最外层VLANID为100。
[IAG-Ten-GigabitEthernet0/0.100]vlan-typedot1qvid100
[IAG-Ten-GigabitEthernet0/0.100]ipaddress188.10.0.12255.255.0.0
[IAG-Ten-GigabitEthernet0/0.100]quit
#配置子接口Ten-GigabitEthernet0/0.300,并配置IP地址为188.30.0.12/16。
[IAG]interfaceten-gigabitethernet0/0.300
#使能当前接口的Dot1q终结功能,并指定当前接口能够终结的VLAN报文的最外层VLANID为300。
[IAG-Ten-GigabitEthernet0/0.300]vlan-typedot1qvid300
[IAG-Ten-GigabitEthernet0/0.300]ipaddress188.30.0.12255.255.0.0
[IAG-Ten-GigabitEthernet0/0.300]quit
(2)配置802.1X认证
#使能端口安全。
[IAG]port-securityenable
#配置dot1x认证方式为eap。
[IAG]dot1xauthentication-methodeap
#配置认证服务器。
[IAG]radiusschemeoffice
#配置主认证RADIUS服务器的IP地址。
[IAG-radius-office]primaryauthentication8.1.1.5
#配置与认证RADIUS服务器交互报文时的共享密钥。
[IAG-radius-office]keyauthentication123456
#配置发送给RADIUS服务器的用户名不携带域名。
[IAG-radius-office]user-name-formatwithout-domain
#设置发送RADIUS报文使用的源地址。
[IAG-radius-office]nas-ip188.10.0.12
[IAG-radius-office]quit
#配置认证域。
[IAG]domainoffice
#配置dot1x用户使用RADIUS方案office进行认证、授权,不计费。
[IAG-isp-office]authenticationlan-accessradius-schemeoffice
[IAG-isp-office]authorizationlan-accessradius-schemeoffice
[IAG-isp-office]accountinglan-accessnone
#子接口下配置dot1x认证。
[IAG]interfaceten-gigabitethernet0/0.300
[IAG-Ten-GigabitEthernet0/0.300]port-securityport-modeuserlogin-secure-ext
#关闭dot1x多播触发功能和在线用户握手功能。
[IAG-Ten-GigabitEthernet0/0.300]undodot1xhandshake
[IAG-Ten-GigabitEthernet0/0.300]undodot1xmulticast-trigger
#配置dot1x认证域为office。
[IAG-Ten-GigabitEthernet0/0.300]dot1xmandatory-domainoffice
#配置允许无线用户接入。
[IAG-Ten-GigabitEthernet0/0.300]port-securitywlan-access
[IAG-Ten-GigabitEthernet0/0.300]quit
(3)配置漫游组
#配置漫游组,IAG通过VLAN100与AC建立漫游隧道。
[IAG]wlanmobility-groupsystemgroup
[IAG-wlan-mg-systemgroup]sourceip188.10.0.12
[IAG-wlan-mg-systemgroup]memberip188.10.0.11
#使能漫游组。
[IAG-wlan-mg-systemgroup]mobility-groupenable
[IAG-wlan-mg-systemgroup]quit
(4)配置到RADIUS服务器的路由
#配置静态路由,其目的地址为8.1.1.1/8,指定下一跳为188.10.0.1。
[IAG]iproute-static8.1.1.18188.10.0.1
3.4.3Switch的配置
#创建VLAN10、VLAN100和VLAN300,其中VLAN10用于连接RADIUS服务器,VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线用户接入的VLAN。
system-view
[Switch]vlan10
[Switch-vlan10]quit
[Switch]vlan100
[Switch-vlan100]quit
[Switch]vlan300
[Switch-vlan300]quit
#配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,配置PVID为100,允许VLAN100和VLAN300通过。
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100300
[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/1]quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2]portlink-typeaccess
[Switch-GigabitEthernet1/0/2]portaccessvlan100
#配置Switch与AP相连的GigabitEthernet1/0/2接口使能PoE功能。
[Switch-GigabitEthernet1/0/2]poeenable
[Switch-GigabitEthernet1/0/2]quit
#配置Switch与RADIUS服务器相连的GigabitEthernet1/0/3接口属性为Access,并允许VLAN10通过。
[Switch]interfacegigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3]portlink-typeaccess
[Switch-GigabitEthernet1/0/3]portaccessvlan10
[Switch-GigabitEthernet1/0/3]quit
#配置Switch与IAG相连的GigabitEthernet1/0/4接口的属性为Trunk,配置PVID为100,允许VLAN100和VLAN300通过。
[Switch]interfacegigabitethernet1/0/4
[Switch-GigabitEthernet1/0/4]portlink-typetrunk
[Switch-GigabitEthernet1/0/4]porttrunkpermitvlan100300
[Switch-GigabitEthernet1/0/4]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/4]quit
#配置VLAN10的接口地址为8.1.1.1/8,用于连接RADIUS服务器。
[Switch]interfacevlan-interface10
[Switch-Vlan-interface10]ipaddress8.1.1.18
[Switch-Vlan-interface10]quit
#配置VLAN100的接口地址为188.10.1.1/16
[Switch]interfacevlan-interface100
[Switch-Vlan-interface100]ipaddress188.10.0.116
[Switch-Vlan-interface100]quit
3.4.4RADIUS服务器的配置
下面以iMC作为RADIUS服务为例(使用iMC版本为:
iMCPLAT7.0(E0202)、iMCUAM7.0(E0202)),说明RADIUS服务器的配置。
#增加接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。
∙设置与AC交互报文时使用的认证、计费共享密钥为“123456”;
∙设置认证及计费的端口号分别为“1812”和“1813”;
∙选择业务类型为“LAN接入业务”;
∙选择接入设备类型为“H3C”;
∙选择或手工增加接入设备,添加IP地址为188.10.0.12的接入设备;
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
#配置接入策略
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,点击<增加>按钮,进入增加接入策略页面。
∙接入策略名填写eap-peap。
∙证书认证选择“EAP证书认证”。
∙认证证书类型选择“EAP-PEAP认证”。
∙认证证书子类型选择“MS-CHAPV2认证”。
∙其他配置采用页面默认配置即可。
∙单击<确定>按钮完成操作。
#配置接入服务
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,点击<增加>按钮,进入增加接入服务页面。
∙服务名填写“eap-peap”。
∙缺省接入策略选择“eap-peap”。
∙其他配置采用页面默认配置即可。
∙单击<确定>按钮完成操作。
#配置接入用户
选择“用户”页签,单击导航树中的[增加用户]菜单项,进入增加用户页面。
∙用户姓名填写test。
∙证件号码填写123。
∙其他配置采用页面默认配置即可。
∙单击<确定>按钮完成操作。
添加用户完成后,会跳转到增加用户结果页面,单击[增加用户账号]进入“增加接入用户”视图。
在“增加接入用户”视图下。
∙账户名填写“test”。
∙密码填写“123456”。
∙接入服务选择配置的接入服务“eap-peap”。
∙其他配置采用页面默认配置即可。
∙单击<确定>按钮完成操作。
3.5验证配置
#在AC上通过命令displaywlanclient看到用户test通过AC接入无线网络。
displaywlanclient
TotalNumberofClients:
1
ClientInformation
SSID:
service
--------