收藏
下载资源下载资源 加入VIP,免费下载

17IAG业务板支持PEAP认证典型配置举例.docx

上传人:b****6 文档编号:7957160 上传时间:2023-01-27 格式:DOCX 页数:21 大小:202.30KB
下载 相关 举报
17IAG业务板支持PEAP认证典型配置举例.docx_第1页
第1页 / 共21页
17IAG业务板支持PEAP认证典型配置举例.docx_第2页
第2页 / 共21页
17IAG业务板支持PEAP认证典型配置举例.docx_第3页
第3页 / 共21页
17IAG业务板支持PEAP认证典型配置举例.docx_第4页
第4页 / 共21页
17IAG业务板支持PEAP认证典型配置举例.docx_第5页
第5页 / 共21页
点击查看更多>>
下载资源
资源描述

17IAG业务板支持PEAP认证典型配置举例.docx

《17IAG业务板支持PEAP认证典型配置举例.docx》由会员分享,可在线阅读,更多相关《17IAG业务板支持PEAP认证典型配置举例.docx(21页珍藏版)》请在冰豆网上搜索。

17IAG业务板支持PEAP认证典型配置举例.docx

17IAG业务板支持PEAP认证典型配置举例

IAG业务板支持PEAP认证典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

目录

1简介1

2配置前提1

3配置举例1

3.1组网需求1

3.2配置思路2

3.3配置注意事项2

3.4配置步骤2

3.4.1AC的配置2

3.4.2IAG的配置5

3.4.3Switch的配置6

3.4.4RADIUS服务器的配置7

3.5验证配置11

3.6配置文件12

4相关资料15

1简介

本文档介绍IAG业务板支持PEAP认证典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN无线接入、802.1X等特性。

3配置举例

3.1组网需求

如图1所示,本举例按照AC+IAG方式进行组网,AC作为DHCP服务器为Client和AP分配IP地址,AC和AP通过交换机相连。

现要求无线用户接入无线网络时在IAG上做PEAP认证,在AC上进行加密。

图1无线控制器IAG业务板支持PEAP认证组网图

=

3.2配置思路

∙IAG上面三层口支持802.1X认证,但不支持加密方式的802.1X认证,需要在AC上配置加密功能,并使用代理,将认证指向IAG。

∙配置漫游隧道来实现AC与IAG之间Client的同步。

3.3配置注意事项

∙IAG上配置的nas-ip要与RADIUS服务器上添加设备时使用的地址一致。

∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

∙开启代理功能,代理设备与被代理设备必须处于同一漫游组中,且一台代理设备只能代理一台其他设备。

3.4配置步骤

3.4.1AC的配置

(1)配置AC的接口

#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress188.10.0.1116

[AC-Vlan-interface100]quit

#创建VLAN200及其对应的VLAN接口,并为该接口配置IP地址,该VLAN作为WLAN-ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

[AC]interfacevlan-interface200

[AC-Vlan-interface200]ipaddress188.20.0.1116

[AC-Vlan-interface200]quit

#创建VLAN300及其对应的VLAN接口,并为该接口配置IP地址,该VLAN作为Client接入的业务VLAN。

[AC]vlan300

[AC-vlan300]quit

[AC]interfacevlan-interface300

[AC-Vlan-interface300]ipaddress188.30.0.1116

[AC-Vlan-interface300]quit

#将与Switch相连的接口Bridge-Aggregation1的链路类型配置为Trunk,配置PVID为100,禁止VLAN1通过,允许VLAN100、VLAN200和VLAN300通过。

[AC]interfacebridge-aggregation1

[AC-Bridge-Aggregation1]portlink-typetrunk

[AC-Bridge-Aggregation1]porttrunkpermitvlan100200300

[AC-Bridge-Aggregation1]undoporttrunkpermitvlan1

[AC-Bridge-Aggregation1]quit

(2)配置DHCP

#在AC上开启DHCP服务。

[AC]dhcpenable

#配置DHCP地址池vlan100为AP动态分配的网段为188.10.0.0/16,网关地址为188.10.0.11。

[AC]dhcpserverip-poolvlan100

[AC-dhcp-pool-vlan100]network188.10.0.016

[AC-dhcp-pool-vlan100]gateway-list188.10.0.11

[AC-dhcp-pool-vlan100]quit

#配置DHCP地址池vlan300为Client动态分配的网段为188.30.0.0/16,网关地址为188.30.0.11。

[AC]dhcpserverip-poolvlan300

[AC-dhcp-pool-vlan300]network188.30.0.016

[AC-dhcp-pool-vlan300]gateway-list188.30.0.11

[AC-dhcp-pool-vlan300]quit

(3)配置802.1X认证

#使能端口安全。

[AC]port-securityenable

#配置dot1x认证方式为eap。

[AC]dot1xauthentication-methodeap

#配置WLAN-ESS接口,并设置端口的链路类型为Hybrid类型。

[AC]interfacewlan-ess1

[AC-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为200,允许VLAN200不带tag通过。

[AC-WLAN-ESS1]porthybridvlan200untagged

[AC-WLAN-ESS1]porthybridpvidvlan200

#在Hybrid端口上使能MACVLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

#WLAN-ESS接口下配置dot1x认证。

[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext

#使能11key类型的密钥协商功能

[AC-WLAN-ESS1]port-securitytx-key-type11key

#关闭802.1X多播触发功能和在线用户握手功能。

[AC-WLAN-ESS1]undodot1xmulticast-trigger

[AC-WLAN-ESS1]undodot1xhandshake

#使能远程代理认证功能。

即802.1X用户需要在AC上面进行11key协商加解密,IAG插卡上面负责认证和控制报文的转发。

[AC-WLAN-ESS1]port-securityremote-auth-proxyenable

[AC-WLAN-ESS1]quit

#创建服务模板1(加密类型服务模板)。

[AC]wlanservice-template1crypto

#配置SSID为service。

[AC-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板。

[AC-wlan-st-1]bindwlan-ess1

#设置信标和探查响应帧携带RSNIE。

[AC-wlan-st-1]security-iersn

#配置加密方式为ccmp。

[AC-wlan-st-1]cipher-suiteccmp

#开启服务模板。

[AC-wlan-st-1]service-templateenable

[AC-wlan-st-1]quit

(4)配置AP

#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN。

[AC]wlanapofficeapmodelWA2620E-AGN

#设置AP的序列号为21023529G007C000020。

[AC-wlan-ap-officeap]serial-id21023529G007C000020

#进入radio2射频视图。

[AC-wlan-ap-officeap]radio2

#将在AC上配置的加密类型的服务模板1与射频2进行关联,并设置绑定到射频接口的VLAN编号。

[AC-wlan-ap-officeap-radio-2]service-template1vlan-id300

#使能AP的radio2。

[AC-wlan-ap-officeap-radio-2]radioenable

[AC-wlan-ap-officeap-radio-2]quit

[AC-wlan-ap-officeap]quit

(5)配置漫游组

#配置漫游组,AC通过VLAN100与IAG板卡建立漫游隧道。

[AC]wlanmobility-groupsystemgroup

[AC-wlan-mg-systemgroup]sourceip188.10.0.11

[AC-wlan-mg-systemgroup]memberip188.10.0.12

#使能漫游组。

[AC-wlan-mg-systemgroup]mobility-groupenable

[AC-wlan-mg-systemgroup]quit

(6)配置代理功能

#开启SNMP代理功能,AC对IAG插卡进行代理。

[AC]snmp-agentproxyip188.10.0.12

#开启ARPSnooping功能后可以在AC上显示学习到的Client的IP地址。

[AC]arp-snoopingenable

3.4.2IAG的配置

(1)配置IAG的接口

#创建VLAN100、VLAN300。

其中VLAN100作为漫游隧道的VLAN,VLAN300作为无线用户接入VLAN,同时VLAN100作为与RADIUSServer通信的VLAN。

system-view

[IAG]vlan100

[IAG-vlan100]quit

[IAG]vlan300

[IAG-vlan300]quit

#配置子接口Ten-GigabitEthernet0/0.100,并配置IP地址为188.10.0.12/16。

[IAG]interfaceten-gigabitethernet0/0.100

#使能当前接口的Dot1q终结功能,并指定当前接口能够终结的VLAN报文的最外层VLANID为100。

[IAG-Ten-GigabitEthernet0/0.100]vlan-typedot1qvid100

[IAG-Ten-GigabitEthernet0/0.100]ipaddress188.10.0.12255.255.0.0

[IAG-Ten-GigabitEthernet0/0.100]quit

#配置子接口Ten-GigabitEthernet0/0.300,并配置IP地址为188.30.0.12/16。

[IAG]interfaceten-gigabitethernet0/0.300

#使能当前接口的Dot1q终结功能,并指定当前接口能够终结的VLAN报文的最外层VLANID为300。

[IAG-Ten-GigabitEthernet0/0.300]vlan-typedot1qvid300

[IAG-Ten-GigabitEthernet0/0.300]ipaddress188.30.0.12255.255.0.0

[IAG-Ten-GigabitEthernet0/0.300]quit

(2)配置802.1X认证

#使能端口安全。

[IAG]port-securityenable

#配置dot1x认证方式为eap。

[IAG]dot1xauthentication-methodeap

#配置认证服务器。

[IAG]radiusschemeoffice

#配置主认证RADIUS服务器的IP地址。

[IAG-radius-office]primaryauthentication8.1.1.5

#配置与认证RADIUS服务器交互报文时的共享密钥。

[IAG-radius-office]keyauthentication123456

#配置发送给RADIUS服务器的用户名不携带域名。

[IAG-radius-office]user-name-formatwithout-domain

#设置发送RADIUS报文使用的源地址。

[IAG-radius-office]nas-ip188.10.0.12

[IAG-radius-office]quit

#配置认证域。

[IAG]domainoffice

#配置dot1x用户使用RADIUS方案office进行认证、授权,不计费。

[IAG-isp-office]authenticationlan-accessradius-schemeoffice

[IAG-isp-office]authorizationlan-accessradius-schemeoffice

[IAG-isp-office]accountinglan-accessnone

#子接口下配置dot1x认证。

[IAG]interfaceten-gigabitethernet0/0.300

[IAG-Ten-GigabitEthernet0/0.300]port-securityport-modeuserlogin-secure-ext

#关闭dot1x多播触发功能和在线用户握手功能。

[IAG-Ten-GigabitEthernet0/0.300]undodot1xhandshake

[IAG-Ten-GigabitEthernet0/0.300]undodot1xmulticast-trigger

#配置dot1x认证域为office。

[IAG-Ten-GigabitEthernet0/0.300]dot1xmandatory-domainoffice

#配置允许无线用户接入。

[IAG-Ten-GigabitEthernet0/0.300]port-securitywlan-access

[IAG-Ten-GigabitEthernet0/0.300]quit

(3)配置漫游组

#配置漫游组,IAG通过VLAN100与AC建立漫游隧道。

[IAG]wlanmobility-groupsystemgroup

[IAG-wlan-mg-systemgroup]sourceip188.10.0.12

[IAG-wlan-mg-systemgroup]memberip188.10.0.11

#使能漫游组。

[IAG-wlan-mg-systemgroup]mobility-groupenable

[IAG-wlan-mg-systemgroup]quit

(4)配置到RADIUS服务器的路由

#配置静态路由,其目的地址为8.1.1.1/8,指定下一跳为188.10.0.1。

[IAG]iproute-static8.1.1.18188.10.0.1

3.4.3Switch的配置

#创建VLAN10、VLAN100和VLAN300,其中VLAN10用于连接RADIUS服务器,VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线用户接入的VLAN。

system-view

[Switch]vlan10

[Switch-vlan10]quit

[Switch]vlan100

[Switch-vlan100]quit

[Switch]vlan300

[Switch-vlan300]quit

#配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,配置PVID为100,允许VLAN100和VLAN300通过。

[Switch]interfacegigabitethernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100300

[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100

[Switch-GigabitEthernet1/0/1]quit

#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN100通过。

[Switch]interfacegigabitethernet1/0/2

[Switch-GigabitEthernet1/0/2]portlink-typeaccess

[Switch-GigabitEthernet1/0/2]portaccessvlan100

#配置Switch与AP相连的GigabitEthernet1/0/2接口使能PoE功能。

[Switch-GigabitEthernet1/0/2]poeenable

[Switch-GigabitEthernet1/0/2]quit

#配置Switch与RADIUS服务器相连的GigabitEthernet1/0/3接口属性为Access,并允许VLAN10通过。

[Switch]interfacegigabitethernet1/0/3

[Switch-GigabitEthernet1/0/3]portlink-typeaccess

[Switch-GigabitEthernet1/0/3]portaccessvlan10

[Switch-GigabitEthernet1/0/3]quit

#配置Switch与IAG相连的GigabitEthernet1/0/4接口的属性为Trunk,配置PVID为100,允许VLAN100和VLAN300通过。

[Switch]interfacegigabitethernet1/0/4

[Switch-GigabitEthernet1/0/4]portlink-typetrunk

[Switch-GigabitEthernet1/0/4]porttrunkpermitvlan100300

[Switch-GigabitEthernet1/0/4]porttrunkpvidvlan100

[Switch-GigabitEthernet1/0/4]quit

#配置VLAN10的接口地址为8.1.1.1/8,用于连接RADIUS服务器。

[Switch]interfacevlan-interface10

[Switch-Vlan-interface10]ipaddress8.1.1.18

[Switch-Vlan-interface10]quit

#配置VLAN100的接口地址为188.10.1.1/16

[Switch]interfacevlan-interface100

[Switch-Vlan-interface100]ipaddress188.10.0.116

[Switch-Vlan-interface100]quit

3.4.4RADIUS服务器的配置

下面以iMC作为RADIUS服务为例(使用iMC版本为:

iMCPLAT7.0(E0202)、iMCUAM7.0(E0202)),说明RADIUS服务器的配置。

#增加接入设备

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面。

∙设置与AC交互报文时使用的认证、计费共享密钥为“123456”;

∙设置认证及计费的端口号分别为“1812”和“1813”;

∙选择业务类型为“LAN接入业务”;

∙选择接入设备类型为“H3C”;

∙选择或手工增加接入设备,添加IP地址为188.10.0.12的接入设备;

∙其它参数采用缺省值,并单击<确定>按钮完成操作。

#配置接入策略

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,点击<增加>按钮,进入增加接入策略页面。

∙接入策略名填写eap-peap。

∙证书认证选择“EAP证书认证”。

∙认证证书类型选择“EAP-PEAP认证”。

∙认证证书子类型选择“MS-CHAPV2认证”。

∙其他配置采用页面默认配置即可。

∙单击<确定>按钮完成操作。

#配置接入服务

选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,点击<增加>按钮,进入增加接入服务页面。

∙服务名填写“eap-peap”。

∙缺省接入策略选择“eap-peap”。

∙其他配置采用页面默认配置即可。

∙单击<确定>按钮完成操作。

#配置接入用户

选择“用户”页签,单击导航树中的[增加用户]菜单项,进入增加用户页面。

∙用户姓名填写test。

∙证件号码填写123。

∙其他配置采用页面默认配置即可。

∙单击<确定>按钮完成操作。

添加用户完成后,会跳转到增加用户结果页面,单击[增加用户账号]进入“增加接入用户”视图。

在“增加接入用户”视图下。

∙账户名填写“test”。

∙密码填写“123456”。

∙接入服务选择配置的接入服务“eap-peap”。

∙其他配置采用页面默认配置即可。

∙单击<确定>按钮完成操作。

3.5验证配置

#在AC上通过命令displaywlanclient看到用户test通过AC接入无线网络。

displaywlanclient

TotalNumberofClients:

1

ClientInformation

SSID:

service

--------

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 管理学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1