41基于AP的无线终端准入典型配置举例.docx

1、41基于AP的无线终端准入典型配置举例基于AP的无线终端准入典型配置举例Copyright 2014杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。1 简介本文档介绍基于AP的无线终端准入，即使无线客户端只能从指定的AP接入无线网络的典型配置举例。2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省

2、配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解WLAN接入和User Profile特性。3 配置举例3.1 组网需求如图1所示，无线网络中AC下关联两台AP，AP和Client通过DHCP server获取IP地址。Client 1、Client 2分别通过AP 1、AP 2接入到外部网络。现要求如下：AP 1和AP 2划分到VLAN 100内，Client 1和Client 2划分到VLAN 200内。Client 1只能通过AP 1访问网络，而Client 2只能通过AP 2访问网络。图1 基于AP的用户接入控制组网图 3.

3、2 配置思路在AC上配置802.1X认证，配置主认证服务器的IP地址指向RADIUS server，使Client的认证信息能够转发到RADIUS server上进行认证。建立AP组与802.1X用户组，将AP管理模板officeap1和officeap2分别加入到不同的AP组中，再将802.1X用户组与AP组进行绑定。这样就可以确保Client只能通过指定的AP访问网络资源。3.3 配置注意事项配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。3.4 配置步骤3.4.1 AC的配置(1)配置AC的接口# 创建VLAN 100及其对应的VLAN接口，并

4、为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。 system-view AC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 150.10.1.1 255.255.0.0AC-Vlan-interface100 quit# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN。AC vlan 200AC-vlan200 quit# 创建VLAN 300作为Client接入的业务VLAN，并为该接口配置IP地址。AC vlan 300AC-

5、vlan300 quitAC interface vlan-interface 300AC-Vlan-interface300 ip address 150.30.1.1 255.255.0.0AC-Vlan-interface300 quit# 配置AC的GigabitEthernet1/0/1接口的链路类型为Trunk，当前Trunk口的PVID为100，允许VLAN 100和VLAN 300通过。AC interface gigabitethernet 1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1

6、/0/1 port trunk permit vlan 100 300AC-GigabitEthernet1/0/1 port trunk pvid vlan 100AC-GigabitEthernet1/0/1 quit(2)配置认证策略# 启用端口安全，配置802.1X认证方式为EAP。AC port-security enable AC dot1x authentication-method eap# 创建RADIUS方案office，将RADIUS服务器类型设置为extended。AC radius scheme officeAC-radius-office server-type e

7、xtended # 配置RADIUS方案的主认证服务器的IP地址为8.1.1.5/8，认证报文的共享密钥设置为明文123456。AC-radius-office primary authentication 8.1.1.5AC-radius-office key authentication 123456# 指定发送给RADIUS服务器的用户名不得携带ISP域名。AC-radius-office user-name-format without-domain AC-radius-office quit(3)配置认证域# 创建名为office的ISP域，并进入其视图。AC domain offi

8、ce# 配置802.1X用户使用RADIUS方案office进行认证和授权，不对用户使用的网络服务进行计费。AC-isp-office authentication default radius-scheme officeAC-isp-office authorization default radius-scheme officeAC-isp-office accounting default noneAC-isp-office quit# 把配置的认证域office设置为系统缺省域。AC domain default enable office(4)配置无线口的端口安全（802.1X认证）

9、# 创建WLAN ESS接口1。AC interface wlan-ess 1# 配置端口的链路类型为Hybrid。AC-WLAN-ESS1 port link-type hybrid# 配置当前Hybrid端口的PVID为200，禁止VLAN 1通过并允许VLAN 200不带tag通过。AC-WLAN-ESS1 port hybrid pvid vlan 200 AC-WLAN-ESS1 undo port hybrid vlan 1 AC-WLAN-ESS1 port hybrid vlan 200 untagged# 使能MAC VLAN功能。AC-WLAN-ESS1 mac-vlan

10、enable# 配置WLAN ESS 1的端口安全模式为userlogin-secure-ext。AC-WLAN-ESS1 port-security port-mode userlogin-secure-ext# 使能11key类型的密钥协商功能。AC-WLAN-ESS1 port-security tx-key-type 11key# 关闭在线用户握手和802.1X的组播触发功能。AC-WLAN-ESS1 undo dot1x handshakeAC-WLAN-ESS1 undo dot1x multicast-triggerAC-WLAN-ESS1 quit# 配置到RADIUS服务器的

11、静态路由。AC ip route-static 8.1.1.5 255.0.0.0 150.10.1.200(5)配置无线服务# 创建crypto类型的服务模板1。AC wlan service-template 1 crypto# 设置当前服务模板的SSID为service。AC-wlan-st-1 ssid service# 将WLAN-ESS 1接口绑定到服务模板1。AC-wlan-st-1 bind WLAN-ESS 1# 使能TKIP加密套件。AC-wlan-st-1 cipher-suite tkip# 使能CCMP加密套件。AC-wlan-st-1 cipher-suite cc

12、mp# 配置信标和探查帧时携带RSN IE。AC-wlan-st-1 security-ie rsn# 启用无线服务。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit(6)配置AP# 创建AP 1模板，名称为officeap1，选择AP 1的型号为WA2620E-AGN，并配置序列号为21023529G007C000020。AC wlan ap officeap1 model WA2620E-AGN AC-wlan-ap-officeap1 serial-id 21023529G007C000020# 进入radio2射频视图。AC-w

13、lan-ap-officeap1 radio 2# 将服务模板绑定到射频接口。AC-wlan-ap-officeap1-radio-2 service-template 1 vlan-id 300AC-wlan-ap-officeap1-radio-2 radio enable# 创建AP 2模板，名称为officeap2，选择AP 2的型号为WA2620E-AGN，并配置序列号为21023529G007C000021。AC wlan ap officeap2 model WA2620E-AGNAC-wlan-ap-officeap2 serial-id 21023529G007C000021

14、# 进入radio2射频视图。AC-wlan-ap-officeap2 radio 2# 将服务模板绑定到射频接口。AC-wlan-ap-officeap2-radio-2 service-template 1 vlan-id 300AC-wlan-ap-officeap2-radio-2 radio enableAC-wlan-ap-officeap2-radio-2 quitAC-wlan-ap-officeap2 quit(7)配置User Profile和AP组# 配置AP组，在AP组内添加允许接入的AP列表。AC wlan ap-group 1AC-ap-group1 ap offi

15、ceap1AC-ap-group1quitAC wlan ap-group 2AC-ap-group2 ap officeap2AC-ap-group2 quit# 配置基于802.1X用户的user-profile，添加允许接入的AP组，并使能User Profile功能。AC user-profile group1AC-user-profile-group1 wlan permit-ap-group 1AC-user-profile-group1 quitAC user-profile group1 enableAC user-profile group2AC-user-profile-g

16、roup2 wlan permit-ap-group 2AC-user-profile-group2 quitAC user-profile group2 enable3.4.2 Switch的配置# 创建VLAN 100和VLAN 300，其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量，VLAN 300为无线客户端接入的VLAN。 system-viewSwitch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quit# 配置Switch和AC相连的GigabitEthernet1/0/1接口链路类型为Tr

17、unk，当前Trunk口的PVID为100，允许VLAN 100通过。Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 port trunk permit vlan 100Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit# 配置Switch与AP 1相连的GigabitEthernet1/0/2接口属

18、性为Access，当前Access口允许VLAN 100通过，并使能PoE功能。Switch interface gigabitethernet 1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitEthernet1/0/2 port access vlan 100Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit# 配置Switch与AP 2相连的GigabitEthernet1/0/3接口属性为Access，当前Acc

19、ess口允许VLAN 100通过，并使能PoE功能。Switch interface gigabitethernet 1/0/3Switch-GigabitEthernet1/0/3 port link-type accessSwitch-GigabitEthernet1/0/3 port access vlan 100Switch-GigabitEthernet1/0/3 poe enableSwitch-GigabitEthernet1/0/3 quit# 配置Switch与RADIUS server相连的GigabitEthernet1/0/4接口属性为Access，当前Access口允

20、许VLAN 100通过。Switch interface gigabitethernet 1/0/4Switch-GigabitEthernet1/0/4 port link-type accessSwitch-GigabitEthernet1/0/4 port access vlan 100Switch-GigabitEthernet1/0/4 quit# 配置Switch与DHCP server相连的GigabitEthernet1/0/5接口属性为Access，当前Access口允许VLAN 100通过。Switch interface gigabitethernet 1/0/5Swit

21、ch-GigabitEthernet1/0/5 port link-type accessSwitch-GigabitEthernet1/0/5 port access vlan 100Switch-GigabitEthernet1/0/5 quit3.4.3 RADIUS服务器的配置下面以iMC为例（使用iMC版本为：iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)），说明RADIUS服务器的基本配置。# 增加接入设备。登录进入iMC管理平台，选择“用户”页签，单击导航树中的接入策略管理/接入设备管理/接入设备配置菜单项，进入“接入设备配置”页面，在该页面中单击按

22、钮，进入“增加接入设备”页面。设置与AC交互报文时使用的认证、计费共享密钥为“123456”；设置认证及计费的端口号分别为“1812”和“1813”；选择业务类型为“LAN接入业务”；选择接入设备类型为“H3C”；选择或手工增加接入设备，添加IP地址为150.10.1.1的接入设备；其它参数采用缺省值，并单击按钮完成操作。图1 增加接入设备# 增加接入策略。选择“用户”页签，单击导航树中的用户/接入策略管理/接入策略管理菜单项，进入接入策略管理页面，在该页面中单击按钮，进入“增加接入策略”页面。输入服务名“dot1x auth”；认证证书类型“EAP-PEAP”认证证书子类型“MS-CHAPV

23、2认证”下发User Profile“group1”其它参数采用缺省值，并单击按钮完成操作。图2 增加接入策略# 增加接入服务。选择“用户”页签，单击导航树中的用户/接入策略管理/接入服务管理菜单项，进入服务列表页面，在该页面中单击按钮，进入“增加接入服务”页面。输入服务名“dot1x auth”；缺省接入策略“dot1x auth”其它参数采用缺省值，并单击按钮完成操作。图3 增加接入服务# 增加接入用户。选择“用户”页签，单击导航树中的接入用户管理/接入用户菜单项，进入接入用户列表页面，在该页面中单击按钮，进入“增加用户”页面。增加两个接入用户，账号名分别是office1_client、o

24、ffice2_client，其余配置均相同。下面以增加用户office1_client为例。在增加接入用户页面，单击按钮弹出增加用户窗口；输入用户姓名“office”；输入证件号码“12345”；单击“检查是否可用”按钮；如用户姓名和证件号码可用，单击按钮完成操作。图4 增加用户输入账号名“office1_client”；输入密码“admin”；在接入服务处选择“dot1x auth”；其他配置保持默认；单击按钮完成操作。图5 增加接入用户3.5 验证配置(1)Client通过认证后，可以成功关联AP，可以通过display connection命令查看用户连接的相关信息。 display c

25、onnectionIndex=276 ,Username=office1_clientofficeMAC=00-24-01-30-69-1AIP=N/AIPv6=N/AIndex=277 ,Username=office2_clientofficeMAC=00-1E-E5-9D-D6-D7IP=N/AIPv6=N/A Total 2 connection(s) matched.(2)根据上面信息显示的索引号，可以通过display connection ucibindex命令查看用户连接的详细信息。 display connection ucibindex 276Index=276 , Use

26、rname=office1_clientofficeMAC=00-24-01-30-69-1AIP=N/AIPv6=N/AAccess=8021X ,AuthMethod=EAPPort Type=Wireless-802.11,Port Name=WLAN-DBSS1:3Initial VLAN=1, Authorization VLAN=300ACL Group=DisableUser Profile=group1CAR=DisablePriority=DisableAccounting Username=office1_clientStart=2014-01-09 16:59:36 ,C

27、urrent=2014-01-09 17:01:30 ,Online=00h01m53s Total 1 connection matched. display connection ucibindex 277Index=277 , Username=office2_clientofficeMAC=00-1E-E5-9D-D6-D7IP=N/AIPv6=N/AAccess=8021X ,AuthMethod=EAPPort Type=Wireless-802.11,Port Name=WLAN-DBSS1:2Initial VLAN=1, Authorization VLAN=300ACL G

28、roup=DisableUser Profile=group2CAR=DisablePriority=DisableAccounting Username=office2_clientStart=2014-01-09 16:59:50 ,Current=2014-01-09 17:01:38 ,Online=00h01m49s Total 1 connection matched.(3)通过display wlan client verbose命令查看所有无线客户端的详细信息，可以看到用户office1_client用户只能通过名为officeap1的AP 1接入无线网络，用户office2_

29、client只能通过名为officeap2的AP 2接入无线网络。 display wlan client verbose Total Number of Clients : 2 Client Information- MAC Address : 001e-e59d-d6d7 User Name : office2_client AID : 1 AP Name : officeap2 Radio Id : 2 SSID : service BSSID : 80f6-2e02-2d30 Port : WLAN-DBSS1:2 VLAN : 300 State : Running Power Sa

30、ve Mode : Active Wireless Mode : 11gn Channel Band-width : 20MHz SM Power Save Enable : Disabled Short GI for 20MHz : Not Supported Short GI for 40MHz : Not Supported Support MCS Set : 0,1,2,3,4,5,6,7,8,9, 10,11,12,13,14,15 BLOCK ACK-TID 0 : IN BLOCK ACK-TID 7 : OUT QoS Mode : WMM Listen Interval (Beacon In