MA5200和 CAMS配合8021X认证指导书.docx

1、MA5200和 CAMS配合8021X认证指导书 目 录1 CAMS 概述 22 MA5200F概述 23 802.1X 认证 33.1 802.1X认证流程 33.2 试验组网 43.3 设备配置 53.3.1 创建DOT1X模板 53.3.2 配置地址池 53.3.3 配置认证方案 63.3.4 配置计费方案 63.3.5 配置Radius服务器 63.3.6 配置域 73.3.7 域内绑定DOT1X模板 73.3.8 配置上行接口 83.3.9 配置下行端口 83.3.10 配置默认路由 93.3.11 配置显示 93.4 CAMS Server配置 143.5 登陆测试 161 CAM

2、S 概述随着网络的发展，网络应用日益广泛， VOD (Video On Demand)、VPN (Virtual Private Network)和数字电视会议等新业务的不断推出，对原有的业务管理系统提出了新的挑战。为了适应这种需求，华为公司推出了综合访问管理服务器(Comprehensive Access Management Server, CAMS)，配合设备组网，提供全网解决方案。CAMS是一种低成本、可扩展的综合访问管理服务器，能支持不同网络设备的认证、授权、计费及运营管理需求。作为网络中的业务管理核心，CAMS支持与MA5200F、路由器、LAN接入设备等网络产品共同组网，完成终端

3、用户的认证、授权、计费和权限管理，实现网络的可管理、可运营，保证网络和用户信息的安全。2 MA5200F概述SmartAX MA5200F 宽带智能接入服务器（以下简称MA5200F）是华为技术有限公司（以下简称华为公司）针对以太网接入技术固有的用户管理能力弱、业务控制能力差、网络安全无法保障等弱点而推出的新一代IP（Internet Protocol）接入服务器产品。MA5200F适用于以太网、xDSL（x Digital Subscriber Line）、HFC（Hybrid Fiber Coaxial）、WLAN（Wireless Local Area Network）等接入类型的网络，

4、提供用户管理、计费控制、地址管理、业务控制、安全管理等功能。MA5200F具备电信级的可靠性，可以广泛的应用于运营商宽带城域网、企业网、校园网、政务网以及智能化酒店等运营或非运营网络，满足不同网络对用户管理和高安全性的要求。MA5200F是一款功能强大的宽带智能接入服务器，同时也是一款高性能的路由器。MA5200F采用高速交换平台技术，其大容量的交换网、模块化的设计能够满足运营商对于接入设备高可靠性、多业务、可扩展性和多种接口的需求。MA5200F支持PPPoE认证、Web认证、绑定认证、快速认证、802.1X认证、不认证等多种用户认证方式。对应不同的用户可以选择不同的认证方式。MA5200F

5、与CAMS系统配合，提供灵活多样的用户认证、管理和计费功能，实现了华为-3com提出的可管理、可运营网络解决方案。3 802.1X 认证3.1.1 802.1X认证流程用户PC通过EAPoL协议把用户名和口令送到MA5200F上，EAP在MA5200F上终结，随后，MA5200F把用户名和口令通过Radius协议送到CAMS来认证。详细认证流程见下面的流程图：3.1.2 试验组网3.1.3 设备配置3.1.3.1 创建DOT1X模板在进行802.1X业务配置的时候引入了DOT1X模板的概念，将关于802.1X的特性配置统一到了这一个模板之下来进行（包括：用户协商的超时时间间隔和协商报文的重发次

6、数；用户在上线后是否进行二层握手以及握手的时间间隔和握手超时次数；用户上线后是否进行重认证以及重认证的时间间隔等等）。之后只需要在相应的域里面去引用该模板就可以了。利用以下的命令来创建一个802.1X模板：MA5200Fdot1x-template 1这里就创建了一个编号为1的802.1X模板，在这个模板里面可以配置关于802.1X的一些协商和认证参数，这里我们采用默认的设置就可以了。3.1.3.2 配置地址池802.1X认证可以使用用户静态配置IP地址，但是一般都是用动态地址。(1) 创建一个名为huawei的地址池：MA5200Fip pool huawei local(2) 配置地址池的

7、网关以及掩码：MA5200F-ip-pool-huaweigateway 34.1.1.1 255.255.255.0 (3) 配置地址池的地址段：MA5200F-ip-pool-huaweisection 0 34.1.1.2 34.1.1.100 如果MA5200F下面包含多个VLAN，可以设置多个IP Pool（MA5200F最多可以设置8个IP Pool）。注意：如果采用的是外置的地址池的话就按照下面的内容进行配置：MA5200R007版本在采用外置地址池的情况下也需要在本地配置此地址池，所不同的在建立地址池的时候需要将地址池的属性设置为remote，而且地址池中只需要指定gatewa

8、y（这里的主要作用就是生成一条用户网关的路由），而不需要配置地址段section。同时还需要建立一个DHCP SERVER组，在这个组里面指定外置DHCP SERVER的地址（注意，这里的DHCP SERVER的ip地址并不是地址池中的gateway）（1） 建立外置一个名为remotedhcp的DHCP SERVER组MA5200Fdhcp-server group remotedhcp（2） 设置此DHCP SERVER组：这里主要是指定此DHCP SERVER组所指向的DHCP SERVER的IP地址。MA5200F-dhcp-server-group-remotedhcpdhcp-se

9、rver 192.168.1.3 /CAMS 也提供DHCP组件（3） 创建一个远端地址池：MA5200Fip pool huaweiremote remote（4） 指定地址池的gateway以及绑定DHCP SERVER组：MA5200F-ip-pool-huaweiremotegateway 34.1.1.1 255.255.255.0MA5200F-ip-pool-huaweiremotedhcp-server group remotedhcp3.1.3.3 配置认证方案（1）进入AAA视图MA5200Faaa（2）添加一个新的认证方案Auth1MA5200F-aaaauthentic

10、ation-scheme Auth1这样接下来就进入了相应的认证方案视图。（3）设置认证方案：我们已经创建了一个新的认证方案Auth1，接下来我们将定义这个认证方案的具体内容。MA5200F-aaa-authen-auth1authentication-mode radius3.1.3.4 配置计费方案(1) 进入AAA视图：MA5200Faaa(2) 添加一个新的计费方案Acct1：MA5200F-aaaaccounting-scheme Acct1(3) 设置计费方案：MA5200F-aaa-accounting-acct1accounting-mode radius3.1.3.5 配置R

11、adius服务器我们既然采用了radius的认证和计费方式，那么我们就需要在5200上面配置有关radius服务器的参数，这些参数包括了：服务器的地址、计费和认证端口、密钥等等。(1) 进入radius服务器配置视图：MA5200Fradius-server group radius1其中的“radius1”是5200上面radius配置项的名字，长度不能超过32个字符。(2) 配置主备用radius服务地址和端口号：配置主用radius服务器地址和端口号MA5200F-radius-radius1radius-server authentication 192.168.1.3 1812(3)

12、 配置主备用计费服务地址和端口号：配置主用计费服务器地址和端口号MA5200F-radius-radius1radius-server accounting 192.168.1.3 1813(4) 配置共享密钥：共享密钥是5200和radius之间进行报文加密交互的重要参数，两端一定要设置的一致，因此在设置共享密钥之前需要和radius方面进行协商，这里我们假定共享密钥是cams。MA5200F-radius-radius1radius-server key cams(5) 配置服务类型：MA5200F-radius-radius1radius-server type standard(5)

13、配置MA不送domain给radius：MA5200F-radius-radius1undo radius-server user-name domain-included3.1.3.6 配置域(1) 进入AAA视图：MA5200Faaa(2) 新建一个名为isp的域：MA5200F-aaadomain isp接下来便进入了相应的域的配置视图。(3) 指定该域的认证方案和计费方案：MA5200F-aaa-domain-ispauthentication-scheme Auth1MA5200F-aaa-domain-ispaccounting-scheme Acct1这里我们将该域的认证方案和计

14、费方案设置为了先前定义好的两个方案Auth1和Acct1，分别是radius认证和radius计费。(4) 指定该域所使用的raidus服务器MA5200F-aaa-domain-ispradius-server group radius1这里我们就将先前配置的radius服务器radius1指定为了此isp域所使用的radius服务器。这样属于isp域的用户都将到这样的一个radius服务器上进行认证(5) 接下来我们需要指定域下面使用的地址池：MA5200F-aaa-domain-ispip-pool Huawei(6) 配置域下面的用户的802.1X报文的终结方式：MA5200F-aaa

15、-domain-ispeap-end chap这样就指定了该域下对用户的802.1X报文采用终结方式和chap认证。这样的配置就使得用户的802.1X认证报文在5200上面进行了终结，而不是透传到远端的认证服务器上面去3.1.3.7 域内绑定DOT1X模板我们需要在域内绑定事先配置好的DOT1X模板，这样该域的用户就使用了模板里所配置的DOT1X属性：MA5200F-aaa-domain-ispdot1x-template 13.1.3.8 配置上行接口配置上行接口的目的是为了和上层的路由器或者交换机相连接，在配置上行接口的时候我们首先要将需要配置的接口指定为“非管理类型”。(1) 进入端口V

16、LAN的配置视图：MA5200Fportvlan ethernet 2 vlan 0 1上行端口配置的vlan只能有一个，类比三层交换机的上行internet vlan 接口也是一个VLAN。(2) 设置端口VLAN的接入类型为非管理类型：MA5200F-ethernet-2-vlan0-0access-type interface在access-type后面有多个选项，其中的interface是指的非管理类型的端口，用于连接上层交换机。(3) 创建VLAN子接口：MA5200Finterface Ethernet 2.0 注意：eth 2.0 表示从Port 2 上行的VLAN没有tag，此

17、处VLAN与Port 2 上的VLAN必须一致。eth 2.0连接路由器的Eth或PC；eth 2.1-4094用来连接三层交换机。这里需要说明一下，创建上行接口的步骤是先将一个端口上的某一个VLAN指定为“非管理类型”，然后再在这个端口上创建此VLAN的子接口。这里多了一个概念就是“VLAN子接口”。这样，一个物理端口上就可以创建多个逻辑的VLAN子接口，每个子接口可以配置不同的ip地址。这样报文在上行的时候就可以根据需要走不同的ip上行，并且带上相应的VLAN ID，三层交换机（或者二层交换机）就可以根据这样的VLAN ID对用户的报文进行不同路径的转发了。增强了转发的灵活性。如果这里的V

18、LAN子接口设置为0的话就是不带 VLAN ID上去。(4) 在 VLAN子接口下配置ip地址：MA5200F-Ethernet2.0ip address 192.168.1.1 255.255.255.03.1.3.9 配置下行端口配置下行端口的目的是指定某个端口下的某些指定的VLAN用户认证前后所使用的域，所采用的认证方法。(1) 进入端口VLAN的配置视图：MA5200Fportvlan ethernet 6 vlan 1 10这里的含义是进入了6号以太网端口的从1开始总共10个VLAN ID的配置视图。(2) 设置该端口VLAN为二层普通用户接入类型：MA5200F-ethernet-

19、6-vlan1-10access-type layer2-subscriber在access-type后面有多个选项，其中的layer-subscriber是指的普通的二层认证类型的端口，一般用于接入VLAN用户。(3) 配置用户所使用的域： MA5200F-ethernet-6-vlan1-10default-domain authentication isp指定VLAN1到VLAN10的用户认证时缺省使用isp域，这样可以不用输入域名就可以认证通过。这里只配置了认证时的域为isp，对于认证前的域系统在默认的情况下使用default0这个域，所以可以不用配置。 (4) 配置端口的认证方法：M

20、A5200F-ethernet-6-vlan1-10authentication-method dot1x /指定认证方式这里和前面的绑定认证所不同的是将端口的认证方法指定为了802.1X，这样从6号以太网端口上来的VLAN ID为1-10的用户就是采用的802.1X认证的方式。3.1.3.10 配置默认路由对于一般条件的接入业务，5200上面只需要配置一条指向上行路由器端口的默认路由就可以了：MA5200Fip route-static 0.0.0.0 0.0.0.0 192.168.1.3 3.1.3.11 配置显示MA5200Fdis cur# version 7120 sysname

21、MA5200F# system language-mode english#radius-server group radius1 radius-server key cams radius-server authentication 192.168.1.3 1812 radius-server accounting 192.168.1.3 1813 undo radius-server user-name domain-includedradius-server group login# undo trap-statistics 70f2000 undo trap-statistics 70

22、f2001 undo trap-statistics 70f2002 undo trap-statistics 70f2003 undo trap-statistics 70f2004 undo trap-statistics 70f2005 undo trap-statistics 70f2008 undo trap-statistics 70f2009 undo trap-statistics 70f200c undo trap-statistics 70f200d undo trap-statistics 70f200e undo trap-statistics 70f200f undo

23、 trap-statistics 70f2017 undo trap-statistics 70f2018 undo trap-statistics 70f201c undo trap-statistics 70f201d undo trap-statistics 7032000 undo trap-statistics 7032001 undo trap-statistics 7032002#interface Ethernet1#interface Ethernet2#interface Ethernet2.0 ip address 192.168.1.1 255.255.255.0#in

24、terface Ethernet3#interface Ethernet4#interface Ethernet5#interface Ethernet6#interface Ethernet7#interface Ethernet8#interface Ethernet9#interface Ethernet10#interface Ethernet11#interface Ethernet12#interface Ethernet13#interface Ethernet14#interface Ethernet15#interface Ethernet16#interface Ether

25、net17#interface Ethernet18#interface Ethernet19#interface Ethernet20#interface Ethernet21#interface Ethernet22#interface Ethernet23#interface Ethernet24#interface NULL0#interface LoopBack0#interface Nm-Ethernet0#ip pool huawei local gateway 34.1.1.1 255.255.255.0 section 0 34.1.1.2 34.1.1.100#dot1x-

26、template 1#aaaauthentication-scheme auth1accounting-scheme acct1domain isp accounting-scheme acct1 radius-server group radius1 eap-end chap ip-pool huawei dot1x-template 1#local-aaa-server# ip route-static 0.0.0.0 0.0.0.0 192.168.1.3#user-interface con 0user-interface vty 0 4#portvlan ethernet 2 vla

27、n 0 1 access-type interfaceportvlan ethernet 6 vlan 1 10 access-type layer2-subscriberdefault-domain authentication isp authentication-method dot1x#returnMA5200FQuidwaydis cur# sysname Quidway#radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1

28、1646 user-name-format without-domaindomain system radius-scheme system access-limit disable state active idle-cut disable domain default enable system# local-server nas-ip 127.0.0.1 key huawei#interface Aux0/0#vlan 1#vlan 2#interface Ethernet0/1 port link-type trunk port trunk permit vlan all#interf

29、ace Ethernet0/2#interface Ethernet0/3#interface Ethernet0/4#interface Ethernet0/5#interface Ethernet0/6#interface Ethernet0/7#interface Ethernet0/8#interface Ethernet0/9#interface Ethernet0/10#interface Ethernet0/11#interface Ethernet0/12#interface Ethernet0/13#interface Ethernet0/14#interface Ether

30、net0/15#interface Ethernet0/16#interface Ethernet0/17 port access vlan 2#interface Ethernet0/18 port access vlan 2#interface Ethernet0/19#interface Ethernet0/20#interface Ethernet0/21#interface Ethernet0/22#interface Ethernet0/23#interface Ethernet0/24#interface NULL0#user-interface aux 0user-interface vty 0 4#returnQuidway3.1.4 CAMS Server配置CAMS 系统由平台和多个业务组件构成。如果没有安装任何业务组件，则 CAMS 平台本身无法进行任何与业务相关的管理操作。因此，安装 CAMS 平台后，必须继续安装相应