048021X与LDAP组合认证典型配置举例.docx

1、048021X与LDAP组合认证典型配置举例802.1X与LDAP组合认证典型配置举例Copyright 2014 杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。1 简介本文档介绍在无线控制器上配置本地802.1X认证，通过LDAP协议将AC设备解析出的用户名和密码传到LDAP服务器上对无线用户进行认证的典型配置举例。2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置

2、均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解AAA和802.1X特性。3 配置举例3.1 组网需求如图1所示，Client和AP通过DHCP服务器获得IP地址，要求：在AC上配置EAP中继方式的802.1X认证，以控制Client对网络资源的访问。通过LDAP服务器对Client进行身份信息的存储和验证。配置WLAN-ESS接口使能密钥协商功能。对AC和Client之间的数据传输进行加密，加密套件采用AES-CCMP。 EAP认证方式采用TLS和PEAP-

3、GTC，优先使用TLS。图1 802.1X与LDAP组合认证组网图3.2 配置思路由于网络中部署了LDAP服务器对Client进行身份认证，因此需要在AC上配置本地EAP服务器来协助完成EAP认证。为了优先使用TLS的EAP认证方式，在配置顺序上必须先配置TLS认证方式，后配置PEAP-GTC的认证方式。由于EAP认证方式采用TLS和PEAP-GTC，所以必须配置SSL服务器端策略。由于部分802.1X客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。对于无线局域网来说，802.1X认证可以由客户端主动发起，或由无线模

4、块发现用户后自动触发，不需要通过端口定期发送802.1X组播报文的方式来触发。同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X组播触发功能。为了防止用户通过恶意假冒其它域账号从本端口接入网络，配置端口的强制认证域。3.3 配置注意事项当端口安全功能处于使能状态时，端口上的802.1X功能将不能被手动开启，且802.1X端口接入控制方式和端口接入控制模式也不能被修改，只能随端口安全模式的改变由系统更改。在端口上有用户在线的情况下，端口安全功能无法关闭。配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。由于端口安全特性

5、通过多种安全模式提供了802.1X认证的扩展和组合应用，因此在无特殊组网要求的情况下，无线环境中通常使用端口安全特性。3.4 配置步骤(1)配置AC的接口# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。 system-viewAC vlan 100 AC-vlan100 quit AC interface vlan-interface 100AC-Vlan-interface1 ip address 8.140.1.3 255.255.0.0AC-Vlan-interface1 quit# 创建VLAN 200作为ES

6、S接口的缺省VLAN。AC vlan 200AC-vlan200 quit# 创建VLAN 300作为Client接入的业务VLAN。AC vlan 300AC-vlan300 quit(2)配置无线接口# 创建WLAN-ESS0接口，并进入该视图。AC interface wlan-ess 0# 配置端口的链路类型为Hybrid。AC-WLAN-ESS0 port link-type hybrid# 配置当前Hybrid端口的PVID为200，禁止VLAN 1通过并允许VLAN 200不带tag通过。AC-WLAN-ESS1 undo port hybrid vlan 1AC-WLAN-ES

7、S0 port hybrid pvid vlan 200AC-WLAN-ESS0 port hybrid vlan 200 untagged# 在Hybrid端口上使能MAC-VLAN功能。AC-WLAN-ESS0 mac-vlan enableAC-WLAN-ESS0 quit(3)配置无线服务# 创建crypto类型的服务模板1。AC wlan service-template 1 crypto# 配置当前服务模板的SSID为service。AC-wlan-st-1 ssid service# 将WLAN-ESS0接口绑定到服务模板1。AC-wlan-st-1 bind wlan-ess

8、0# 使能AES-CCMP加密套件。AC-wlan-st-1 cipher-suite ccmpAC-wlan-st-1 security-ie rsn# 使能无线服务。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit(4)配置AP并绑定无线服务# 在AC上配置AP名称为ap1，型号名称WA2620E-AGN，并配置AP的序列号。AC wlan ap ap1 model WA2620E-AGNAC-wlan-ap-ap1 serial-id 21023529G007C000020# 进入射频2视图。AC-wlan-ap-ap1 radi

9、o 2# 将无线服务1绑定到射频2。AC-wlan-ap-ap1-radio-2 service-template 1# 使能AP的radio 2。AC-wlan-ap-ap1-radio-2 radio enableAC-wlan-ap-ap1-radio-2 quitAC-wlan-ap-ap1 quit(5)配置LDAP认证# 创建LDAP方案ldap1并进入其视图。AC ldap scheme ldap1# 配置LDAP服务器的IP地址8.1.1.22。AC-ldap-ldap1 authentication-server 8.1.1.22# 配置具有管理员权限的用户DN。AC-lda

10、p-ldap1 login-dn cn=administrator,cn=users,dc=myias,dc=com# 配置具有管理员权限的用户密码。AC-ldap-ldap1 login-password simple admin!123456# 配置查询用户的起始目录。AC-ldap-ldap1 user-parameters search-base-dn dc=myias,dc=comAC-ldap-ldap1 quit(6)配置802.1X认证# 启用端口安全。AC port-security enable# 配置802.1X认证方式为EAP中继方式。AC dot1x authenti

11、cation-method eap# 创建office域并进入其视图。AC domain ldap# 为lan-access用户配置认证方法为本地认证。AC-isp-ldap authentication lan-access local# 为lan-access用户配置授权方法为不授权AC-isp-ldap authorization lan-access none# 为lan-access用户配置计费为none，不计费。AC-isp-ldap accounting lan-access noneAC-isp-ldap quit# 进入WLAN-ESS接口视图。AC interface wl

12、an-ess 0# 配置端口的安全模式为userLogin-SecureExt。AC-WLAN-ESS0 port-security port-mode userlogin-secure-ext# 在接口WLAN-ESS0下使能11key类型的密钥协商功能。AC-WLAN-ESS0 port-security tx-key-type 11key# 关闭在线用户握手功能。AC-WLAN-ESS0 undo dot1x handshake# 关闭802.1X的组播触发功能。AC-WLAN-ESS0 undo dot1x multicast-trigger# 指定ESS口的认证域为ldap。AC-W

13、LAN-ESS0 dot1x mandatory-domain ldapAC-WLAN-ESS0 quit(7)配置SSL服务器端策略# 创建PKI实体en，通用名common。AC pki entity enAC-pki-entity-en common-name commonAC-pki-entity-en quit# 创建PKI域do，本端实体en，注册机构：CA，不启用CRL查询。AC pki domain doAC-pki-domain-do certificate request from caAC-pki-domain-do certificate request entity

14、enAC-pki-domain-do crl check disableAC-pki-domain-do quit# 先用FTP等方式把证书上传到无线控制器中，再用命令导入证书。AC pki import-certificate ca domain do pem filename root.pemAC pki import-certificate local domain do p12 filename server.pfx# 配置SSL服务器端策略eap-policy，指定使用的PKI域为do。AC ssl server-policy eap-policyAC-ssl-server-poli

15、cy-eap-policy pki-domain doAC-ssl-server-policy-eap-policy quit(8)配置本地EAP认证# 配置EAP Profile，指定认证方法为EAP-TLS和PEAP-GTC。AC eap-profile default-profileAC-eap-prof-default-profile ssl-server-policy eap-policyAC-eap-prof-default-profile method tlsAC-eap-prof-default-profile method peap-gtc# 配置使用LDAP数据库查询用户身

16、份，引用LDAP方案ldap1。AC-eap-prof-default-profile user-credentials ldap-scheme ldap1AC-eap-prof-default-profile quit# 配置本地服务器认证所使用的eap-profile为 default-profile。AC local-server authentication eap-profile default-profile# 配置无线控制器去往LDAP服务器的静态路由。AC ip route-static 8.0.0.0 255.0.0.0 8.140.1.13.5 验证配置# 当用户通过认证连

17、接到AC后，可以在AC上使用display connection查看有1个用户在线。 display connection Index=5 ,Username=clientldapMAC=00-19-5B-EC-7A-E9IP=N/AIPv6=N/A Total 1 connection(s) matched.# 在AC上使用display connection ucibindex查看用户的较详细信息。 display connection ucibindex 5Index=5 , Username=clientldapMAC=00-19-5B-EC-7A-E9IP=N/AIPv6=N/AAc

18、cess=8021X ,AuthMethod=EAPPort Type=Wireless-802.11,Port Name=WLAN-DBSS0:2Initial VLAN=300, Authorization VLAN=N/AACL Group=DisableUser Profile=N/ACAR=DisablePriority=DisableStart=2014-1-14 15:24:21 ,Current=2014-1-14 18:29:24 ,Online=03h05m03s Total 1 connection matched.# 在AC上使用display wlan client

19、verbose查看终端信息。 display wlan client verbose Total Number of Clients : 1 Client Information- MAC Address : 0019-5bec-7ae9 User Name : client AID : 1 AP Name : ap1 Radio Id : 2 SSID : service BSSID : 0023-8998-0450 Port : WLAN-DBSS0:2 VLAN : 300 State : Running Power Save Mode : Active Wireless Mode :

20、11g QoS Mode : WMM Listen Interval (Beacon Interval) : 10 RSSI : 32 Rx/Tx Rate : 54/54 Client Type : WPA2(RSN) Authentication Method : Open System AKM Method : Dot1X 4-Way Handshake State : PTKINITDONE Group Key State : IDLE Encryption Cipher : AES-CCMP Roam Status : Normal Roam Count : 0 Up Time (h

21、h:mm:ss) : 00:54:473.6 配置文件# port-security enable# dot1x authentication-method eap#vlan 100#vlan 200#vlan 300#ldap scheme ldap1 authentication-server 8.1.1.22 login-dn cn=administrator,cn=users,dc=myias,dc=com login-password cipher $c$3$5emHSGcXdOkZPDCjh5zpTV+vrAR3aNUd user-parameters search-base-dn

22、 dc=myias,dc=com#domain ldap authentication lan-access local authorization lan-access none accounting lan-access none access-limit disable state active idle-cut disable self-service-url disable#pki entity en common-name common#pki domain do certificate request from ca certificate request entity en c

23、rl check disable#wlan service-template 1 crypto ssid service bind WLAN-ESS 0 cipher-suite ccmp security-ie rsn service-template enable#ssl server-policy eap-policy pki-domain do#eap-profile default-profile ssl-server-policy eap-policy method tls method peap-gtc user-credentials ldap-scheme ldap1#int

24、erface Vlan-interface100 ip address 8.140.1.3 255.255.0.0#interface WLAN-ESS0 port link-type hybridundo port hybrid vlan 1 port hybrid vlan 200 untagged port hybrid pvid vlan 200 mac-vlan enable port-security port-mode userlogin-secure-ext port-security tx-key-type 11key undo dot1x handshake dot1x m

25、andatory-domain ldap undo dot1x multicast-trigger#wlan ap ap1 model WA2620E-AGN id 1 serial-id 21023529G007C000020 radio 1 radio 2 service-template 1 radio enable# ip route-static 8.0.0.0 255.0.0.0 8.140.1.1# local-server authentication eap-profile default-profile#4 相关资料H3C WX系列无线控制器产品 配置指导“安全配置指导”。H3C WX系列无线控制器产品 命令参考“安全命令参考”。H3C WX系列无线控制器产品 配置指导“WLAN配置指导”。H3C WX系列无线控制器产品 命令参考“WLAN命令参考”。