ImageVerifierCode 换一换
格式:DOCX , 页数:23 ,大小:24.71KB ,
资源ID:4835638      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/4835638.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(028021X热备典型配置举例.docx)为本站会员(b****4)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

028021X热备典型配置举例.docx

1、028021X热备典型配置举例802.1X热备典型配置举例Copyright 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。1 简介本文档介绍无线控制器802.1X热备典型配置举例。2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请

2、确认现有配置和以下举例中的配置不冲突。本文档假设您已了解802.1X和双机热备的相关功能。3 配置举例3.1 组网需求如图1所示,AC 1和AC 2均支持双机热备,现要求AC 1和AC 2在运行双机热备情况下支持802.1X客户端的信息备份,主备AC切换的过程中,客户端不会重新上下线,可以继续正常通信。具体要求如下: 采用加密类型的服务模板,加密套件采用AES-CCMP。 AC 1正常工作的情况下,Client通过AC 1进行802.1X认证接入。AC 1发生故障的情况下,Client通过AC 2接入。 802.1X的认证方式采用EAP中继方式。 采用RADIUS服务器作为认证服务器,RADI

3、US服务器上注册的接入设备NAS-IP是133.1.1.3/16。 防止用户通过恶意假冒其它域账号从本端口接入网络。 配置VRRP来提高链路的可靠性,保证业务流量在切换过程中不会中断。 将VLAN 10作为备份VLAN,用于双机热备。图1 无线控制器802.1X热备典型配置组网图3.2 配置思路 由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此为实现802.1X认证,需要在AC上全局配置端口安全; 为实现802.1X认证状态的备份,需要配置双机热备功能; 在无线环境中,为了保证AC在切换过程中,无线服务不中断,同时使客户端的信息在AC间同步,需要配置双AC备份及IA

4、CTP隧道。 在双AC备份配置中,为了让AP优先连接到AC 1,需要为AC 1配置较高的优先级。 在VRRP配置中,为了让AC 1成为Master,需要为AC 1配置较高的优先级。 由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。 对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。 为了防止用户通过恶意假

5、冒其它域账号从本端口接入网络,配置端口的强制认证域。3.3 配置注意事项 主备AC热备相关配置必须保持一致; 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。3.4 配置步骤3.4.1 AC 1的配置(1) 配置AC 1的接口# 创建VLAN 10作为双机热备的VLAN。 system-viewAC1 vlan 10AC1-vlan10 quit# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。AC1 vlan 100AC1-vlan100 quitAC1 interface

6、vlan-interface 100AC1-Vlan-interface100 ip address 133.4.1.1 16AC1-Vlan-interface100 quit# 创建VLAN 200作为ESS接口的缺省VLAN。AC1 vlan 200AC1-vlan200 quit# 创建VLAN 300作为Client接入的业务VLAN。AC1 vlan 300AC1-vlan300 quit# 创建VLAN 400作为RADIUS server所在VLAN,并配置其IP地址。AC1 vlan 400AC1-vlan400 quitAC1 interface vlan-interfac

7、e 400AC1-Vlan-interface400 ip address 133.1.1.1 16AC1-Vlan-interface400 quit# 配置AC 1与Switch连接的端口为Trunk模式,允许VLAN 10、VLAN 200、VLAN 300、VLAN 400通过。AC1 interface gigabitethernet 1/0/1AC1-GigabitEthernet1/0/1 port link-type trunkAC1-GigabitEthernet1/0/1 port trunk permit vlan 10 200 300 400AC1-GigabitEth

8、ernet1/0/1 quit(2) 配置无线接口# 创建WLAN-ESS1接口。AC1 interface wlan-ess 1# 配置WLAN-ESS1接口类型为Hybrid类型。AC1-WLAN-ESS1 port link-type hybrid# 配置当前Hybrid端口的PVID为VLAN 200,禁止VLAN 1通过并允许VLAN 200不带tag通过。AC1-WLAN-ESS1 undo port hybrid vlan 1AC1-WLAN-ESS1 port hybrid vlan 200 untaggedAC1-WLAN-ESS1 port hybrid pvid vlan

9、 200# 开启MAC-VLAN功能。AC1-WLAN-ESS1 mac-vlan enableAC1-WLAN-ESS1 quit(3) 配置无线服务# 创建crypto类型的服务模板1。AC1 wlan service-template 1 crypto# 将WLAN-ESS1接口绑定到服务模板1。AC1-wlan-st-1 bind wlan-ess 1# 设置当前服务模板的SSID为service。AC1-wlan-st-1 ssid service# 配置加密套件为CCMP。AC1-wlan-st-1 cipher-suite ccmp# 配置安全信息元素为RSN。AC1-wlan-

10、st-1 security-ie rsn# 启用无线服务。AC1-wlan-st-1 service-template enableAC1-wlan-st-1 quit(4) 配置射频接口并绑定服务模板# 创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN,并配置其序列号。AC1 wlan ap officeap model WA2620E-AGNAC1-wlan-ap-officeap serial-id 21023529G007C000020# 指定该AP在AC 1上优先级为7。AC1-wlan-ap-officeap priority level 7# 进入A

11、P的radio 2视图。AC1-wlan-ap-officeap radio 2# 将服务模板1绑定到radio 2口并使能radio 2。AC1-wlan-ap-officeap-radio-2 service-template 1 vlan-id 300AC1-wlan-ap-officeap-radio-2 radio enableAC1-wlan-ap-officeap-radio-2 return(5) 配置802.1X# 全局开启端口安全。AC1 port-security enable# 选择802.1X认证方式为EAP中继方式。AC1 dot1x authentication-

12、method eap# 进入WLAN-ESS1接口视图。AC1 interface wlan-ess 1# 配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。AC1-WLAN-ESS1 port-security port-mode userlogin-secure-ext# 使能WLAN-ESS1上端口安全的双机热备功能。AC1-WLAN-ESS1 port-security synchronization enable# 使能11key类型的密钥协商功能。AC1-WLAN-ESS1 port-security tx-key-type 11key# 指定80

13、2.1X用户使用的强制认证域office,以防止恶意用户通过假冒其它域账号从本端口接入网络。AC1-WLAN-ESS1 dot1x mandatory-domain office# 关闭802.1X的组播触发功能,以节省无线的通信带宽。AC1-WLAN-ESS1 undo dot1x multicast-trigger# 关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下线。AC1-WLAN-ESS1 undo dot1x handshakeAC1-WLAN-ESS1 quit(6) 配置RADIUS认证策略和认证域# 创建名字为office的RADIUS方案并进入该方案视图。AC

14、1 radius scheme office# 配置RADIUS方案的主认证服务器及其通信密钥。AC1-radius-office primary authentication 133.1.0.50AC1-radius-office key authentication key# 配置AC 1发送RADIUS报文使用的nas-ip地址为133.1.1.3。AC1-radius-office nas-ip 133.1.1.3AC1-radius-office quit# 创建ISP域office,并进入其视图。AC1 domain office# 为lan-access用户配置计费为none,不

15、计费。AC1-isp-office accounting lan-access none# 为lan-access用户配置认证方案为RADIUS方案,方案名为office。AC1-isp-office authentication lan-access radius-scheme office# 为lan-access用户配置授权方案为RADIUS方案,方案名为office。AC1-isp-office authorization lan-access radius-scheme officeAC1-isp-office quit(7) 配置VRRP# 在VLAN 400接口下创建VRRP备份

16、组1,并配置备份组1的虚拟IP地址为133.1.1.3。AC1 interface vlan-interface 400AC1-Vlan-interface400 vrrp vrid 1 virtual-ip 133.1.1.3# 配置AC 1在备份组1中的优先级为200。AC1-Vlan-interface400 vrrp vrid 1 priority 200AC1-Vlan-interface400 quit(8) 配置双机热备# 配置备份VLAN为VLAN 10。AC1 dhbk vlan 10# 使能双机热备功能,且支持对称路径。AC1 dhbk enable backup-type

17、 symmetric-path# 配置双机热备模式下的设备ID为1。AC1 nas device-id 1(9) 配置双AC备份# 配置备份AC(AC 2)的IP地址为133.4.1.2。AC1 wlan backup-ac ip 133.4.1.2# 开启AC间热备份功能。AC1 hot-backup enable# 配置热备AC间连接心跳周期为2000毫秒(缺省情况下,心跳周期为2000毫秒)。AC1 hot-backup hellointerval 2000# 配置热备AC间数据端口的VLAN ID为100。AC1 hot-backup vlan 100# 配置客户端信息备份功能。AC1

18、 wlan backup-client enable(10) 配置IACTP隧道# 配置漫游隧道,漫游组名称为roam。AC1 wlan mobility-group roam# 配置IACTP隧道的源地址为133.4.1.1,成员地址为133.4.1.2。AC1-wlan-mg-roam source ip 133.4.1.1AC1-wlan-mg-roam member ip 133.4.1.2# 开启IACTP隧道。AC1-wlan-mg-roam mobility-group enableAC1-wlan-mg-roam quit3.4.2 AC 2的配置(1) 配置AC 2的接口#

19、创建VLAN 10作为双机热备的VLAN。 system-viewAC2 vlan 10AC2-vlan10 quit# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。AC2 vlan 100AC2-vlan100 quitAC2 interface vlan-interface 100AC2-Vlan-interface100 ip address 133.4.1.2 16AC2-Vlan-interface100 quit# 创建VLAN 200作为ESS接口的缺省VLAN。AC2 vlan 200AC2-vlan2

20、00 quit# 创建VLAN 300作为Client接入的业务VLAN。AC2 vlan 300AC2-vlan300 quit# 创建VLAN 400作为RADIUS server所在VLAN,并配置其IP地址。AC2 vlan 400AC2-vlan400 quitAC2 interface vlan-interface 400AC2-Vlan-interface400 ip address 133.1.1.2 16AC2-Vlan-interface400 quit# 配置AC 2与Switch连接的端口为Trunk模式,允许VLAN 10、VLAN 200、VLAN 300、VLAN

21、 400通过。AC2 interface gigabitethernet 1/0/1AC2-GigabitEthernet1/0/1 port link-type trunkAC2-GigabitEthernet1/0/1 port trunk permit vlan 10 200 300 400AC2-GigabitEthernet1/0/1 quit(2) 配置无线接口# 创建WLAN-ESS1接口。AC2 interface wlan-ess 1# 配置WLAN-ESS1接口类型为Hybrid类型。AC2-WLAN-ESS1 port link-type hybrid# 配置当前Hybr

22、id端口的PVID为VLAN 200,禁止VLAN 1通过并允许VLAN 200不带tag通过。AC2-WLAN-ESS1 undo port hybrid vlan 1AC2-WLAN-ESS1 port hybrid vlan 200 untaggedAC2-WLAN-ESS1 port hybrid pvid vlan 200# 开启MAC-VLAN功能。AC2-WLAN-ESS1 mac-vlan enableAC2-WLAN-ESS1 quit(3) 配置无线服务# 创建crypto类型的服务模板1。AC2 wlan service-template 1 crypto# 将WLAN-

23、ESS1接口绑定到服务模板1。AC2-wlan-st-1 bind wlan-ess 1# 设置当前服务模板的SSID为service。AC2-wlan-st-1 ssid service# 配置加密套件为AES-CCMP。AC2-wlan-st-1 cipher-suite ccmp# 配置安全信息元素为RSN。AC2-wlan-st-1 security-ie rsn# 启用无线服务。AC2-wlan-st-1 service-template enableAC2-wlan-st-1 quit(4) 配置射频接口并绑定服务模板# 创建AP的管理模板,名称为officeap,型号名称选择WA

24、2620E-AGN,并配置其序列号。AC2 wlan ap officeap model WA2620E-AGNAC2-wlan-ap-officeap serial-id 21023529G007C000020# 进入AP的radio 2视图。AC2-wlan-ap-officeap radio 2# 将在AC 2上配置的服务模板1与射频2进行关联,Client通过服务模板1接入VLAN 300。AC2-wlan-ap-officeap-radio-2 service-template 1 vlan-id 300# 使能AP的radio 2。AC2-wlan-ap-officeap-radi

25、o-2 radio enableAC2-wlan-ap-officeap-radio-2 return(5) 配置802.1X# 全局开启端口安全。AC2 port-security enable# 选择802.1X认证方式为EAP中继方式。AC2 dot1x authentication-method eap# 配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。AC2-WLAN-ESS1 port-security port-mode userlogin-secure-ext# 使能WLAN-ESS1端口安全的双机热备功能。AC2-WLAN-ESS1 por

26、t-security synchronization enable# 使能11key类型的密钥协商功能。AC2-WLAN-ESS1 port-security tx-key-type 11key# 指定802.1X用户使用的强制认证域,以防止恶意用户通过假冒其它域账号从本端口接入网络。AC2-WLAN-ESS1 dot1x mandatory-domain office# 关闭802.1X组播触发功能,以节省无线的通信带宽。AC2-WLAN-ESS1 undo dot1x multicast-trigger# 关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下线。AC2-WLAN-

27、ESS1 undo dot1x handshakeAC2-WLAN-ESS1 quit(6) 配置RADIUS认证策略和认证域# 创建名字为office的RADIUS方案并进入该方案视图。AC2 radius scheme office# 配置RADIUS方案的主认证服务器及其通信密钥。AC2-radius-office primary authentication 133.1.0.50AC2-radius-office key authentication key# 配置AC 2发送RADIUS报文使用的nas-ip地址为133.1.1.3。AC2-radius-office nas-ip

28、133.1.1.3AC2-radius-office quit# 创建ISP域office,并进入其视图。AC2 domain office# 为lan-access用户配置计费为none,不计费。AC2-isp-office accounting lan-access none# 为lan-access用户配置认证方案为RADIUS方案,方案名为office。AC2-isp-office authentication lan-access radius-scheme office# 为lan-access用户配置授权方案为RADIUS方案,方案名为office。AC2-isp-office

29、authorization lan-access radius-scheme officeAC2-isp-office quit(7) 配置VRRP# 在VLAN 400中配置VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为133.1.1.3。AC2 interface vlan-interface 400AC2-Vlan-interface400 vrrp vrid 1 virtual-ip 133.1.1.3AC2-Vlan-interface400 quit(8) 配置双机热备# 配置备份VLAN为VLAN 10。AC2 dhbk vlan 10# 使能双机热备功能,且支持对称路

30、径。AC2 dhbk enable backup-type symmetric-path# 配置双机热备模式下的设备ID为2。AC2 nas device-id 2(9) 配置双AC备份# 配置备份AC(AC 1)的IP地址为133.4.1.1。AC2 wlan backup-ac ip 133.4.1.1# 开启AC间热备份功能。AC2 hot-backup enable# 配置热备AC间连接心跳周期为2000毫秒(缺省情况下,心跳周期为2000毫秒)。AC2 hot-backup hellointerval 2000# 配置热备AC间数据端口的VLAN ID为100。AC2 hot-backup vlan 100# 配置客户端信息备份功能。AC2 wlan backup-client enable(10) 配置IACTP隧道

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1