038021X认证典型配置举例.docx

1、038021X认证典型配置举例802.1X认证典型配置举例Copyright 2014 杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。1 简介本文档介绍无线控制器802.1X认证典型配置举例。2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请

2、确认现有配置和以下举例中的配置不冲突。本文档假设您已了解AAA、802.1X、WLAN特性。3 配置举例3.1 组网需求如图1所示组网，采用iMC作为RADIUS服务器，要求： 在AC上启用802.1X远程认证，实现对Client的接入控制。 802.1X认证方式采用EAP中继方式。 采用加密类型的服务模板，加密套件采用TKIP。图1 802.1X远程认证组网图3.2 配置思路 由于部分802.1X客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。 对于无线局域网来说，802.1X认证可以由客户端主动发起，或由无线模块

3、发现用户后自动触发，不需要通过端口定期发送802.1X组播报文的方式来触发。同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X组播触发功能。3.3 配置注意事项 由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用，因此在无特殊组网要求的情况下，无线环境中通常使用端口安全特性。 配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。3.4 配置步骤3.4.1 AC的配置(1) AC接口的配置# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWA

4、PP隧道。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 8.1.1.1 255.255.255.0AC-Vlan-interface100 quit# 创建VLAN 200，作为ESS接口的缺省VLAN。AC vlan 200AC-vlan200 quit(2) 配置接口WLAN-ESS 1# 创建WLAN-ESS1接口。AC interface wlan-ess 1# 配置WLAN-ESS1接口类型为Hybrid。AC-WLAN-ESS1

5、 port link-type hybrid# 配置当前Hybrid端口的PVID为VLAN 200，禁止VLAN 1通过并允许VLAN 200不带tag通过。AC-WLAN-ESS1 port hybrid pvid vlan 200AC-WLAN-ESS1 undo port hybrid vlan 1AC-WLAN-ESS1 port hybrid vlan 200 untagged# 开启MAC-VLAN功能。AC-WLAN-ESS1 mac-vlan enableAC-WLAN-ESS1 quit(3) 配置无线服务# 创建crypto类型的服务模板1。AC wlan service

6、-template 1 crypto# 配置当前服务模板的SSID为joe_dot1x。AC-wlan-st-1 ssid joe_dot1x# 将WLAN-ESS1接口绑定到服务模板1。AC-wlan-st-1 bind WLAN-ESS 1# 配置加密套件为TKIP。AC-wlan-st-1 cipher-suite tkip# 配置在AP发送信标和探查响应帧时携带WPA IE信息。AC-wlan-st-1 security-ie wpa# 使能服务模板。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit(4) 配置AP并绑定无线服务

7、# 创建AP模板，名称为officeap1，型号名称选择WA2620E-AGN，该AP的序列号为21023529G007C000020。AC wlan ap officeap1 model WA2620E-AGNAC-wlan-ap-officeap1 serial-id 21023529G007C000020# 进入AP的radio 2视图。AC-wlan-ap-officeap1 radio 2# 将服务模板1绑定到radio 2口并使能radio 2。AC-wlan-ap-officeap1-radio-2 service-template 1AC-wlan-ap-officeap1-r

8、adio-2 radio enableAC-wlan-ap-officeap1-radio-2 quit(5) 配置RADIUS方案# 创建RADIUS方案rad。AC radius scheme rad# 配置主认证RADIUS服务器的IP地址8.1.1.16。AC-radius-rad primary authentication 8.1.1.16# 配置主计费RADIUS服务器的IP地址8.1.1.16。AC-radius-rad primary accounting 8.1.1.16# 配置与认证RADIUS服务器交互报文时的共享密钥为expert。AC-radius-rad key

9、authentication expert# 配置与计费RADIUS服务器交互报文时的共享密钥为expert。AC-radius-rad key accounting expert# 配置RADIUS服务器的服务类型为extended。AC-radius-rad server-type extendedAC-radius-rad quit(6) 配置domain域# 创建ISP域imc。AC domain imc# 为lan-access用户配置认证方案为RADIUS方案，方案名为rad。AC-isp-imc authentication lan-access radius-scheme ra

10、d# 为lan-access用户配置授权方案为RADIUS方案，方案名为rad。AC-isp-imc authorization lan-access radius-scheme rad# 为lan-access用户配置计费方案为RADIUS方案，方案名为rad。AC-isp-imc accounting lan-access radius-scheme radAC-isp-imc quit# 配置缺省的ISP域为imc。AC domain default enable imc(7) 配置802.1X# 使能端口安全。AC port-security enable# 配置802.1X用户的认证

11、方式为EAP中继方式。AC dot1x authentication-method eap# 进入WLAN-ESS1接口视图。AC interface wlan-ess 1# 配置端口的安全模式为userLogin-SecureExt。AC-WLAN-ESS1 port-security port-mode userlogin-secure-ext# 在接口WLAN-ESS1下使能11key类型的密钥协商功能。AC-WLAN-ESS1 port-security tx-key-type 11key# 关闭802.1X组播触发功能和在线用户握手功能。AC-WLAN-ESS1 undo dot1x

12、 multicast-triggerAC-WLAN-ESS1 undo dot1x handshakeAC-WLAN-ESS1 quit3.4.2 RADIUS服务器的配置下面以iMC为例（使用iMC版本为：iMC PLAT 5.2(E0401)、iMC UAM 5.2(E0402)），说明RADIUS服务器的基本配置。# 增加接入设备。登录进入iMC管理平台，选择“业务”页签，单击导航树中的用户接入管理/接入设备管理/接入设备配置菜单项，进入接入设备配置页面，在该页面中单击按钮，进入增加接入设备页面。 设置与AC交互报文时使用的认证、计费共享密钥为“expert”； 设置认证及计费的端口号分

13、别为“1812”和“1813”； 选择业务类型为“LAN接入业务”； 选择接入设备类型为“H3C”； 选择或手工增加接入设备，添加IP地址为8.1.1.1的接入设备； 其它参数采用缺省值，并单击按钮完成操作。图1 增加接入设备# 增加服务配置。选择“业务”页签，单击导航树中的用户接入管理/服务配置管理菜单项，进入服务列表页面，在该页面中单击“增加”按钮，进入增加服务配置页面。 输入服务名“dot1x auth”； 其它参数采用缺省值，并单击按钮完成操作。图2 增加服务配置# 增加接入用户。选择“用户”页签，单击导航树中的接入用户视图/所有接入用户菜单项，进入接入用户列表页面，在该页面中单击按钮

14、，进入增加设备管理用户页面。 输入用户姓名； 输入账号名“localuser”和密码； 在接入服务处选择“dot1x auth”； 单击按钮完成操作。图3 增加接入用户3.5 验证配置# 本文以XP系统为例，右键点击桌面上网络邻居，点击“属性”。# 弹出网络连接窗口后，右键点击“无线网络连接”图标，选择“属性”。# 在弹出的对话框中，点击“无线网络配置”页签，点击按钮。# 在弹出的“无线网络属性”对话框中，添加SSID，并选择相应的加密方式、认证方式。 在网络名添加“joe_dot1x”的SSID。 在无线网络密钥处，选择网络验证WPA。 在数据加密处，选择加密类型为TKIP。 点击“验证”页

15、签，在EAP类型处，选择“受保护的EAP（PEAP）”。 点击按钮，在弹出的对话框中取消“验证服务器证书”，选择验证方法为“安全密码（EAP-MSCHAP v2） 点击按钮，取消“自动使用Windows登录名和密码（以及域，如果有的话）”。# 当用户通过认证连接到AP后，可以在AC上使用display connection查看有1个用户在线。 display connection Index=5 ,Username=testimcMAC=00-19-5B-EC-7A-E9IP=N/AIPv6=N/A Total 1 connection(s) matched.# 在AC上使用display c

16、onnection ucibindex查看用户的较详细信息。 display connection ucibindex 5Index=5 , Username=testimcMAC=00-19-5B-EC-7A-E9IP=N/AIPv6=N/AAccess=8021X ,AuthMethod=EAPPort Type=Wireless-802.11,Port Name=WLAN-DBSS0:2Initial VLAN=1, Authorization VLAN=N/AACL Group=DisableUser Profile=N/ACAR=DisablePriority=DisableStar

17、t=2014-1-14 15:24:21 ,Current=2014-1-14 18:29:24 ,Online=03h05m03s Total 1 connection matched.# 在AC上使用display wlan client verbose查看终端信息。 display wlan client verbose Total Number of Clients : 1 Client Information- MAC Address : 0019-5bec-7ae9 User Name : test AID : 1 AP Name : officeap1 Radio Id : 2

18、SSID : joe_dot1x BSSID : 0023-8998-0450 Port : WLAN-DBSS0:2 VLAN : 100 State : Running Power Save Mode : Active Wireless Mode : 11g QoS Mode : WMM Listen Interval (Beacon Interval) : 10 RSSI : 32 Rx/Tx Rate : 54/54 Client Type : WPA Authentication Method : Open System AKM Method : Dot1X 4-Way Handsh

19、ake State : PTKINITDONE Group Key State : IDLE Encryption Cipher : TKIP Roam Status : Normal Roam Count : 0 Up Time (hh:mm:ss) : 00:54:473.6 配置文件# domain default enable imc# port-security enable# dot1x authentication-method eap#vlan 100#vlan 200# radius scheme rad server-type extended primary authen

20、tication 8.1.1.16 primary accounting 8.1.1.16 key authentication cipher $c$3$21zk+lCairQXsBSeu53rIVaO77HxHzOMXQ= key accounting cipher $c$3$kQDj+ARtECao65pwIoPggsaj34Vxmbj7sA=#domain imc authentication lan-access radius-scheme rad authorization lan-access radius-scheme rad accounting lan-access radi

21、us-scheme rad access-limit disable state active idle-cut disable self-service-url disable#wlan service-template 1 crypto ssid joe_dot1x bind WLAN-ESS 1cipher-suite tkip security-ie wpa service-template enable#interface Vlan-interface100ip address 8.1.1.1 255.255.255.0#interface WLAN-ESS1port link-ty

22、pe hybrid undo port hybrid vlan 1 port hybrid vlan 200 untagged port hybrid pvid vlan 200 mac-vlan enable port-security port-mode userlogin-secure-ext port-security tx-key-type 11keyundo dot1x handshakeundo dot1x multicast-trigger#wlan ap officeap1 model WA2620E-AGN id 1 serial-id 21023529G007C000020 radio 1radio 2 service-template 1 radio enable#4 相关资料 H3C WX系列无线控制器产品配置指导“安全配置指导”。 H3C WX系列无线控制器产品命令参考“安全命令参考”。 H3C WX系列无线控制器产品配置指导“WLAN配置指导”。 H3C WX系列无线控制器产品命令参考“WLAN命令参考”。