038021X认证典型配置举例.docx

038021X认证典型配置举例.docx

《038021X认证典型配置举例.docx》由会员分享，可在线阅读，更多相关《038021X认证典型配置举例.docx（16页珍藏版）》请在冰点文库上搜索。

038021X认证典型配置举例

802.1X认证典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1简介

本文档介绍无线控制器802.1X认证典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、802.1X、WLAN特性。

3配置举例

3.1组网需求

如图1所示组网，采用iMC作为RADIUS服务器，要求：

∙在AC上启用802.1X远程认证，实现对Client的接入控制。

∙802.1X认证方式采用EAP中继方式。

∙采用加密类型的服务模板，加密套件采用TKIP。

图1802.1X远程认证组网图

3.2配置思路

∙由于部分802.1X客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

∙对于无线局域网来说，802.1X认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X组播报文的方式来触发。

同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X组播触发功能。

3.3配置注意事项

∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用，因此在无特殊组网要求的情况下，无线环境中通常使用端口安全特性。

∙配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.4配置步骤

3.4.1AC的配置

（1）AC接口的配置

#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress8.1.1.1255.255.255.0

[AC-Vlan-interface100]quit

#创建VLAN200，作为ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

（2）配置接口WLAN-ESS1

#创建WLAN-ESS1接口。

[AC]interfacewlan-ess1

#配置WLAN-ESS1接口类型为Hybrid。

[AC-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为VLAN200，禁止VLAN1通过并允许VLAN200不带tag通过。

[AC-WLAN-ESS1]porthybridpvidvlan200

[AC-WLAN-ESS1]undoporthybridvlan1

[AC-WLAN-ESS1]porthybridvlan200untagged

#开启MAC-VLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

[AC-WLAN-ESS1]quit

（3）配置无线服务

#创建crypto类型的服务模板1。

[AC]wlanservice-template1crypto

#配置当前服务模板的SSID为joe_dot1x。

[AC-wlan-st-1]ssidjoe_dot1x

#将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1]bindWLAN-ESS1

#配置加密套件为TKIP。

[AC-wlan-st-1]cipher-suitetkip

#配置在AP发送信标和探查响应帧时携带WPAIE信息。

[AC-wlan-st-1]security-iewpa

#使能服务模板。

[AC-wlan-st-1]service-templateenable

[AC-wlan-st-1]quit

（4）配置AP并绑定无线服务

#创建AP模板，名称为officeap1，型号名称选择WA2620E-AGN，该AP的序列号为21023529G007C000020。

[AC]wlanapofficeap1modelWA2620E-AGN

[AC-wlan-ap-officeap1]serial-id21023529G007C000020

#进入AP的radio2视图。

[AC-wlan-ap-officeap1]radio2

#将服务模板1绑定到radio2口并使能radio2。

[AC-wlan-ap-officeap1-radio-2]service-template1

[AC-wlan-ap-officeap1-radio-2]radioenable

[AC-wlan-ap-officeap1-radio-2]quit

（5）配置RADIUS方案

#创建RADIUS方案rad。

[AC]radiusschemerad

#配置主认证RADIUS服务器的IP地址8.1.1.16。

[AC-radius-rad]primaryauthentication8.1.1.16

#配置主计费RADIUS服务器的IP地址8.1.1.16。

[AC-radius-rad]primaryaccounting8.1.1.16

#配置与认证RADIUS服务器交互报文时的共享密钥为expert。

[AC-radius-rad]keyauthenticationexpert

#配置与计费RADIUS服务器交互报文时的共享密钥为expert。

[AC-radius-rad]keyaccountingexpert

#配置RADIUS服务器的服务类型为extended。

[AC-radius-rad]server-typeextended

[AC-radius-rad]quit

（6）配置domain域

#创建ISP域imc。

[AC]domainimc

#为lan-access用户配置认证方案为RADIUS方案，方案名为rad。

[AC-isp-imc]authenticationlan-accessradius-schemerad

#为lan-access用户配置授权方案为RADIUS方案，方案名为rad。

[AC-isp-imc]authorizationlan-accessradius-schemerad

#为lan-access用户配置计费方案为RADIUS方案，方案名为rad。

[AC-isp-imc]accountinglan-accessradius-schemerad

[AC-isp-imc]quit

#配置缺省的ISP域为imc。

[AC]domaindefaultenableimc

（7）配置802.1X

#使能端口安全。

[AC]port-securityenable

#配置802.1X用户的认证方式为EAP中继方式。

[AC]dot1xauthentication-methodeap

#进入WLAN-ESS1接口视图。

[AC]interfacewlan-ess1

#配置端口的安全模式为userLogin-SecureExt。

[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext

#在接口WLAN-ESS1下使能11key类型的密钥协商功能。

[AC-WLAN-ESS1]port-securitytx-key-type11key

#关闭802.1X组播触发功能和在线用户握手功能。

[AC-WLAN-ESS1]undodot1xmulticast-trigger

[AC-WLAN-ESS1]undodot1xhandshake

[AC-WLAN-ESS1]quit

3.4.2RADIUS服务器的配置

下面以iMC为例（使用iMC版本为：

iMCPLAT5.2（E0401）、iMCUAM5.2（E0402）），说明RADIUS服务器的基本配置。

#增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[用户接入管理/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击<增加>按钮，进入增加接入设备页面。

∙设置与AC交互报文时使用的认证、计费共享密钥为“expert”；

∙设置认证及计费的端口号分别为“1812”和“1813”；

∙选择业务类型为“LAN接入业务”；

∙选择接入设备类型为“H3C”；

∙选择或手工增加接入设备，添加IP地址为8.1.1.1的接入设备；

∙其它参数采用缺省值，并单击<确定>按钮完成操作。

图1增加接入设备

#增加服务配置。

选择“业务”页签，单击导航树中的[用户接入管理/服务配置管理]菜单项，进入服务列表页面，在该页面中单击“增加”按钮，进入增加服务配置页面。

∙输入服务名“dot1xauth”；

∙其它参数采用缺省值，并单击<确定>按钮完成操作。

图2增加服务配置

#增加接入用户。

选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户]菜单项，进入接入用户列表页面，在该页面中单击<增加>按钮，进入增加设备管理用户页面。

∙输入用户姓名；

∙输入账号名“localuser”和密码；

∙在接入服务处选择“dot1xauth”；

∙单击<确定>按钮完成操作。

图3增加接入用户

3.5验证配置

#本文以XP系统为例，右键点击桌面上网络邻居，点击“属性”。

#弹出网络连接窗口后，右键点击“无线网络连接”图标，选择“属性”。

#在弹出的对话框中，点击“无线网络配置”页签，点击<添加>按钮。

#在弹出的“无线网络属性”对话框中，添加SSID，并选择相应的加密方式、认证方式。

∙在网络名添加“joe_dot1x”的SSID。

∙在无线网络密钥处，选择网络验证WPA。

∙在数据加密处，选择加密类型为TKIP。

∙点击“验证”页签，在EAP类型处，选择“受保护的EAP（PEAP）”。

∙点击<属性>按钮，在弹出的对话框中取消“验证服务器证书”，选择验证方法为“安全密码（EAP-MSCHAPv2）

∙点击<配置>按钮，取消“自动使用Windows登录名和密码（以及域，如果有的话）”。

#当用户通过认证连接到AP后，可以在AC上使用displayconnection查看有1个用户在线。

displayconnection

Index=5,Username=test@imc

MAC=00-19-5B-EC-7A-E9

IP=N/A

IPv6=N/A

Total1connection（s）matched.

#在AC上使用displayconnectionucibindex查看用户的较详细信息。

displayconnectionucibindex5

Index=5,Username=test@imc

MAC=00-19-5B-EC-7A-E9

IP=N/A

IPv6=N/A

Access=8021X,AuthMethod=EAP

PortType=Wireless-802.11,PortName=WLAN-DBSS0:

2

InitialVLAN=1,AuthorizationVLAN=N/A

ACLGroup=Disable

UserProfile=N/A

CAR=Disable

Priority=Disable

Start=2014-1-1415:

24:

21,Current=2014-1-1418:

29:

24,Online=03h05m03s

Total1connectionmatched.

#在AC上使用displaywlanclientverbose查看终端信息。

displaywlanclientverbose

TotalNumberofClients:

1

ClientInformation

-------------------------------------------------------------------------------

MACAddress:

0019-5bec-7ae9

UserName:

test

AID:

1

APName:

officeap1

RadioId:

2

SSID:

joe_dot1x

BSSID:

0023-8998-0450

Port:

WLAN-DBSS0:

2

VLAN:

100

State:

Running

PowerSaveMode:

Active

WirelessMode:

11g

QoSMode:

WMM

ListenInterval（BeaconInterval）:

10

RSSI:

32

Rx/TxRate:

54/54

ClientType:

WPA

AuthenticationMethod:

OpenSystem

AKMMethod:

Dot1X

4-WayHandshakeState:

PTKINITDONE

GroupKeyState:

IDLE

EncryptionCipher:

TKIP

RoamStatus:

Normal

RoamCount:

0

UpTime（hh:

mm:

ss）:

00:

54:

47

3.6配置文件

#

domaindefaultenableimc

#

port-securityenable

#

dot1xauthentication-methodeap

#

vlan100

#

vlan200

#

radiusschemerad

server-typeextended

primaryauthentication8.1.1.16

primaryaccounting8.1.1.16

keyauthenticationcipher$c$3$21zk+lCairQXsBSeu53rIVaO77HxHzOMXQ==

keyaccountingcipher$c$3$kQDj+ARtECao65pwIoPggsaj34Vxmbj7sA==

#

domainimc

authenticationlan-accessradius-schemerad

authorizationlan-accessradius-schemerad

accountinglan-accessradius-schemerad

access-limitdisable

stateactive

idle-cutdisable

self-service-urldisable

#

wlanservice-template1crypto

ssidjoe_dot1x

bindWLAN-ESS1

cipher-suitetkip

security-iewpa

service-templateenable

#

interfaceVlan-interface100

ipaddress8.1.1.1255.255.255.0

#

interfaceWLAN-ESS1

portlink-typehybrid

undoporthybridvlan1

porthybridvlan200untagged

porthybridpvidvlan200

mac-vlanenable

port-securityport-modeuserlogin-secure-ext

port-securitytx-key-type11key

undodot1xhandshake

undodot1xmulticast-trigger

#

wlanapofficeap1modelWA2620E-AGNid1

serial-id21023529G007C000020

radio1

radio2

service-template1

radioenable

#

4相关资料

∙《H3CWX系列无线控制器产品配置指导》“安全配置指导”。

∙《H3CWX系列无线控制器产品命令参考》“安全命令参考”。

∙《H3CWX系列无线控制器产品配置指导》“WLAN配置指导”。

∙《H3CWX系列无线控制器产品命令参考》“WLAN命令参考”。