59通过8021X认证服务器动态下发授权ACL典型配置举例.docx

59通过8021X认证服务器动态下发授权ACL典型配置举例.docx

《59通过8021X认证服务器动态下发授权ACL典型配置举例.docx》由会员分享，可在线阅读，更多相关《59通过8021X认证服务器动态下发授权ACL典型配置举例.docx（37页珍藏版）》请在冰点文库上搜索。

59通过8021X认证服务器动态下发授权ACL典型配置举例

通过802.1X认证服务器动态下发授权ACL典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1简介

本文档介绍无线控制器通过802.1X认证服务器动态下发授权ACL的典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、WLAN、802.1X特性。

3802.1X认证通过WindowsServer2003IAS服务器下发ACL配置举例

3.1组网需求

如图1所示，WindowsServer2003IAS服务器作为RADIUS服务器，对Client进行认证并下发授权ACL。

具体应用需求如下：

∙Client需要通过802.1X认证才能上线；

∙Client通过认证后允许访问网络8.125.0.0/16，不允许访问其他网络资源。

∙防止用户通过恶意假冒其它域账号从本端口接入网络。

图1授权ACL下发典型配置组网图

3.2配置思路

∙为了实现WindowsServer2003IAS服务器下发授权ACL，需要在用户使用的“远程访问策略”中添加Filter-ID属性。

∙由于部分802.1X客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

∙对于无线局域网来说，802.1X认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X组播报文的方式来触发。

同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X组播触发功能。

∙为了防止用户通过恶意假冒其它域账号从本端口接入网络，配置端口的强制认证域。

3.3配置注意事项

∙WindowsServer2003IAS服务器授权下发的ACL必须是AC设备上已经配置的ACL，且ACL的内容不能为空，否则802.1X无法认证成功。

∙配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用，因此在无特殊组网要求的情况下，无线环境中通常使用端口安全特性。

3.4配置步骤

3.4.1AC的配置

（1）配置AC的接口

#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道且AC通过VLAN100与RADIUS服务器通信。

system-view

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress125.100.1.416

[AC-Vlan-interface100]quit

#创建VLAN200作为ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN。

[AC]vlan300

[AC-vlan300]quit

#配置AC与Switch相连的GigabitEthernet1/0/1接口的属性为trunk，允许VLAN100、VLAN200和VLAN300通过。

[AC]interfaceGigabitEthernet1/0/1

[AC-GigabitEthernet1/0/1]portlink-typetrunk

[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100200300

[AC-GigabitEthernet1/0/1]quit

（2）配置ACL

#创建ACL3000。

[AC]aclnumber3000

#定义规则0，允许目的地址为8.125.0.0/16的报文通过。

[AC-acl-adv-3000]rule0permitipdestination8.125.0.00.0.255.255

#定义规则1，禁止任何IP报文通过。

[AC-acl-adv-3000]rule1denyip

[AC-acl-adv-3000]quit

（3）配置802.1X认证

#全局模式下使能端口安全。

[AC]port-securityenable

#选择802.1X认证方式为EAP。

[AC]dot1xauthentication-methodeap

（4）配置认证策略

#创建RADIUS方案office并进入其视图。

[AC]radiusschemeoffice

#配置RADIUS方案服务类型为扩展型。

[AC-radius-office]server-typeextended

#设置主认证RADIUS服务器的IP地址8.125.1.1。

[AC-radius-office]primaryauthentication8.125.1.1

#设置主计费RADIUS服务器的IP地址8.125.1.1。

[AC-radius-office]primaryaccounting8.125.1.1

#设置系统与认证RADIUS服务器交互报文时的共享密钥为123456。

[AC-radius-office]keyauthentication123456

#设置系统与计费RADIUS服务器交互报文时的共享密钥为123456。

[AC-radius-office]keyaccounting123456

#配置发送给RADIUS服务器的用户名不携带域名。

[AC-radius-office]user-name-formatwithout-domain

#设置设备发送RADIUS报文时使用的源IP地址125.100.1.4。

[AC-radius-radius]nas-ip125.100.1.4

[AC-radius-radius]quit

（5）配置认证域

#创建office域并进入其视图。

[AC]domainoffice

#为lan-access用户配置认证方案为RADIUS方案，方案名为office。

[AC-isp-office]authenticationlan-accessradius-schemeoffice

#为lan-access用户配置授权方案为RADIUS方案，方案名为office。

[AC-isp-office]authorizationlan-accessradius-schemeoffice

#为lan-access用户配置计费为none，不计费。

[AC-isp-office]accountinglan-accessnone

[AC-isp-office]quit

（6）配置无线接口

#创建WLAN-ESS1接口，并设置端口的链路类型为Hybrid类型。

[AC]interfacewlan-ess1

[AC-WLAN-ESS1]portlink-typehybrid

#配置WLAN-ESS1端口的PVID为200，禁止VLAN1通过并允许VLAN200不带tag通过。

[AC-WLAN-ESS1]undoporthybridvlan1

[AC-WLAN-ESS1]porthybridvlan200untagged

[AC-WLAN-ESS1]porthybridpvidvlan200

#使能MAC-VLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

#在WLAN-ESS1口上配置端口安全，选用802.1X认证方式。

[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext

[AC-WLAN-ESS1]port-securitytx-key-type11key

#关闭802.1x握手功能

[AC-WLAN-ESS1]undodot1xhandshake

#关闭802.1x多播触发功能

[AC-WLAN-ESS1]undodot1xmulticast-trigger

#在WLAN-ESS1端口上指定802.1X认证的强制认证域为office。

[AC-WLAN-ESS1]dot1xmandatory-domainoffice

[AC-WLAN-ESS1]quit

（7）配置无线服务

#创建crypto类型的服务模板1。

[AC]wlanservice-template1crypto

#设置当前服务模板的SSID为service。

[AC-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1]bindwlan-ess1

#配置加密套件为CCMP。

[AC-wlan-st-1]cipher-suiteccmp

#配置安全信息元素为RSN。

[AC-wlan-st-1]security-iersn

#启用无线服务。

[AC-wlan-st-1]service-templateenable

[AC-wlan-st-1]quit

（8）配置射频接口并绑定服务模板

#创建AP的管理模板，名称为officeap，型号名称选择WA2620E-AGN，并配置AP的序列号。

[AC]wlanapofficeapmodelWA2620E-AGN

[AC-wlan-ap-officeap]serial-id21023529G007C000020

#进入radio2射频视图。

[AC-wlan-ap-officeap]radio2

#将在AC上配置的服务模板1与射频2进行关联，Client通过服务模板1接入VLAN300。

[AC-wlan-ap-officeap-radio-2]service-template1vlan-id300

#使能AP的radio2。

[AC-wlan-ap-officeap-radio-2]radioenable

[AC-wlan-ap-officeap-radio-2]quit

[AC-wlan-ap-officeap]quit

（9）配置AC的默认路由

#将AC的默认路由指向交换机，地址为125.100.1.1

[AC]iproute-static0.0.0.00.0.0.0125.100.1.1

3.4.2Switch的配置

#创建VLAN100和VLAN300，其中VLAN100用于转发AC和AP间LWAPP隧道内的流量，VLAN300为无线用户接入的VLAN。

system-view

[Switch]vlan100

[Switch-vlan100]quit

[Switch]vlan300

[Switch-vlan300]quit

#配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为trunk，当前trunk口的PVID为100，允许VLAN100通过。

[Switch]interfaceGigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100

[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100

[Switch-GigabitEthernet1/0/1]quit

#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为access，并允许VLAN100通过。

[Switch]interfaceGigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2]portlink-typeaccess

[Switch-GigabitEthernet1/0/2]portaccessvlan100

#使能PoE功能。

[Switch-GigabitEthernet1/0/2]poeenable

[Switch-GigabitEthernet1/0/2]quit

#配置Switch使能DHCP服务。

[Switch]dhcpenable

#创建名为vlan100的DHCP地址池，配置地址池范围为125.100.1.10~125.100.1.20，网关地址为125.100.1.4，为AP分配IP地址。

[Switch]dhcpserverip-poolvlan100extended

[Switch-dhcp-pool-vlan100]networkiprange125.100.1.10125.100.1.20

[Switch-dhcp-pool-vlan100]networkmask255.255.0.0

[Switch-dhcp-pool-vlan100]gateway-list125.100.1.4

[Switch-dhcp-pool-vlan100]quit

#创建名为vlan300的DHCP地址池，配置地址池范围为125.30.0.2~125.30.0.5，网关地址为125.30.0.6，为Client分配IP地址。

[Switch]dhcpserverip-poolvlan300extended

[Switch-dhcp-pool-vlan300]networkiprange125.30.0.2125.30.0.5

[Switch-dhcp-pool-vlan300]networkmask255.255.0.0

[Switch-dhcp-pool-vlan300]gateway-list125.30.0.6

[Switch-dhcp-pool-vlan300]quit

3.4.3WindowsServer2003IAS服务器的配置

#如图2所示，单击“开始”菜单，选择[管理工具/Internet验证服务]菜单项，单击进入“Internet验证服务”。

图1进入Internet验证服务

#如图3所示，在左边菜单中单击“远程访问策略”标签，选择“到Microsoft路由选择和远程访问服务器的连接”，双击进入。

图2选择远程访问策略

#如图4所示，点击<编辑配置文件>按钮，编辑用户的访问策略。

图3编辑用户使用的远程策略的配置文件

#如图5所示，选取“高级”页签，点击<添加>按钮，弹出“添加属性”窗口。

图4编辑拨入配置文件

#如图6所示，选取Filter-ID选项，双击Filter-ID，弹出“多值属性信息”对话框。

图5添加Filter-ID属性

#如图7所示，在“多值属性信息”对话框中点击<添加>按钮，弹出“属性信息”窗口。

图6添加多值属性信息

#如图8所示，在“属性信息”窗口中配置Fileter-ID属性值。

选择字符串形式，输入值3000，表示下发序号为3000的ACL，单击<确定>按钮，完成属性添加。

图7在属性信息中添加所要下发的ACL

#完成属性添加后如下，点击<应用>按钮，然后点击<确定>按钮，完成操作。

图8添加属性完成

3.5验证配置

（1）Client通过802.1X认证上线后，执行displayconnection命令，查看802.1X用户上线后的基本信息。

观察上线信息的Index，本例中Index值为27。

displayconnection

Index=27,Username=lw@office

MAC=00-24-01-EB-FA-EE

IP=N/A

IPv6=N/A

Online=00h00m09s

Total1connection（s）matched.

（2）通过执行displayconnectionucibindex27命令，得到Client通过802.1X认证后的详细信息，可以查看到授权ACL下发成功。

displayconnectionucibindex27

Index=27,Username=lw@office

MAC=00-24-01-EB-FA-EE

IP=N/A

IPv6=N/A

Access=8021X,AuthMethod=EAP

PortType=Wireless-802.11,PortName=WLAN-DBSS1:

0

InitialVLAN=200,AuthorizationVLAN=N/A

ACLGroup=3000

UserProfile=N/A

CAR=Disable

TrafficStatistic:

InputOctets=0OutputOctets=0

InputGigawords=0OutputGigawords=0

Priority=Disable

SessionTimeout=N/A,Terminate-Action=N/A

Start=2013-11-2019:

34:

23,Current=2013-11-2019:

34:

38,Online=00h00m15s

Total1connectionmatched.

（3）Client认证成功并获取IP地址后，能ping通8.125.0.0/16网段，无法ping通其他网段，证明授权ACL已生效。

C:

\DocumentsandSettings\Administrator>ping8.125.1.1

Pinging8.125.1.1with32bytesofdata:

Replyfrom8.125.1.1:

bytes=32time=6msTTL=254

Replyfrom8.125.1.1:

bytes=32time=12msTTL=254

Replyfrom8.125.1.1:

bytes=32time=46msTTL=254

Replyfrom8.125.1.1:

bytes=32time=25msTTL=254

Pingstatisticsfor8.125.1.1:

Packets:

Sent=4,Received=4,Lost=0（0%loss）,

Approximateroundtriptimesinmilli-seconds:

Minimum=6ms,Maximum=46ms,Average=22ms

C:

\DocumentsandSettings\Administrator>ping125.100.1.1

Pinging125.100.1.1with32bytesofdata:

Requesttimedout.

Requesttimedout.

Requesttimedout.

Requesttimedout.

Pingstatisticsfor125.100.1.1:

Packets:

Sent=4,Received=0,Lost=4（100%loss）,

（4）通过displayacl命令可以查看到ACL3000规则的匹配数量（略）。

3.6配置文件

#

port-securityenable

#

dot1xauthentication-methodeap

#

aclnumber3000

rule0permitipdestination8.125.0.00.0.255.255

rule1denyip

#

vlan100

#

vlan200

#

vlan300

#

radiusschemeoffice

server-typeextended

primaryauthentication8.125.1.1

primaryaccounting8.125.1.1

keyauthenticationcipher$c$3$EnNB6wxpjYSAJMiU2aaeNArZaBzSAl3G5A==

keyaccountingcipher$c$3$o9Wa5f+anDJ56GonM9lE7c8otvLF06HKGA==

user-name-formatwithout-domain

nas-ip125.100.1.4

#

domainoffice

authenticationlan-accessradius-schemeoffice

authorizationlan-accessradius-schemeoffice

accountinglan-accessnone

access-limitdisable

stateactive

idle-cutdisable

self-service-urldisable

#

wlanservice-template1crypto

ssidservice

bindWLAN-ESS1

cipher-suiteccmp

security-iersn

service-templateenable

#

interfaceGigabitEthernet1/0/1

portlink-typetrunk

porttrunkpermitvlan100200300

#

interfaceVlan-interface100

ipaddress125.100.1.4255.255.0.0

#

interfaceWLAN-ESS1

portlink-typehybrid

undoporthybridvlan1

porthybridvlan200untagged

porthybridpvidvlan200

mac-vlanenable

port-securityport-modeuserlogin-secure-ext

port-securitytx-key-type11key

undod