- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
22-H3C無線控製器本地802.1X認證典型配置舉例
本章節下載: 22-H3C無線控製器本地802.1X認證典型配置舉例 (569.31 KB)
H3C無線控製器本地802.1X認證典型配置舉例
Copyright © 2023 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本文檔介紹本地802.1X認證的典型配置舉例。
本文檔適用於使用Comware軟件版本的無線控製器和接入點產品,不嚴格與具體硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解WLAN接入、WLAN用戶接入認證和802.1X的相關特性。
如3.1 圖1所示組網,Switch作為DHCP server為AP和Client分配IP地址,要求:
· 對無線用戶進行802.1X認證。
· 客戶端鏈路層認證使用開放式係統認證。
圖1 本地802.1X認證組網圖
本地802.1X認證不支持EAP中繼認證方式。
(1) 配置AC的接口
# 創建VLAN 100以及對應的VLAN接口,並為該接口配置IP地址。AP將獲取該IP地址與AC建立CAPWAP隧道。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 2.2.2.1 24
[AC-Vlan-interface100] quit
# 創建VLAN 200及其對應的VLAN接口,並為該接口配置IP地址。Client將使用該VLAN接入無線網絡。
[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 2.2.1.1 24
[AC-Vlan-interface200] quit
# 配置AC與Switch相連的接口GigabitEthernet1/0/1的屬性為Trunk,允許VLAN 100和VLAN 200通過。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[AC-GigabitEthernet1/0/1] quit
(2) 配置本地用戶
# 配置本地用戶,用戶名為localuser,密碼為明文輸入的localpass。
[AC] local-user localuser class network
[AC-luser-network-localuser] password simple localpass
# 配置本地用戶的服務類型為lan-access。
[AC-luser-network-localuser] service-type lan-access
[AC-luser-network-localuser] quit
(3) 配置ISP域
# 創建名為bbb的ISP域並進入其視圖。
[AC] domain bbb
# 為802.1X用戶配置AAA認證方法為本地認證、授權和計費。
[AC-isp-bbb] authentication lan-access local
[AC-isp-bbb] authorization lan-access local
[AC-isp-bbb] accounting lan-access local
[AC-isp-bbb] quit
(4) 配置802.1X認證
# 配置802.1X係統的認證方法為CHAP。
[AC] dot1x authentication-method chap
(5) 配置無線服務模板
# 創建無線服務模板service,並進入無線服務模板視圖。
[AC] wlan service-template service
# 配置SSID為service。
[AC-wlan-st-service] ssid service
# 配置無線服務模板VLAN為200。
[AC-wlan-st-service] vlan 200
# 配置用戶接入認證模式為802.1X。
[AC-wlan-st-service] client-security authentication-mode dot1x
# 配置802.1X用戶使用認證域為bbb。
[AC-wlan-st-service] dot1x domain bbb
# 配置客戶端數據報文轉發位置為AC。(如果客戶端數據報文的缺省轉發位置與本配置相同,請跳過此步驟)
[AC-wlan-st-service] client forwarding-location ac
# 使能無線服務模板。
[AC-wlan-st-service] service-template enable
[AC-wlan-st-service] quit
(6) 配置AP
在大規模組網時,推薦在AP組內進行配置。
# 創建AP,配置AP名稱為office,型號名稱選擇WA6320,並配置序列號219801A28N819CE0003T。
[AC] wlan ap office model WA6320
[AC-wlan-ap-office] serial-id 219801A28N819CE0003T
[AC-wlan-ap-office] quit
# 創建AP組group1,並配置AP名稱入組規則。
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap office
# 將無線服務模板service綁定到AP組group1下的Radio 1上。
[AC-wlan-ap-group-group1] ap-model WA6320
[AC-wlan-ap-group-group1-ap-model-WA6320] radio 1
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template service
# 開啟Radio 1的射頻功能。
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] quit
[AC-wlan-ap-group-group1-ap-model-WA6320] quit
[AC-wlan-ap-group-group1] quit
# 創建VLAN 100,用於轉發AC和AP間CAPWAP隧道內的流量。
<Switch> system-view
[Switch] vlan 100
[Switch-vlan100] quit
# 創建VLAN 200,用於轉發Client無線報文。
[Switch] vlan 200
[Switch-vlan200] quit
# 配置Switch與AC相連的GigabitEthernet1/0/1接口的屬性為Trunk,允許VLAN 100和VLAN 200通過。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[Switch-GigabitEthernet1/0/1] quit
# 配置Switch與AP相連的GigabitEthernet1/0/2接口屬性為Trunk,並允許VLAN 100和VLAN 200通過,當前Trunk口的PVID為100。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk permit vlan 100 200
[Switch-GigabitEthernet1/0/2] port trunk pvid vlan 100
# 使能PoE功能。
[Switch-GigabitEthernet1/0/2] poe enable
[Switch-GigabitEthernet1/0/2] quit
# 配置VLAN 100接口的IP地址。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip address 2.2.2.100 255.255.255.0
[Switch-Vlan-interface100] quit
# 配置VLAN 200接口的IP地址。
[Switch] interface vlan-interface 200
[Switch-Vlan-interface200] ip address 2.2.1.2 255.255.255.0
[Switch-Vlan-interface200] quit
# 配置DHCP地址池100,用於為AP分配IP地址。
[Switch] dhcp server ip-pool 100
[Switch-dhcp-pool-100] network 2.2.2.0 mask 255.255.255.0
[Switch-dhcp-pool-100] gateway-list 2.2.2.1
[Switch-dhcp-pool-200] option 138 ip-address 2.2.2.1
[Switch-dhcp-pool-100] quit
# 配置DHCP地址池200,用於為Client分配IP地址。
[Switch] dhcp server ip-pool 200
[Switch-dhcp-pool-200] network 2.2.1.0 mask 255.255.255.0
[Switch-dhcp-pool-200] gateway-list 2.2.1.1
[Switch-dhcp-pool-200] quit
下麵以iNode為例(使用iNode版本為:iNode PC 7.1),說明本地802.1x認證中iNode的基本配置。
(1) 無線連接
# 打開iNode智能客戶端,單擊“無線連接”。
圖2 打開iNode智能客戶端
# 單擊無線連接右上角的小三角按鈕,顯示可用的無線SSID。
圖3 無線連接
# 雙擊SSID為service的無線服務,進行無線網絡連接。
圖4 無線網絡連接
# 單擊窗口中的<連接>按鈕,接入無線網絡。
圖5 無線網絡連接
(2) 配置802.1X認證
# 無線連接成功後,單擊“802.1X連接”,進行802.1X認證。
圖6 802.1X連接
# 輸入用戶名和密碼,用戶名和密碼應與配置的本地認證用戶名和密碼相同。
圖7 輸入用戶名和密碼
# 單擊“連接”右側的倒三角,然後單擊“屬性”,進入屬性設置對話框,選擇當前使用的無線網卡,然後將“上傳客戶端版本號”前麵的勾去掉,單擊<確定>按鈕。
圖8 屬性設置
# 最後,單擊802.1X連接頁麵的<連接>按鈕,即可進行802.1X認證。
圖9 802.1X認證成功
# 當無線用戶通過802.1X認證成功並上線之後,AC上可以通過display dot1x connection命令看到上線用戶的連接情況。
[AC] display dot1x connection
User MAC address : 0015-00bf-e84d
AP name : office
Radio ID : 1
SSID : service
BSSID : 741f-4ad4-1fe0
Username : localuser
Authentication domain : bbb
IPv4 address : 2.2.1.3
Authentication method : CHAP
Initial VLAN : 200
Authorization VLAN : 200
Authorization ACL number : N/A
Authorization user profile : N/A
Termination action : N/A
Session timeout period : N/A
Online from : 2015/12/04 17:37:55
Online duration : 0h 4m 20s
# AC上可以通過display wlan service-template service命令查看無線服務模板信息。
[AC] display wlan service-template service
Service template name : service
SSID : service
SSID-hide : Disabled
User-isolation : Disabled
Service template status : Enabled
Maximum clients per BSS : Not configured
Frame format : Dot3
Seamless roam status : Disabled
Seamless roam RSSI threshold : 50
Seamless roam RSSI gap : 20
VLAN ID : 200
AKM mode : Not configured
Security IE : Not configured
Cipher suite : Not configured
TKIP countermeasure time : 0 sec
PTK lifetime : 43200 sec
GTK rekey : Enabled
GTK rekey method : Time-based
GTK rekey time : 86400 sec
GTK rekey client-offline : Disabled
User authentication mode : 802.1X
Intrusion protection : Disabled
Intrusion protection mode : Temporary-block
Temporary block time : 180 sec
Temporary service stop time : 20 sec
Fail VLAN ID : Not configured
802.1X handshake : Disabled
802.1X handshake secure : Disabled
802.1X domain : bbb
MAC-auth domain : Not configured
Max 802.1X users : 4096
Max MAC-auth users : 4096
802.1X re-authenticate : Disabled
Authorization fail mode : Online
Accounting fail mode : Online
Authorization : Permitted
Key derivation : SHA1
PMF status : Disabled
Hotspot policy number : Not configured
Forwarding policy status : Disabled
Forwarding policy name : Not configured
FT status : Disabled
QoS trust : Port
QoS priority : 0
· AC:
#
vlan 100
#
vlan 200
#
wlan service-template service
ssid service
vlan 200
client forwarding-location ac
client-security authentication-mode dot1x
dot1x domain bbb
service-template enable
#
interface Vlan-interface100
ip address 2.2.2.1 255.255.255.0
#
interface Vlan-interface200
ip address 2.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
#
domain bbb
authentication lan-access local
authorization lan-access local
accounting lan-access local
#
local-user localuser class network
password cipher $c$3$+5Yra0KsaLci/RxEa4lyYKxxiw6jwMCcOg==
service-type lan-access
#
wlan ap-group group1
ap office
ap-model WA6320
radio 1
radio enable
service-template service
radio 2
#
wlan ap office model WA6320
serial-id 219801A28N819CE0003T
#
· Switch:
#
vlan 100
#
vlan 200
#
dhcp server ip-pool 100
network 2.2.2.0 mask 255.255.255.0
gateway-list 2.2.2.1
option 138 ip-address 2.2.2.1
#
dhcp server ip-pool 200
network 2.2.1.0 mask 255.255.255.0
gateway-list 2.2.1.1
#
interface Vlan-interface100
ip address 2.2.2.100 255.255.255.0
#
interface Vlan-interface200
ip address 2.2.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 100 200
#
interface GigabitEthernet1/0/2
port link-type trunk
port access permit vlan 100 200
port trunk pvid vlan 100
poe enable
#
· 《H3C 無線控製器產品 配置指導》中的“用戶接入與認證配置指導”。
· 《H3C 無線控製器產品 命令參考》中的“用戶接入與認證命令參考”。
· 《H3C 無線控製器產品 配置指導》中的“WLAN接入配置指導”
· 《H3C 無線控製器產品 命令參考》中的“WLAN接入命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
