• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线控制器典型配置案例集(V5)-6W114

目录

04-802.1X与LDAP组合认证典型配置举例(V5)

本章节下载 04-802.1X与LDAP组合认证典型配置举例(V5)  (224.59 KB)

04-802.1X与LDAP组合认证典型配置举例(V5)

802.1X与LDAP组合认证典型配置举例(V5)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W114-20210416

 

Copyright © 2008-2021新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍在无线控制器上配置本地802.1X认证,通过LDAP协议将AC设备解析出的用户名和密码传到LDAP服务器上对无线用户进行认证的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA和802.1X特性。

3  配置举例

3.1  组网需求

图1所示,Client和AP通过DHCP服务器获得IP地址,要求:

·     在AC上配置EAP中继方式的802.1X认证,以控制Client对网络资源的访问。

·     通过LDAP服务器对Client进行身份信息的存储和验证。

·     配置WLAN-ESS接口使能密钥协商功能。

·     对AC和Client之间的数据传输进行加密,加密套件采用AES-CCMP。

·     EAP认证方式采用TLS和PEAP-GTC,优先使用TLS。

图1 802.1X与LDAP组合认证组网图

 

3.2  配置思路

·     由于网络中部署了LDAP服务器对Client进行身份认证,因此需要在AC上配置本地EAP服务器来协助完成EAP认证。

·     为了优先使用TLS的EAP认证方式,在配置顺序上必须先配置TLS认证方式,后配置PEAP-GTC的认证方式。

·     由于EAP认证方式采用TLS和PEAP-GTC,所以必须配置SSL服务器端策略。

·     由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。

·     对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。

·     为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。

3.3  配置注意事项

·     当端口安全功能处于使能状态时,端口上的802.1X功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变由系统更改。

·     在端口上有用户在线的情况下,端口安全功能无法关闭。

·     配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

·     由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。

3.4  配置步骤

(1)     配置AC的接口

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface1] ip address 8.140.1.3 255.255.0.0

[AC-Vlan-interface1] quit

# 创建VLAN 200作为ESS接口的缺省VLAN

[AC] vlan 200

[AC-vlan200] quit

# 创建VLAN 300作为Client接入的业务VLAN。

[AC] vlan 300

[AC-vlan300] quit

(2)     配置无线接口

# 创建WLAN-ESS0接口,并进入该视图。

[AC] interface wlan-ess 0

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS0] port link-type hybrid

# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS0] port hybrid pvid vlan 200

[AC-WLAN-ESS0] port hybrid vlan 200 untagged

# 在Hybrid端口上使能MAC-VLAN功能。

[AC-WLAN-ESS0] mac-vlan enable

[AC-WLAN-ESS0] quit

(3)     配置无线服务

# 创建crypto类型的服务模板1。

[AC] wlan service-template 1 crypto

# 配置当前服务模板的SSID为service。

[AC-wlan-st-1] ssid service

# 将WLAN-ESS0接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 0

# 使能AES-CCMP加密套件。

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

# 使能无线服务。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(4)     配置AP并绑定无线服务

# 在AC上配置AP名称为ap1,型号名称WA2620E-AGN,并配置AP的序列号。

[AC] wlan ap ap1 model WA2620E-AGN

[AC-wlan-ap-ap1] serial-id 21023529G007C000020

# 进入射频2视图。

[AC-wlan-ap-ap1] radio 2

# 将无线服务1绑定到射频2

[AC-wlan-ap-ap1-radio-2] service-template 1

# 使能APradio 2

[AC-wlan-ap-ap1-radio-2] radio enable

[AC-wlan-ap-ap1-radio-2] quit

[AC-wlan-ap-ap1] quit

(5)     配置LDAP认证

# 创建LDAP方案ldap1并进入其视图。

[AC] ldap scheme ldap1

# 配置LDAP服务器的IP地址8.1.1.22。

[AC-ldap-ldap1] authentication-server 8.1.1.22

# 配置具有管理员权限的用户DN。

[AC-ldap-ldap1] login-dn cn=administrator,cn=users,dc=myias,dc=com

# 配置具有管理员权限的用户密码。

[AC-ldap-ldap1] login-password simple admin!123456

# 配置查询用户的起始目录。

[AC-ldap-ldap1] user-parameters search-base-dn dc=myias,dc=com

[AC-ldap-ldap1] quit

(6)     配置802.1X认证

# 启用端口安全。

[AC] port-security enable

# 配置802.1X认证方式为EAP中继方式。

[AC] dot1x authentication-method eap

# 创建office域并进入其视图。

[AC] domain ldap

# 为lan-access用户配置认证方法为本地认证。

[AC-isp-ldap] authentication lan-access local

# 为lan-access用户配置授权方法为不授权

[AC-isp-ldap] authorization lan-access none

# 为lan-access用户配置计费为none,不计费。

[AC-isp-ldap] accounting lan-access none

[AC-isp-ldap] quit

# 进入WLAN-ESS接口视图。

[AC] interface wlan-ess 0

# 配置端口的安全模式为userLogin-SecureExt。

[AC-WLAN-ESS0] port-security port-mode userlogin-secure-ext

# 在接口WLAN-ESS0下使能11key类型的密钥协商功能。

[AC-WLAN-ESS0] port-security tx-key-type 11key

# 关闭在线用户握手功能。

[AC-WLAN-ESS0] undo dot1x handshake

# 关闭802.1X的组播触发功能。

[AC-WLAN-ESS0] undo dot1x multicast-trigger

# 指定ESS口的认证域为ldap。

[AC-WLAN-ESS0] dot1x mandatory-domain ldap

[AC-WLAN-ESS0] quit

(7)     配置SSL服务器端策略

# 创建PKI实体en,通用名common。

[AC] pki entity en

[AC-pki-entity-en] common-name common

[AC-pki-entity-en] quit

# 创建PKI域do,本端实体en,注册机构:CA,不启用CRL查询。

[AC] pki domain do

[AC-pki-domain-do] certificate request from ca

[AC-pki-domain-do] certificate request entity en

[AC-pki-domain-do] crl check disable

[AC-pki-domain-do] quit

# 先用FTP等方式把证书上传到无线控制器中,再用命令导入证书。

[AC] pki import-certificate ca domain do pem filename root.pem

[AC] pki import-certificate local domain do p12 filename server.pfx

# 配置SSL服务器端策略eap-policy,指定使用的PKI域为do。

[AC] ssl server-policy eap-policy

[AC-ssl-server-policy-eap-policy] pki-domain do

[AC-ssl-server-policy-eap-policy] quit

(8)     配置本地EAP认证

# 配置EAP Profile,指定认证方法为EAP-TLS和PEAP-GTC。

[AC] eap-profile default-profile

[AC-eap-prof-default-profile] ssl-server-policy eap-policy

[AC-eap-prof-default-profile] method tls

[AC-eap-prof-default-profile] method peap-gtc

# 配置使用LDAP数据库查询用户身份,引用LDAP方案ldap1。

[AC-eap-prof-default-profile] user-credentials ldap-scheme ldap1

[AC-eap-prof-default-profile] quit

# 配置本地服务器认证所使用的eap-profile为 default-profile。

[AC] local-server authentication eap-profile default-profile

# 配置无线控制器去往LDAP服务器的静态路由。

[AC] ip route-static 8.0.0.0 255.0.0.0 8.140.1.1

3.5  验证配置

# 当用户通过认证连接到AC后,可以在AC上使用display connection查看有1个用户在线。

<AC> display connection

 Index=5 ,Username=client@ldap

MAC=00-19-5B-EC-7A-E9

IP=N/A

IPv6=N/A

 Total 1 connection(s) matched.

# 在AC上使用display connection ucibindex查看用户的较详细信息。

<AC> display connection ucibindex 5

Index=5 , Username=client@ldap

MAC=00-19-5B-EC-7A-E9

IP=N/A

IPv6=N/A

Access=8021X ,AuthMethod=EAP

Port Type=Wireless-802.11,Port Name=WLAN-DBSS0:2

Initial VLAN=300, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2014-1-14 15:24:21 ,Current=2014-1-14 18:29:24 ,Online=03h05m03s

 Total 1 connection matched.

# 在AC上使用display wlan client verbose查看终端信息。

<AC> display wlan client verbose

 Total Number of Clients : 1

 Client Information

-------------------------------------------------------------------------------

 MAC Address : 0019-5bec-7ae9

 User Name : client

 AID : 1

 AP Name : ap1

 Radio Id : 2

 SSID : service

 BSSID : 0023-8998-0450

 Port : WLAN-DBSS0:2

 VLAN : 300

 State : Running

 Power Save Mode : Active

 Wireless Mode : 11g

 QoS Mode : WMM

 Listen Interval (Beacon Interval) : 10

 RSSI : 32

 Rx/Tx Rate : 54/54

 Client Type : WPA2(RSN)

 Authentication Method : Open System

 AKM Method : Dot1X

 4-Way Handshake State : PTKINITDONE

 Group Key State : IDLE

 Encryption Cipher : AES-CCMP

 Roam Status : Normal

 Roam Count : 0

 Up Time (hh:mm:ss) : 00:54:47

3.6  配置文件

#

 port-security enable

#

 dot1x authentication-method eap

#

vlan 100

#

vlan 200

#

vlan 300

#

ldap scheme ldap1

 authentication-server 8.1.1.22

 login-dn cn=administrator,cn=users,dc=myias,dc=com

 login-password cipher $c$3$5emHSGcXdOkZPDCjh5zpTV+vrAR3aNUd

 user-parameters search-base-dn dc=myias,dc=com

#

domain ldap

 authentication lan-access local

 authorization lan-access none

 accounting lan-access none

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

pki entity en

 common-name common

#

pki domain do

 certificate request from ca

 certificate request entity en

 crl check disable

#

wlan service-template 1 crypto

 ssid service

 bind WLAN-ESS 0

 cipher-suite ccmp

 security-ie rsn

 service-template enable

#

ssl server-policy eap-policy

 pki-domain do

#

eap-profile default-profile

 ssl-server-policy eap-policy

 method tls

 method peap-gtc

 user-credentials ldap-scheme ldap1

#

interface Vlan-interface100

 ip address 8.140.1.3 255.255.0.0

#

interface WLAN-ESS0

 port link-type hybrid

undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

 mac-vlan enable

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key

 undo dot1x handshake

 dot1x mandatory-domain ldap

 undo dot1x multicast-trigger

#

wlan ap ap1 model WA2620E-AGN id 1

 serial-id 21023529G007C000020

 radio 1

 radio 2

  service-template 1

  radio enable

#

 ip route-static 8.0.0.0 255.0.0.0 8.140.1.1

#

 local-server authentication eap-profile default-profile

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。

·     《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们