- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-802.1X与LDAP组合认证典型配置举例(V5)
本章节下载: 04-802.1X与LDAP组合认证典型配置举例(V5) (224.59 KB)
802.1X与LDAP组合认证典型配置举例(V5)
资料版本:6W114-20210416
Copyright © 2008-2021新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍在无线控制器上配置本地802.1X认证,通过LDAP协议将AC设备解析出的用户名和密码传到LDAP服务器上对无线用户进行认证的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA和802.1X特性。
如图1所示,Client和AP通过DHCP服务器获得IP地址,要求:
· 在AC上配置EAP中继方式的802.1X认证,以控制Client对网络资源的访问。
· 通过LDAP服务器对Client进行身份信息的存储和验证。
· 配置WLAN-ESS接口使能密钥协商功能。
· 对AC和Client之间的数据传输进行加密,加密套件采用AES-CCMP。
· EAP认证方式采用TLS和PEAP-GTC,优先使用TLS。
图1 802.1X与LDAP组合认证组网图
· 由于网络中部署了LDAP服务器对Client进行身份认证,因此需要在AC上配置本地EAP服务器来协助完成EAP认证。
· 为了优先使用TLS的EAP认证方式,在配置顺序上必须先配置TLS认证方式,后配置PEAP-GTC的认证方式。
· 由于EAP认证方式采用TLS和PEAP-GTC,所以必须配置SSL服务器端策略。
· 由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
· 对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。
· 为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。
· 当端口安全功能处于使能状态时,端口上的802.1X功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变由系统更改。
· 在端口上有用户在线的情况下,端口安全功能无法关闭。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· 由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。
(1) 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface1] ip address 8.140.1.3 255.255.0.0
[AC-Vlan-interface1] quit
# 创建VLAN 200作为ESS接口的缺省VLAN。
[AC] vlan 200
[AC-vlan200] quit
# 创建VLAN 300作为Client接入的业务VLAN。
[AC] vlan 300
[AC-vlan300] quit
(2) 配置无线接口
# 创建WLAN-ESS0接口,并进入该视图。
[AC] interface wlan-ess 0
# 配置端口的链路类型为Hybrid。
[AC-WLAN-ESS0] port link-type hybrid
# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。
[AC-WLAN-ESS1] undo port hybrid vlan 1
[AC-WLAN-ESS0] port hybrid pvid vlan 200
[AC-WLAN-ESS0] port hybrid vlan 200 untagged
# 在Hybrid端口上使能MAC-VLAN功能。
[AC-WLAN-ESS0] mac-vlan enable
[AC-WLAN-ESS0] quit
(3) 配置无线服务
# 创建crypto类型的服务模板1。
[AC] wlan service-template 1 crypto
# 配置当前服务模板的SSID为service。
[AC-wlan-st-1] ssid service
# 将WLAN-ESS0接口绑定到服务模板1。
[AC-wlan-st-1] bind wlan-ess 0
# 使能AES-CCMP加密套件。
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 使能无线服务。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(4) 配置AP并绑定无线服务
# 在AC上配置AP名称为ap1,型号名称WA2620E-AGN,并配置AP的序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 21023529G007C000020
# 进入射频2视图。
[AC-wlan-ap-ap1] radio 2
# 将无线服务1绑定到射频2。
[AC-wlan-ap-ap1-radio-2] service-template 1
# 使能AP的radio 2。
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(5) 配置LDAP认证
# 创建LDAP方案ldap1并进入其视图。
[AC] ldap scheme ldap1
# 配置LDAP服务器的IP地址8.1.1.22。
[AC-ldap-ldap1] authentication-server 8.1.1.22
# 配置具有管理员权限的用户DN。
[AC-ldap-ldap1] login-dn cn=administrator,cn=users,dc=myias,dc=com
# 配置具有管理员权限的用户密码。
[AC-ldap-ldap1] login-password simple admin!123456
# 配置查询用户的起始目录。
[AC-ldap-ldap1] user-parameters search-base-dn dc=myias,dc=com
[AC-ldap-ldap1] quit
(6) 配置802.1X认证
# 启用端口安全。
[AC] port-security enable
# 配置802.1X认证方式为EAP中继方式。
[AC] dot1x authentication-method eap
# 创建office域并进入其视图。
[AC] domain ldap
# 为lan-access用户配置认证方法为本地认证。
[AC-isp-ldap] authentication lan-access local
# 为lan-access用户配置授权方法为不授权
[AC-isp-ldap] authorization lan-access none
# 为lan-access用户配置计费为none,不计费。
[AC-isp-ldap] accounting lan-access none
[AC-isp-ldap] quit
# 进入WLAN-ESS接口视图。
[AC] interface wlan-ess 0
# 配置端口的安全模式为userLogin-SecureExt。
[AC-WLAN-ESS0] port-security port-mode userlogin-secure-ext
# 在接口WLAN-ESS0下使能11key类型的密钥协商功能。
[AC-WLAN-ESS0] port-security tx-key-type 11key
# 关闭在线用户握手功能。
[AC-WLAN-ESS0] undo dot1x handshake
# 关闭802.1X的组播触发功能。
[AC-WLAN-ESS0] undo dot1x multicast-trigger
# 指定ESS口的认证域为ldap。
[AC-WLAN-ESS0] dot1x mandatory-domain ldap
[AC-WLAN-ESS0] quit
(7) 配置SSL服务器端策略
# 创建PKI实体en,通用名common。
[AC] pki entity en
[AC-pki-entity-en] common-name common
[AC-pki-entity-en] quit
# 创建PKI域do,本端实体en,注册机构:CA,不启用CRL查询。
[AC] pki domain do
[AC-pki-domain-do] certificate request from ca
[AC-pki-domain-do] certificate request entity en
[AC-pki-domain-do] crl check disable
[AC-pki-domain-do] quit
# 先用FTP等方式把证书上传到无线控制器中,再用命令导入证书。
[AC] pki import-certificate ca domain do pem filename root.pem
[AC] pki import-certificate local domain do p12 filename server.pfx
# 配置SSL服务器端策略eap-policy,指定使用的PKI域为do。
[AC] ssl server-policy eap-policy
[AC-ssl-server-policy-eap-policy] pki-domain do
[AC-ssl-server-policy-eap-policy] quit
(8) 配置本地EAP认证
# 配置EAP Profile,指定认证方法为EAP-TLS和PEAP-GTC。
[AC] eap-profile default-profile
[AC-eap-prof-default-profile] ssl-server-policy eap-policy
[AC-eap-prof-default-profile] method tls
[AC-eap-prof-default-profile] method peap-gtc
# 配置使用LDAP数据库查询用户身份,引用LDAP方案ldap1。
[AC-eap-prof-default-profile] user-credentials ldap-scheme ldap1
[AC-eap-prof-default-profile] quit
# 配置本地服务器认证所使用的eap-profile为 default-profile。
[AC] local-server authentication eap-profile default-profile
# 配置无线控制器去往LDAP服务器的静态路由。
[AC] ip route-static 8.0.0.0 255.0.0.0 8.140.1.1
# 当用户通过认证连接到AC后,可以在AC上使用display connection查看有1个用户在线。
<AC> display connection
Index=5 ,Username=client@ldap
MAC=00-19-5B-EC-7A-E9
IP=N/A
IPv6=N/A
Total 1 connection(s) matched.
# 在AC上使用display connection ucibindex查看用户的较详细信息。
<AC> display connection ucibindex 5
Index=5 , Username=client@ldap
MAC=00-19-5B-EC-7A-E9
IP=N/A
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS0:2
Initial VLAN=300, Authorization VLAN=N/A
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2014-1-14 15:24:21 ,Current=2014-1-14 18:29:24 ,Online=03h05m03s
Total 1 connection matched.
# 在AC上使用display wlan client verbose查看终端信息。
<AC> display wlan client verbose
Total Number of Clients : 1
Client Information
-------------------------------------------------------------------------------
MAC Address : 0019-5bec-7ae9
User Name : client
AID : 1
AP Name : ap1
Radio Id : 2
SSID : service
BSSID : 0023-8998-0450
Port : WLAN-DBSS0:2
VLAN : 300
State : Running
Power Save Mode : Active
Wireless Mode : 11g
QoS Mode : WMM
Listen Interval (Beacon Interval) : 10
RSSI : 32
Rx/Tx Rate : 54/54
Client Type : WPA2(RSN)
Authentication Method : Open System
AKM Method : Dot1X
4-Way Handshake State : PTKINITDONE
Group Key State : IDLE
Encryption Cipher : AES-CCMP
Roam Status : Normal
Roam Count : 0
Up Time (hh:mm:ss) : 00:54:47
#
port-security enable
#
dot1x authentication-method eap
#
vlan 100
#
vlan 200
#
vlan 300
#
ldap scheme ldap1
authentication-server 8.1.1.22
login-dn cn=administrator,cn=users,dc=myias,dc=com
login-password cipher $c$3$5emHSGcXdOkZPDCjh5zpTV+vrAR3aNUd
user-parameters search-base-dn dc=myias,dc=com
#
domain ldap
authentication lan-access local
authorization lan-access none
accounting lan-access none
access-limit disable
state active
idle-cut disable
self-service-url disable
#
pki entity en
common-name common
#
pki domain do
certificate request from ca
certificate request entity en
crl check disable
#
wlan service-template 1 crypto
ssid service
bind WLAN-ESS 0
cipher-suite ccmp
security-ie rsn
service-template enable
#
ssl server-policy eap-policy
pki-domain do
#
eap-profile default-profile
ssl-server-policy eap-policy
method tls
method peap-gtc
user-credentials ldap-scheme ldap1
#
interface Vlan-interface100
ip address 8.140.1.3 255.255.0.0
#
interface WLAN-ESS0
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 200 untagged
port hybrid pvid vlan 200
mac-vlan enable
port-security port-mode userlogin-secure-ext
port-security tx-key-type 11key
undo dot1x handshake
dot1x mandatory-domain ldap
undo dot1x multicast-trigger
#
wlan ap ap1 model WA2620E-AGN id 1
serial-id 21023529G007C000020
radio 1
radio 2
service-template 1
radio enable
#
ip route-static 8.0.0.0 255.0.0.0 8.140.1.1
#
local-server authentication eap-profile default-profile
#
· 《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。
· 《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。
· 《H3C无线控制器产品 配置指导》中的“安全配置指导”。
· 《H3C无线控制器产品 命令参考》中的“安全命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
