• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线控制器典型配置案例集(V5)-6W114

目录

05-802.1X与RADIUS Offload功能组合认证典型配置举例(V5)

本章节下载 05-802.1X与RADIUS Offload功能组合认证典型配置举例(V5)  (279.50 KB)

05-802.1X与RADIUS Offload功能组合认证典型配置举例(V5)

802.1X与RADIUS Offload功能组合认证典型配置举例(V5)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W114-20210416

 

Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍当RADIUS服务器不支持EAP认证时,无线控制器采用802.1X的认证方式为EAP中继方式对无线客户端进行认证的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、802.1X和WLAN特性。

3  配置举例

3.1  组网需求

图1所示,Client和AP通过DHCP服务器分配IP地址,RADIUS服务器不支持EAP认证,要求:

·     在AC上配置802.1X认证,以控制Client对网络资源的访问。

·     802.1X认证方式采用EAP中继方式。

·     对Client和AC之间传输的数据进行加密,加密套件采用AES-CCMP。

·     在强制认证域dm0进行认证。

图1 802.1X与RADIUS Offload组合认证组网图

 

3.2  配置思路

·     由于需求中RADIUS服务器不支持EAP认证,要配置EAP中继方式的802.1X认证,需要使能RADIUS Offload功能。

·     要使能RADIUS Offload功能,必须配置本地EAP认证服务器,并指定其中的EAP认证方式为PEAP-MSCHAPv2(目前仅支持此认证方式)。

·     当EAP认证方式为PEAP-MSCHAPv2时,必须设置用于EAP认证的SSL服务器端策略。

·     由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。

·     对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。

·     为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。

3.3  配置注意事项

·     配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

·     由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。

3.4  配置步骤

3.4.1  AC的配置:

(1)     配置AC的接口

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 133.1.0.1 255.255.255.0

[AC-Vlan-interface100] quit

# 创建VLAN 200作为ESS接口的缺省VLAN。

[AC] vlan 200

[AC-vlan200] quit

# 创建VLAN 300作为Client接入的业务VLAN。

[AC] vlan 300

[AC-vlan300] quit

(2)     配置无线接口

# 创建WLAN-ESS接口,并进入该视图。

[AC] interface wlan-ess 0

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS0] port link-type hybrid

# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS0] undo port hybrid vlan 1

[AC-WLAN-ESS0] port hybrid pvid vlan 200

[AC-WLAN-ESS0] port hybrid vlan 200 untagged

# 在Hybrid端口上使能MAC-VLAN功能。

[AC-WLAN-ESS0] mac-vlan enable

[AC-WLAN-ESS0] quit

(3)     配置无线服务

# 创建crypto类型的服务模板1。

[AC] wlan service-template 1 crypto

# 设置当前服务模板的SSID为service。

[AC-wlan-st-1] ssid service

# 将WLAN-ESS0接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 0

# 使能ccmp加密套件。

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

# 使能无线服务。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(4)     配置AP并绑定无线服务

# 在AC上配置AP名称为ap1,型号名称这里选择WA2620E-AGN,并配置序列号。

[AC] wlan ap ap1 model WA2620E-AGN

[AC-wlan-ap-ap1] serial-id 21023529G007C000020

# 将无线服务1绑定到射频2。

[AC-wlan-ap-ap1] radio 2

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

[AC-wlan-ap-ap1-radio-2] quit

[AC-wlan-ap-ap1] quit

(5)     配置802.1X并使能EAP Offload功能。

# 配置RADIUS方案为eapoff,配置认证、计费和授权服务器的IP地址为133.1.0.50,配置与认证、计费和授权服务器交互报文时的共享密钥均为key。

[AC] radius scheme eapoff

[AC-radius-eapoff] primary authentication 133.1.0.50

[AC-radius-eapoff] primary accounting 133.1.0.50

[AC-radius-eapoff] key authentication key

[AC-radius-eapoff] key accounting key

# 使能EAP Offload功能。

[AC-radius-eapoff] eap offload method peap-mschapv2

[AC-radius-eapoff] quit

# 创建ISP域dm0域并进入其视图。

[AC] domain dm0

# 设置ISP域的认证、授权和计费方法均为RADIUS方式。

[AC-isp-dm0] accounting lan-access radius-scheme eapoff

[AC-isp-dm0] authentication lan-access radius-scheme eapoff

[AC-isp-dm0] authorization lan-access radius-scheme eapoff

[AC-isp-dm0] quit

# 启用端口安全,配置802.1X系统的认证方式为EAP中继方式。

[AC] port-security enable

[AC] dot1x authentication-method eap

# 进入WLAN-ESS接口视图。

[AC] interface wlan-ess 0

# 设置端口的安全模式为userlogin-secure-ext。

[AC-WLAN-ESS0] port-security port-mode userlogin-secure-ext

# 在WLAN-ESS接口下使能11key类型的密钥协商功能。

[AC-WLAN-ESS0] port-security tx-key-type 11key

# 关闭在线用户握手功能和组播触发功能。

[AC-WLAN-ESS0] undo dot1x handshake

[AC-WLAN-ESS0] undo dot1x multicast-trigger

# 指定WLAN-ESS接口的认证域为dm0。

[AC-WLAN-ESS0] dot1x mandatory-domain dm0

[AC-WLAN-ESS0] quit

(6)     配置SSL服务器端策略

 # 创建PKI实体en,通用名common。

[AC] pki entity en

[AC-pki-entity-en] common-name common

[AC-pki-entity-en] quit

# 创建PKI域do,本端实体en,注册机构:CA,不启用CRL查询。

[AC] pki domain do

[AC-pki-domain-do] certificate request from ca

[AC-pki-domain-do] certificate request entity en

[AC-pki-domain-do] crl check disable

[AC-pki-domain-do] quit

# 先用FTP等方式把证书上传到无线控制器中(详细过程略),再用命令导入证书。

[AC] pki import-certificate ca domain do pem filename root.pem

[AC] pki import-certificate local domain do p12 filename radius.p12

# 配置SSL服务器端策略eap-policy,指定使用的PKI域为do。

[AC] ssl server-policy eap-policy

[AC-ssl-server-policy-eap-policy] pki-domain do

[AC-ssl-server-policy-eap-policy] quit

(7)     配置本地EAP认证

# 配置EAP Profile,指定认证方法为peap-mschapv2。

[AC] eap-profile default-profile

[AC-eap-prof-default-profile] ssl-server-policy eap-policy

[AC-eap-prof-default-profile] method peap-mschapv2

[AC-eap-prof-default-profile] quit

# 配置本地服务器认证所使用的eap-profile为 default-profile。

[AC] local-server authentication eap-profile default-profile

3.4.2  RADIUS server的配置:

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。

 

# 登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。

·     设置认证、计费共享密钥为key,其它保持缺省配置;

·     选择或手工增加接入设备,添加IP地址为133.1.0.1的接入设备。

图2 增加接入设备

 

# 增加接入策略。

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入增加接入策略页面。设置接入策略名为office,其他均为默认配置即可。

图3 增加接入策略页面

 

# 增加接入服务。

选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。

·     设置服务名为office;

·     选择缺省接入策略为office,其他保持缺省配置。

图4 增加接入服务页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·     单击<增加用户>添加用户eapoff,证件号码 123456;

·     添加帐号名为eapoff,密码为123456;

·     选中刚才配置的服务office。

图5 增加接入用户

 

3.5  验证配置

# Client通过AC上线后,可以通过命令display connection查看到有1个用户在线。

[AC] display connection

Index=2   ,Username=eapoff@dm0

MAC=24-77-03-74-2C-C0

IP=N/A

IPv6=N/A

 Total 1 connection(s) matched.

# 可以通过命令display connection ucibindex查看在线用户的详细信息。

[AC] display connection ucibindex 9

Index=9   , Username=eapoff@dm0

MAC=24-77-03-74-2C-C0

IP=N/A

IPv6=N/A

Access=8021X   ,AuthMethod=EAP

Port Type=Wireless-802.11,Port Name=WLAN-DBSS0:0

Initial VLAN=100, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

SessionTimeout=N/A, Terminate-Action=N/A

Start=2014-01-24 18:09:15 ,Current=2014-01-24 18:10:03 ,Online=00h00m48s

 Total 1 connection matched.

3.6  配置文件

#

 port-security enable

#

 dot1x authentication-method eap

#

vlan 100

#

vlan 200

#

vlan 300

#

interface Vlan-interface100

 ip address 133.1.0.1 255.255.255.0

#

radius scheme eapoff

 primary authentication 133.1.0.50

 primary accounting 133.1.0.50

 key authentication cipher $c$3$9Q3c7agy84Q9YtZBkYcBKpNEqzjcIQ==

 key accounting cipher $c$3$cSQELRJScdgMs6d7lJhB+mrJVwoiwQ==

 eap offload method peap-mschapv2

#

domain dm0

 authentication lan-access radius-scheme eapoff

 authorization lan-access radius-scheme eapoff

 accounting lan-access radius-scheme eapoff

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

pki entity en

  common-name common

#

pki domain do

  certificate request from ca

  certificate request entity en

  crl check disable

#

wlan service-template 1 crypto

 ssid service

 bind WLAN-ESS 0

 cipher-suite ccmp

 security-ie rsn

 service-template enable

#

ssl server-policy eap-policy

 pki-domain do

#

eap-profile default-profile

 ssl-server-policy eap-policy

 method peap-mschapv2

#

interface WLAN-ESS0

 port link-type hybrid

undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

 mac-vlan enable

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key

 undo dot1x handshake

 dot1x mandatory-domain dm0

 undo dot1x multicast-trigger

#

wlan ap ap1 model WA2620E-AGN id 1

 serial-id 21023529G007C000020

 radio 1

radio 2

  service-template 1

  radio enable

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。

·     《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们