- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-802.1X与RADIUS Offload功能组合认证典型配置举例(V5)
本章节下载: 05-802.1X与RADIUS Offload功能组合认证典型配置举例(V5) (279.50 KB)
802.1X与RADIUS Offload功能组合认证典型配置举例(V5)
资料版本:6W114-20210416
Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍当RADIUS服务器不支持EAP认证时,无线控制器采用802.1X的认证方式为EAP中继方式对无线客户端进行认证的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA、802.1X和WLAN特性。
如图1所示,Client和AP通过DHCP服务器分配IP地址,RADIUS服务器不支持EAP认证,要求:
· 在AC上配置802.1X认证,以控制Client对网络资源的访问。
· 802.1X认证方式采用EAP中继方式。
· 对Client和AC之间传输的数据进行加密,加密套件采用AES-CCMP。
· 在强制认证域dm0进行认证。
图1 802.1X与RADIUS Offload组合认证组网图
· 由于需求中RADIUS服务器不支持EAP认证,要配置EAP中继方式的802.1X认证,需要使能RADIUS Offload功能。
· 要使能RADIUS Offload功能,必须配置本地EAP认证服务器,并指定其中的EAP认证方式为PEAP-MSCHAPv2(目前仅支持此认证方式)。
· 当EAP认证方式为PEAP-MSCHAPv2时,必须设置用于EAP认证的SSL服务器端策略。
· 由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
· 对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。
· 为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· 由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。
(1) 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 133.1.0.1 255.255.255.0
[AC-Vlan-interface100] quit
# 创建VLAN 200作为ESS接口的缺省VLAN。
[AC] vlan 200
[AC-vlan200] quit
# 创建VLAN 300作为Client接入的业务VLAN。
[AC] vlan 300
[AC-vlan300] quit
(2) 配置无线接口
# 创建WLAN-ESS接口,并进入该视图。
[AC] interface wlan-ess 0
# 配置端口的链路类型为Hybrid。
[AC-WLAN-ESS0] port link-type hybrid
# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。
[AC-WLAN-ESS0] undo port hybrid vlan 1
[AC-WLAN-ESS0] port hybrid pvid vlan 200
[AC-WLAN-ESS0] port hybrid vlan 200 untagged
# 在Hybrid端口上使能MAC-VLAN功能。
[AC-WLAN-ESS0] mac-vlan enable
[AC-WLAN-ESS0] quit
(3) 配置无线服务
# 创建crypto类型的服务模板1。
[AC] wlan service-template 1 crypto
# 设置当前服务模板的SSID为service。
[AC-wlan-st-1] ssid service
# 将WLAN-ESS0接口绑定到服务模板1。
[AC-wlan-st-1] bind wlan-ess 0
# 使能ccmp加密套件。
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 使能无线服务。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(4) 配置AP并绑定无线服务
# 在AC上配置AP名称为ap1,型号名称这里选择WA2620E-AGN,并配置序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 21023529G007C000020
# 将无线服务1绑定到射频2。
[AC-wlan-ap-ap1] radio 2
[AC-wlan-ap-ap1-radio-2] service-template 1
[AC-wlan-ap-ap1-radio-2] radio enable
[AC-wlan-ap-ap1-radio-2] quit
[AC-wlan-ap-ap1] quit
(5) 配置802.1X并使能EAP Offload功能。
# 配置RADIUS方案为eapoff,配置认证、计费和授权服务器的IP地址为133.1.0.50,配置与认证、计费和授权服务器交互报文时的共享密钥均为key。
[AC] radius scheme eapoff
[AC-radius-eapoff] primary authentication 133.1.0.50
[AC-radius-eapoff] primary accounting 133.1.0.50
[AC-radius-eapoff] key authentication key
[AC-radius-eapoff] key accounting key
# 使能EAP Offload功能。
[AC-radius-eapoff] eap offload method peap-mschapv2
[AC-radius-eapoff] quit
# 创建ISP域dm0域并进入其视图。
[AC] domain dm0
# 设置ISP域的认证、授权和计费方法均为RADIUS方式。
[AC-isp-dm0] accounting lan-access radius-scheme eapoff
[AC-isp-dm0] authentication lan-access radius-scheme eapoff
[AC-isp-dm0] authorization lan-access radius-scheme eapoff
[AC-isp-dm0] quit
# 启用端口安全,配置802.1X系统的认证方式为EAP中继方式。
[AC] port-security enable
[AC] dot1x authentication-method eap
# 进入WLAN-ESS接口视图。
[AC] interface wlan-ess 0
# 设置端口的安全模式为userlogin-secure-ext。
[AC-WLAN-ESS0] port-security port-mode userlogin-secure-ext
# 在WLAN-ESS接口下使能11key类型的密钥协商功能。
[AC-WLAN-ESS0] port-security tx-key-type 11key
# 关闭在线用户握手功能和组播触发功能。
[AC-WLAN-ESS0] undo dot1x handshake
[AC-WLAN-ESS0] undo dot1x multicast-trigger
# 指定WLAN-ESS接口的认证域为dm0。
[AC-WLAN-ESS0] dot1x mandatory-domain dm0
[AC-WLAN-ESS0] quit
(6) 配置SSL服务器端策略
# 创建PKI实体en,通用名common。
[AC] pki entity en
[AC-pki-entity-en] common-name common
[AC-pki-entity-en] quit
# 创建PKI域do,本端实体en,注册机构:CA,不启用CRL查询。
[AC] pki domain do
[AC-pki-domain-do] certificate request from ca
[AC-pki-domain-do] certificate request entity en
[AC-pki-domain-do] crl check disable
[AC-pki-domain-do] quit
# 先用FTP等方式把证书上传到无线控制器中(详细过程略),再用命令导入证书。
[AC] pki import-certificate ca domain do pem filename root.pem
[AC] pki import-certificate local domain do p12 filename radius.p12
# 配置SSL服务器端策略eap-policy,指定使用的PKI域为do。
[AC] ssl server-policy eap-policy
[AC-ssl-server-policy-eap-policy] pki-domain do
[AC-ssl-server-policy-eap-policy] quit
(7) 配置本地EAP认证
# 配置EAP Profile,指定认证方法为peap-mschapv2。
[AC] eap-profile default-profile
[AC-eap-prof-default-profile] ssl-server-policy eap-policy
[AC-eap-prof-default-profile] method peap-mschapv2
[AC-eap-prof-default-profile] quit
# 配置本地服务器认证所使用的eap-profile为 default-profile。
[AC] local-server authentication eap-profile default-profile
下面以iMC为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)),说明RADIUS服务器的基本配置。
# 登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为key,其它保持缺省配置;
· 选择或手工增加接入设备,添加IP地址为133.1.0.1的接入设备。
图2 增加接入设备
# 增加接入策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击<增加>按钮,进入增加接入策略页面。设置接入策略名为office,其他均为默认配置即可。
图3 增加接入策略页面
# 增加接入服务。
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
· 设置服务名为office;
· 选择缺省接入策略为office,其他保持缺省配置。
图4 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 单击<增加用户>添加用户eapoff,证件号码 123456;
· 添加帐号名为eapoff,密码为123456;
· 选中刚才配置的服务office。
图5 增加接入用户
# Client通过AC上线后,可以通过命令display connection查看到有1个用户在线。
[AC] display connection
Index=2 ,Username=eapoff@dm0
MAC=24-77-03-74-2C-C0
IP=N/A
IPv6=N/A
Total 1 connection(s) matched.
# 可以通过命令display connection ucibindex查看在线用户的详细信息。
[AC] display connection ucibindex 9
Index=9 , Username=eapoff@dm0
MAC=24-77-03-74-2C-C0
IP=N/A
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS0:0
Initial VLAN=100, Authorization VLAN=N/A
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
SessionTimeout=N/A, Terminate-Action=N/A
Start=2014-01-24 18:09:15 ,Current=2014-01-24 18:10:03 ,Online=00h00m48s
Total 1 connection matched.
#
port-security enable
#
dot1x authentication-method eap
#
vlan 100
#
vlan 200
#
vlan 300
#
interface Vlan-interface100
ip address 133.1.0.1 255.255.255.0
#
radius scheme eapoff
primary authentication 133.1.0.50
primary accounting 133.1.0.50
key authentication cipher $c$3$9Q3c7agy84Q9YtZBkYcBKpNEqzjcIQ==
key accounting cipher $c$3$cSQELRJScdgMs6d7lJhB+mrJVwoiwQ==
eap offload method peap-mschapv2
#
domain dm0
authentication lan-access radius-scheme eapoff
authorization lan-access radius-scheme eapoff
accounting lan-access radius-scheme eapoff
access-limit disable
state active
idle-cut disable
self-service-url disable
#
pki entity en
common-name common
#
pki domain do
certificate request from ca
certificate request entity en
crl check disable
#
wlan service-template 1 crypto
ssid service
bind WLAN-ESS 0
cipher-suite ccmp
security-ie rsn
service-template enable
#
ssl server-policy eap-policy
pki-domain do
#
eap-profile default-profile
ssl-server-policy eap-policy
method peap-mschapv2
#
interface WLAN-ESS0
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 200 untagged
port hybrid pvid vlan 200
mac-vlan enable
port-security port-mode userlogin-secure-ext
port-security tx-key-type 11key
undo dot1x handshake
dot1x mandatory-domain dm0
undo dot1x multicast-trigger
#
wlan ap ap1 model WA2620E-AGN id 1
serial-id 21023529G007C000020
radio 1
radio 2
service-template 1
radio enable
#
· 《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。
· 《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。
· 《H3C无线控制器产品 配置指导》中的“安全配置指导”。
· 《H3C无线控制器产品 命令参考》中的“安全命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
