选择区域语言: EN CN HK

H3C WA系列Fat AP典型配置案例集-6W104

03-H3C WA系列MAC认证典型配置举例

本章节下载  (432.62 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Configure/Typical_Configuration_Example/H3C_WA_Fat_AP-6W104/201909/1225110_30005_0.htm

03-H3C WA系列MAC认证典型配置举例

H3C WA系列 MAC认证典型配置举例

关键词:Radius,AAA

  随着网络应用的广泛普及,公司越来越多核心业务会依托网络平台,但由于传统共享网络的特点,局域网网络的安全问题日趋明显,本典型举例可以实现在网络的接入层对非法用户进行控制,既可缓解安全问题,又能节省宝贵的带宽。

缩略语:

缩略语

英文全名

中文解释

Radius

Remote Authentication Dial In User Service

基于用户服务的远程拨号认证

AAA

Authentication Authorization Accounting

认证 授权 计费

 



1 特性简介

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。

2 应用场合

MAC认证提供了一种基于MAC的认证手段,并简单地通过mac地址来实现认证,整个过程不需要输入任何信息。这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,但在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。

3 注意事项

(1)        本举例设置的是无线接口上的MAC认证。

(2)        在配置Radius时,primary authentication,primary accounting,Service type,Key一定要配置正确,并且和Radius服务器一致。需要注意的是如果使用的是iMC服务器,则一定要把service type设置成extended,这样iMC上一些私有设置才会被WA2200识别。

(3)        在配置域时要把Radius方案和域关联起来。

4 配置举例

4.1  组网需求

本配置举例中的AP使用的是WA2200无线局域网接入点。

 

本配置举例通过在AP的WLAN-BSS 2端口上启用MAC认证来达到对接入点Client进行控制的目的。

图4-1 AP 远程MAC认证组网图

 

4.2  配置思路

配置远程MAC认证,需要配置以下内容:

(1)        创建MAC认证时使用的Radius方案。

(2)        创建MAC认证时使用的域,并在域中引用Radius方案作为AAA的认证方案。

(3)        在系统视图下全局开启端口安全。

(4)        在设备上配置的MAC认证配置的用户信息中,用户名、密码应小写。

(5)        在需要认证的端口下使能MAC认证。

配置本地MAC认证,需要配置以下内容:

(1)        创建本地MAC认证时使用的本地用户名。

(2)        使用默认域作为认证域

(3)        在系统视图下全局开启端口安全。

(4)        在需要认证的端口下使能MAC认证。

4.3  使用版本

[AP]display version

H3C Comware Platform Software

Comware Software, Version 5.20, 0001

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes

 

 CPU type: AMCC PowerPC 266MHz

 64M bytes SDRAM Memory

 8M bytes Flash Memory

 Pcb Version:  Ver.A

 Basic  BootROM  Version:  1.04

 Extend BootROM  Version:  1.04

 [SLOT  1]CON (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0

 [SLOT  1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0

 

4.4  MAC认证配置

4.4.1  配置远程MAC认证

1. 配置信息

<AP>display current-configuration

#

 version 5.00, 0001

#

 sysname AP

#

domain default enable cams

#

 port-security enable

#

mac-authentication domain radius1

#

vlan 1

#

vlan 2 to 256

#

radius scheme system

 primary authentication 127.0.0.1

 primary accounting 127.0.0.1

 key authentication h3c

 key accounting h3c

 accounting-on enable

radius scheme radius1

 server-type extended

 primary authentication 8.1.1.16

 primary accounting 8.1.1.16

 key authentication h3c

 key accounting h3c

timer realtime-accounting 3

 user-name-format without-domain

 undo stop-accounting-buffer enable

 accounting-on enable

#

domain radius1

 authentication default radius-scheme radius1

 authorization default radius-scheme radius1

 accounting default radius-scheme radius1

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

wlan service-template 2 clear

ssid h3c-mac

authentication-method open-system

service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 8.20.1.20 255.255.255.0

#

interface Ethernet1/0/1

#

interface WLAN-BSS2

 port-security port-mode mac-authentication

#

interface WLAN-Radio1/0/1

service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 8.20.1.3

#

user-interface con 0

 idle-timeout 0 0

user-interface vty 0 4

#

return

 

2. 主要配置步骤

MAC认证接入端配置MAC认证。

(1)        启用port-security。

[AP]port-security enable

(2)        配置认证策略。

# 创建名为radius1的RADIUS方案并进入其视图。

[AP]radius scheme radius1

# 将RADIUS方案radius1的RADIUS服务器类型设置为extended。

[AP-radius-radius1]server-type extended

# 配置主RADIUS认证/授权服务器的IP地址为8.1.1.16。

[AP-radius-radius1]primary authentication 8.1.1.16

# 配置主RADIUS计费服务器的IP地址为8.1.1.16。

[AP-radius-radius1]primary accounting 8.1.1.16

# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为h3c。

[AP-radius-radius1]key authentication h3c

# 将RADIUS方案radius1的计费报文的共享密钥设置为h3c。

[AP-radius-radius1]key accounting h3c 

# 设置实时计费的时间间隔为3分钟。

[AP-radius-radius1]timer realtime-accounting 3

# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。

[AP-radius-radius1]user-name-format without-domain

# 禁止在设备上缓存没有得到响应的停止计费请求报文。

[AP-radius-radius1]undo stop-accounting-buffer enable

# 使能accounting-on功能。

[AP-radius-radius1]accounting-on enable

(3)        配置认证域

# 创建一个新的ISP域radius1,并进入其视图。

[AP]domain radius1

# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS认证方案。

[AP-isp-radius1]authentication default radius-scheme radius1 

# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS授权方案。

[AP-isp-radius1]authorization default radius-scheme radius1

# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS计费方案。

[AP-isp-radius1]accounting default radius-scheme radius1

(4)        配置MAC认证域为radius1域。

[AP] mac-authentication domain radius1

(5)        配置无线服务模板。

# 创建clear类型的服务模板2。

[AP]wlan service-template 2 clear 

# 设置服务模板2的SSID为h3c-mac。

[AP-wlan-st-2]ssid h3c-mac

# 使能开放式系统认证。

[AP-wlan-st-2]authentication-method open-system 

# 使能服务模板2。

[AP-wlan-st-2]service-template enable 

(6)        配置无线口,并在无线口启用端口安全(对接入用户采用MAC地址认证)。

[AP]interface WLAN-BSS 2

[AP-WLAN-BSS2] port-security port-mode mac-authentication

(7)        在射频口WLAN-Radio 1/0/1绑定无线服务模板2和无线口WLAN-BSS 2。

[AP]interface WLAN-Radio 1/0/1

[AP-WLAN-Radio1/0/1]service-template 2 interface WLAN-BSS 2

(8)        配置VLAN虚接口。

[AP1]interface Vlan-interface1 

[AP-Vlan-interface1]ip address 8.20.1.20 255.255.255.0

(9)        配置缺省路由。

[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 8.20.1.3

4.4.2  iMC配置

1. iMC版本:

 

2. 在iMC上配置MAC认证项:

接入设备配置:

(1)        在iMC“业务>接入业务”中选择“接入设备配置”,在“接入设备配置”页面中单击<增加>按钮,增加接入设备;

 

(2)        在“增加接入设备”页面,单击<手工增加>按钮,手工增加接入设备;

 

(3)        在弹出的对话框中输入接入设备的IP地址(如果只有一台接入设备,这里输入的起始IP地址和结束IP地址可以完全一样),然后单击<确定>按钮;

 

(4)        根据实际需求设置接入配置参数,然后单击<确定>按钮,增加接入设备成功;

 

显示增加接入设备成功页面:

 

3. 配置服务策略:

(1)        在iMC“业务>接入业务”中选择“服务配置管理”,在“服务配置管理”配置页面中单击<增加’>按钮,增加服务配置;:

 

(2)        在“增加服务配置”页面中输入服务名“h3c-mac”,其它配置都可以采用缺省值,点击该页面下方的<确定>按钮,完成增加服务配置;

 

单击<确定>按钮后,提示增加服务成功:

 

4. 配置帐号用户:

当采用MAC地址认证时,相应MAC用户的密码形式应和用户名形式一致,但必须是小写。

 

(1)        在iMC“用户>用户管理”中选择“增加用户”,在“用户>增加用户”配置页面中增加用户;

 

(2)        输入用户名“00212708b50f”,证件号码可以根据需要输入相关证件号码,然后点击<确定>按钮,提示增加用户成功:

 

显示增加用户成功配置页面:

 

(3)        在“用户>增加用户结果”页面选择“增加用户帐号”,在“用户>增加接入用户”页面输入帐号和密码(这里的帐号和密码必须是对应的MAC地址,且格式要注意和设备上配置的MAC认证格式一致,缺省情况下,MAC认证的用户名格式是xxxxxxxxxxxx),选择前面配置的接入服务“h3c-mac”,其它参数可以根据需要配置;

 

(4)        点击该页面下方的<确定>按钮,完成配置;

 

显示增加接入用户成功配置页面:

 

到此,在iMC上的mac认证配置已经完成。

4.4.3  配置本地MAC认证

1. 配置信息

[AP]display current-configuration

#

 version 5.20, Feature 1109P03

#

 sysname AP

#

 domain default enable system

#

 telnet server enable

#

 port-security enable

#

 mac-authentication domain system

#

vlan 1

#

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

#

local-user 00212708b50f

 password simple 00212708b50f

 service-type lan-access

local-user admin

 password simple h3capadmin

 authorization-attribute level 3

 service-type telnet

#

wlan rrm

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 2 clear

 ssid h3c-mac

 service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 8.20.1.20 255.255.255.0

#

interface Ethernet1/0/1

#

interface WLAN-BSS2

 port-security port-mode mac-authentication

#

interface WLAN-Radio1/0/1

 service-template 2 interface wlan-bss 2

#

 ip route-static 0.0.0.0 0.0.0.0 8.20.1.3

#

 arp-snooping enable

#

 load xml-configuration

#

user-interface con 0

user-interface vty 0 4

 authentication-mode scheme

#

return

[AP]                 

2. 主要配置步骤

MAC认证接入端配置MAC认证

(1)        启用port-security,缺省配置中port-security已被enable。

[AP]port-security enable 

(2)        配置MAC认证域为system域。

[AP] mac-authentication domain system

(3)        配置本地MAC认证用户。

# 添加名称为00212708b50f的本地用户,密码为明文00212708b50f。(00212708b50f为客户MAC地址)。

[AP]local-user 00212708b50f

New local user added.

[AP-luser-00212708b50f]password simple 00212708b50f

# 指定用户可以使用lan-access服务。

[AP-luser-00212708b50f]service-type lan-access

[AP-luser-00212708b50f]quit

(4)        配置无线服务模板

# 创建clear类型的服务模板2。

[AP]wlan service-template 2 clear 

# 设置服务模板2的SSID为h3c-mac。

[AP-wlan-st-2]ssid h3c-mac

# 使能开放式系统认证。

[AP-wlan-st-2]authentication-method open-system 

# 使能服务模板2。

[AP-wlan-st-2]service-template enable 

(5)        配置无线口,并在无线口启用端口安全(对接入用户采用MAC地址认证)。

[AP]interface WLAN-BSS 2

[AP-WLAN-BSS2] port-security port-mode mac-authentication

(6)        在射频口WLAN-Radio 1/0/1绑定无线服务模板2和无线口WLAN-BSS 2。

[AP]interface WLAN-Radio 1/0/1

[AP-WLAN-Radio1/0/1]service-template 2 interface WLAN-BSS 2

[AP-WLAN-Radio1/0/1]quit

(7)        配置VLAN虚接口

[AP]interface Vlan-interface1 

[AP-Vlan-interface1]ip address 8.20.1.20 255.255.255.0

[AP-Vlan-interface1]quit

(8)        配置缺省路由

[AP]ip route-static 0.0.0.0 0.0.0.0 8.20.1.3

4.5  验证结果

(1)        非用户名指定的网卡无法通过MAC认证,在这种情况下使用Client1访问internet,有结果1。

(2)        用mac地址与配置的MAC认证用户名相同的Client进行认证,有结果2。

(3)        结果1:Client1不能访问Internet上的资源。

(4)        结果2:Client2可以通过MAC认证成功,并且可以正常访问internet上的资源。

5 相关资料

5.1  相关协议和标准

表5-1 相关协议与标准

标准号

标题

RFC 2284

PPP Extensible Authentication Protocol (EAP)

 

5.2  其它相关资料

《H3C WA系列无线局域网接入点设备 用户手册》“安全分册”中的“MAC地址认证”、 “AAA”和“端口安全”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!