74-H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例(V7)
本章节下载 (359.18 KB)
H3C 无线控制器
分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例(V7)
资料版本:6W100-20191125
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
分层AC组网下802.1X认证的典型配置。
本文档适用于使用Comware V7软件版本的无线产品,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解分层AC、802.1X、WLAN接入、AP管理特性。
如图1所示,总部使用无线控制器作为Central AC,分支采用传统AC作为Local AC,Local AC负责管理和接入本地AP和无线客户端。用户的认证授权由分支Local AC负责,数据流量也由Local AC转发。
具体应用需求如下:
· AP通过DHCP Option43功能获取到Central AC地址,之后通过二次发现方式与Local AC建立CAPWAP连接。
· 使用iMC作为DOT1X服务器和AAA服务器对用户进行DOT1X认证。
· AP和用户的地址池配置在Local AC上。
图1 分层AC配置举例组网图
· 为了将AP的GigabitEthernet1/0/1接口加入本地转发的VLAN,需要使用文本文档编辑AP的配置文件,并将配置文件上传到AC存储介质上。
· 在总部分支组网中,如果不配置二次发现的Local AC的IP地址,则Central AC将当前负载最轻的Local AC的IP地址下发给AP,如果负载最轻的Local AC不是本分支的Local AC,则会导致本分支AP无法上线,所以为了保证本分支的AP能够正确从本分支的Local AC上线,需要配置二次发现的Local AC的IP地址为本分支的Local AC的IP地址。
本举例Central AC是在WX5560H的Release 5415P01版本、Local AC在WX3510H的Release 5415P01版本上进行配置和验证的。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· 在分支Local AC上做认证请将Radius服务,Domain服务等配置在Local AC设备上。
· Local AC上不能开启自动AP功能,对于需要在Central AC上统一管理的AP,也不要在Local AC上配置此AP模板。
配置本举例之前,请保证各设备之间路由可达。
# 使用文本文档编辑AP的配置文件,将配置文件命名为map.txt,并将配置文件上传到AC存储介质上。配置文件内容和格式如下:
system-view
vlan 12
vlan 20
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 12 20
(1) 配置接口
# 创建VLAN1及其接口,用来与Local AC建立管理通道。
<Central AC> system-view
[Central AC] vlan 1
[Central AC-vlan1] quit
[Central AC] interface vlan-interface 1
[Central AC-Vlan-interface1] ip address 1.1.1.41 16
[Central AC-Vlan-interface1] quit
(2) 配置Central AC管理的Local AC
# 创建名称为3510h-1的Local AC,并进入Local AC视图。
[Central AC] wlan local-ac name 3510h-1 model WX3510H
# 配置Local AC的序列号。
[Central AC-wlan-local-ac-3510h-1] serial-id 210235A1GCH147000017
[Central AC-wlan-local-ac-3510h-1] quit
(3) 配置无线服务。
# 创建无线服务模板dot1x。
[Central AC] wlan service-template dot1x
# 配置SSID。
[Central AC-wlan-st-dot1x] ssid dot1x
# 配置AKM为802.1X。
[Central AC-wlan-st-dot1x] akm mode dot1x
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[Central AC-wlan-st-dot1x] cipher-suite ccmp
[Central AC-wlan-st-dot1x] security-ie rsn
# 配置用户接入方式为802.1X认证。
[AC-wlan-st-service1] client-security authentication-mode dot1x
# 配置无线服务模板下的802.1X用户的ISP域。
[Central AC-wlan-st-dot1x] dot1x domain imc
# 开启无线服务模板。
[Central AC-wlan-st-dot1x] service-template enable
[Central AC-wlan-st-dot1x] quit
# 创建手工AP,名称为ap1,配置序列号为210235A1SVC15C000028。
[Central AC] wlan ap ap1 model WA5620i-ACN
[Central AC-wlan-ap-ap1] serial-id 210235A1SVC15C000028
# 指定AP的配置文件。
[Central AC-wlan-ap-ap1] map-configuration cfa0:/map.txt
# 开启二次发现AC功能。
[Central AC-wlan-ap-ap1] control-address enable
# 手动指定Local AC的IP地址。
[Central AC-wlan-ap-ap1] control-address ip 12.0.0.1
# 将无线服务模板dot1x绑定到Radio 1接口。
[Central AC-wlan-ap-ap1] radio 1
[Central AC-wlan-ap-ap1-radio-1] radio enable
[Central AC-wlan-ap-ap1-radio-1] service-template dot1x vlan 2000
[Central AC-wlan-ap-ap1-radio-1] quit
(1) 开启Local AC功能
# 开启Local AC功能。
<Local AC> system-view
[Local AC] wlan local-ac enable
# 指定Central AC的IP地址。
[Local AC] wlan central-ac ip 1.1.1.41
# 指定与Central AC建立管理通道的VLAN。
[Local AC] wlan local-ac capwap source-vlan 6
(2) 配置地址池
# 开启DHCP服务。
[Local AC] dhcp enable
# 配置地址池,为AP分配IP地址。
[Local AC] dhcp server ip-pool ap
[Local AC-dhcp-pool-ap] gateway-list 12.0.0.1
[Local AC-dhcp-pool-ap] network 12.0.0.0 mask 255.255.0.0
# 通过option43选项指定AC地址为Central AC地址。
[Local AC-dhcp-pool-ap] option 43 hex 80070000010b010101
[Local AC-dhcp-pool-ap] quit
# 配置地址池,为客户端分配IP地址。
[Local AC] dhcp server ip-pool client
[Local AC-dhcp-pool-ap] gateway-list 183.1.1.111
[Local AC-dhcp-pool-ap] network 183.1.0.0 mask 255.255.0.0
[Local AC-dhcp-pool-ap] quit
(3) 配置接口
# 创建VLAN6及其接口,Local AC通过此接口上线到Central AC。
[Local AC] vlan 6
[Local AC-vlan11] quit
[Local AC] interface Vlan-interface6
[Local AC-Vlan-interface11] ip address 10.77.182.22 255.255.255.192
[Local AC-Vlan-interface11] quit
# 创建VLAN12及其接口,用于AP上线。
[Local AC] vlan 12
[Local AC-vlan12] quit
[Local AC] interface Vlan-interface12
[Local AC-Vlan-interface12] ip address 12.0.0.1 255.255.0.0
[Local AC-Vlan-interface12] dhcp server apply ip-pool ap
[Local AC-Vlan-interface12] quit
# 创建VLAN2000及其接口,用于无线客户端上线。
[Local AC] vlan 2000
[Local AC-vlan20] quit
[Local AC] interface Vlan-interface2000
[Local AC-Vlan-interface20] ip address 183.1.1.111 255.255.0.0
[Local AC-Vlan-interface20] dhcp server apply ip-pool client
[Local AC-Vlan-interface20] quit
(4) 配置802.1X认证方式
#配置802.1X认证方式为EAP
[Local AC] dot1x authentication-method eap
(5) 配置无线客户端的DOT1X认证功能
· 配置RADIUS方案
# 创建RADIUS方案imc并进入其视图。
[Local AC] radius scheme imc
# 设置主认证RADIUS服务器的IP地址8.1.1.231。
[Local AC-radius-imc] primary authentication 8.1.1.231
# 设置主计费RADIUS服务器的IP地址8.1.1.231。
[Local AC-radius-imc] primary accounting 8.1.1.231
# 设置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。
[Local AC-radius-imc] key authentication simple 12345678
# 设置系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[Local AC-radius-imc] key accounting simple 12345678
# 设置发送给RADIUS服务器的用户名不携带域名。
[Local AC-radius-imc] user-name-format without-domain
# 设置设备发送RADIUS报文时使用的源IP地址8.183.1.111。
[Local AC-radius-imc] nas-ip 8.183.1.111
[Local AC-radius-imc] quit
· 配置认证域
# 创建imc域并进入其视图。
[Local AC] domain imc
# 为DOT1X用户配置认证方案为RADIUS方案,方案名为imc。
[Local AC-isp-imc] authentication portal radius-scheme imc
# 为DOT1X用户配置授权方案为RADIUS方案,方案名为imc。
[Local AC-isp-imc] authorization portal radius-scheme imc
# 为DOT1X用户配置计费方案为RADIUS方案,方案名为imc。
[Local AC-isp-imc] accounting portal radius-scheme imc
[Local AC-isp-imc] quit
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.2(E0403p10)、iMC EIA 7.2(E0405)、iMC EIP 7.2(E0405)说明RADIUS server的基本配置。
· 在服务器上已经完成证书的安装。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
¡ 设置认证、计费共享密钥为12345678,其它保持缺省配置;
¡ 选择增加Local AC,添加IP地址为183.1.1.1的接入设备。
图2 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
¡ 设置接入策略名为dot1x;
¡ 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
图3 增加服务策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
¡ 设置服务名为dot1x;
¡ 设置缺省接入策略为已经创建的dot1x策略。
图4 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
¡ 添加用户user;
¡ 添加帐号名为user,密码为dot1x;
¡ 选中刚才配置的服务dot1x。
图5 增加接入用户页面
# 在Central AC上可以查看到Local AC是R/M状态,说明Local AC已在Central AC上线。
[Central AC] display wlan local-ac name 3510h-1
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name ACID State Model Serial ID
3510h-1 2 R/M WX3510H 210235A1GCH147000017
# 在Central AC上可以查看到AP是R/M状态,说明Local AC已经通过二次发现与Central AC建立管理通道。
[Central AC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 4096
Remaining APs: 4095
Total AP licenses: 512
Remaining AP licenses: 511
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 8 R/M WA5620i-ACN 210235A1SVC15C000028
# 在Central AC上可以查看到AP已经连接到Local AC。
[Central AC] display wlan ap-distribution all
Central AC
Slot : 1
Total Number of APs: 0
AP name :
Local AC
Name : 3510h-1
Total Number of APs: 1
AP name : ap1
# 在Central AC上可以查看到无线客户端已经上线。
[Central AC] display wlan client
Total number of clients: 1
MAC address User name AP name RID IP address VLAN
e49a-dc71-a162 N/A ap1 1 183.1.0.1 2000
# 在Central AC上可以查看到用户已经DOT1X认证成功。
[Central AC] dis dot1x connection
Total connections: 1
User MAC address : e49a-dc71-a162
AP name : ap1
Radio ID : 1
SSID : dot1x
BSSID : 3891-d59a-7960
Username : user
Authentication domain : imc
IPv4 address : 183.1.0.1
Authentication method : EAP
Initial VLAN : 2000
Authorization VLAN : 2000
Authorization ACL number : 3000
Authorization user profile : N/A
Termination action : Default
Session timeout period : 86400 s
Online from : 2019/5/22 11:31:18
Online duration : 0h 2m 12s
· Central AC:
#
vlan 11
#
dot1x authentication-method eap
#
wlan service-template 1
ssid dot1x
client forwarding-location ap
client-security authentication-location central-ac
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain imc
service-template enable
#
interface Vlan-interface11
ip address 11.1.1.3 255.255.0.0
#
radius scheme imc
primary authentication 8.1.1.231
primary accounting 8.1.1.231
key authentication cipher $c$3$t7x0fIARso0US949SnQS2pq53eIdsgUr6z07
key accounting cipher $c$3$V4YI3sDOEq0VqAIPoaNjQOV3ZalvqTL05GC0
user-name-format without-domain
nas-ip 8.183.1.61
#
domain imc
authentication lan-access radius-scheme imc
authorization lan-access radius-scheme imc
accounting lan-access radius-scheme imc
#
wlan ap ap1 model WA5620i-ACN
serial-id 210235A1SVC15C000028
map-configuration cfa0:/map.txt
control-address enable
control-address ip 11.1.1.104
radio 1
radio enable
service-template 1 vlan 20
#
wlan local-ac name 3510h-1 model WX3510H
serial-id 210235A1JNB166000078
#
· Local AC :
#
dhcp enable
#
vlan 11 to 12
#
vlan 20
#
dhcp server ip-pool ap
gateway-list 12.0.0.1
network 12.0.0.0 mask 255.255.0.0
option 43 hex 80070000010b010103
#
dhcp server ip-pool client
gateway-list 20.0.0.1
network 20.0.0.0 mask 255.255.0.0
#
interface Vlan-interface11
ip address 11.1.1.104 255.255.0.0
#
interface Vlan-interface12
ip address 12.0.0.1 255.255.0.0
dhcp server apply ip-pool ap
#
interface Vlan-interface20
ip address 20.0.0.1 255.255.0.0
dhcp server apply ip-pool client
#
wlan local-ac enable
wlan local-ac capwap source-vlan 11
#
wlan central-ac ip 11.1.1.3
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!