03-H3C WA系列MAC认证典型配置举例
本章节下载: 03-H3C WA系列MAC认证典型配置举例 (432.62 KB)
H3C WA系列 MAC认证典型配置举例
关键词:Radius,AAA
摘 要:随着网络应用的广泛普及,公司越来越多核心业务会依托网络平台,但由于传统共享网络的特点,局域网网络的安全问题日趋明显,本典型举例可以实现在网络的接入层对非法用户进行控制,既可缓解安全问题,又能节省宝贵的带宽。
缩略语:
缩略语 |
英文全名 |
中文解释 |
Radius |
Remote Authentication Dial In User Service |
基于用户服务的远程拨号认证 |
AAA |
Authentication Authorization Accounting |
认证 授权 计费 |
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,也不需要用户手动输入用户名或者密码。
MAC认证提供了一种基于MAC的认证手段,并简单地通过mac地址来实现认证,整个过程不需要输入任何信息。这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,但在可运营、可管理的宽带IP城域网中作为一种认证方式具有极大的局限性。
(1) 本举例设置的是无线接口上的MAC认证。
(2) 在配置Radius时,primary authentication,primary accounting,Service type,Key一定要配置正确,并且和Radius服务器一致。需要注意的是如果使用的是iMC服务器,则一定要把service type设置成extended,这样iMC上一些私有设置才会被WA2200识别。
(3) 在配置域时要把Radius方案和域关联起来。
本配置举例中的AP使用的是WA2200无线局域网接入点。
本配置举例通过在AP的WLAN-BSS 2端口上启用MAC认证来达到对接入点Client进行控制的目的。
图4-1 AP 远程MAC认证组网图
配置远程MAC认证,需要配置以下内容:
(1) 创建MAC认证时使用的Radius方案。
(2) 创建MAC认证时使用的域,并在域中引用Radius方案作为AAA的认证方案。
(3) 在系统视图下全局开启端口安全。
(4) 在设备上配置的MAC认证配置的用户信息中,用户名、密码应小写。
(5) 在需要认证的端口下使能MAC认证。
配置本地MAC认证,需要配置以下内容:
(1) 创建本地MAC认证时使用的本地用户名。
(2) 使用默认域作为认证域
(3) 在系统视图下全局开启端口安全。
(4) 在需要认证的端口下使能MAC认证。
[AP]display version
H3C Comware Platform Software
Comware Software, Version 5.20, 0001
Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
WA2200 uptime is 0 week, 0 day, 16 hours, 48 minutes
CPU type: AMCC PowerPC 266MHz
64M bytes SDRAM Memory
8M bytes Flash Memory
Pcb Version: Ver.A
Basic BootROM Version: 1.04
Extend BootROM Version: 1.04
[SLOT 1]CON (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]RADIO1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/1 (Hardware)Ver.A, (Driver)1.0
[SLOT 1]ETH1/0/2 (Hardware)Ver.A, (Driver)1.0
<AP>display current-configuration
#
version 5.00, 0001
#
sysname AP
#
domain default enable cams
#
port-security enable
#
mac-authentication domain radius1
#
vlan 1
#
vlan 2 to 256
#
radius scheme system
primary authentication 127.0.0.1
primary accounting 127.0.0.1
key authentication h3c
key accounting h3c
accounting-on enable
radius scheme radius1
server-type extended
primary authentication 8.1.1.16
primary accounting 8.1.1.16
key authentication h3c
key accounting h3c
timer realtime-accounting 3
user-name-format without-domain
undo stop-accounting-buffer enable
accounting-on enable
#
domain radius1
authentication default radius-scheme radius1
authorization default radius-scheme radius1
accounting default radius-scheme radius1
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template 2 clear
ssid h3c-mac
authentication-method open-system
service-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 8.20.1.20 255.255.255.0
#
interface Ethernet1/0/1
#
interface WLAN-BSS2
port-security port-mode mac-authentication
#
interface WLAN-Radio1/0/1
service-template 2 interface wlan-bss 2
#
ip route-static 0.0.0.0 0.0.0.0 8.20.1.3
#
user-interface con 0
idle-timeout 0 0
user-interface vty 0 4
#
return
在MAC认证接入端配置MAC认证。
(1) 启用port-security。
[AP]port-security enable
(2) 配置认证策略。
# 创建名为radius1的RADIUS方案并进入其视图。
[AP]radius scheme radius1
# 将RADIUS方案radius1的RADIUS服务器类型设置为extended。
[AP-radius-radius1]server-type extended
# 配置主RADIUS认证/授权服务器的IP地址为8.1.1.16。
[AP-radius-radius1]primary authentication 8.1.1.16
# 配置主RADIUS计费服务器的IP地址为8.1.1.16。
[AP-radius-radius1]primary accounting 8.1.1.16
# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为h3c。
[AP-radius-radius1]key authentication h3c
# 将RADIUS方案radius1的计费报文的共享密钥设置为h3c。
[AP-radius-radius1]key accounting h3c
# 设置实时计费的时间间隔为3分钟。
[AP-radius-radius1]timer realtime-accounting 3
# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。
[AP-radius-radius1]user-name-format without-domain
# 禁止在设备上缓存没有得到响应的停止计费请求报文。
[AP-radius-radius1]undo stop-accounting-buffer enable
# 使能accounting-on功能。
[AP-radius-radius1]accounting-on enable
(3) 配置认证域
# 创建一个新的ISP域radius1,并进入其视图。
[AP]domain radius1
# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS认证方案。
[AP-isp-radius1]authentication default radius-scheme radius1
# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS授权方案。
[AP-isp-radius1]authorization default radius-scheme radius1
# 在ISP域radius1下,为所有类型的用户配置方案名为radius1的RADIUS计费方案。
[AP-isp-radius1]accounting default radius-scheme radius1
(4) 配置MAC认证域为radius1域。
[AP] mac-authentication domain radius1
(5) 配置无线服务模板。
# 创建clear类型的服务模板2。
[AP]wlan service-template 2 clear
# 设置服务模板2的SSID为h3c-mac。
[AP-wlan-st-2]ssid h3c-mac
# 使能开放式系统认证。
[AP-wlan-st-2]authentication-method open-system
# 使能服务模板2。
[AP-wlan-st-2]service-template enable
(6) 配置无线口,并在无线口启用端口安全(对接入用户采用MAC地址认证)。
[AP]interface WLAN-BSS 2
[AP-WLAN-BSS2] port-security port-mode mac-authentication
(7) 在射频口WLAN-Radio 1/0/1绑定无线服务模板2和无线口WLAN-BSS 2。
[AP]interface WLAN-Radio 1/0/1
[AP-WLAN-Radio1/0/1]service-template 2 interface WLAN-BSS 2
(8) 配置VLAN虚接口。
[AP1]interface Vlan-interface1
[AP-Vlan-interface1]ip address 8.20.1.20 255.255.255.0
(9) 配置缺省路由。
[AP-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 8.20.1.3
接入设备配置:
(1) 在iMC“业务>接入业务”中选择“接入设备配置”,在“接入设备配置”页面中单击<增加>按钮,增加接入设备;
(2) 在“增加接入设备”页面,单击<手工增加>按钮,手工增加接入设备;
(3) 在弹出的对话框中输入接入设备的IP地址(如果只有一台接入设备,这里输入的起始IP地址和结束IP地址可以完全一样),然后单击<确定>按钮;
(4) 根据实际需求设置接入配置参数,然后单击<确定>按钮,增加接入设备成功;
显示增加接入设备成功页面:
(1) 在iMC“业务>接入业务”中选择“服务配置管理”,在“服务配置管理”配置页面中单击<增加’>按钮,增加服务配置;:
(2) 在“增加服务配置”页面中输入服务名“h3c-mac”,其它配置都可以采用缺省值,点击该页面下方的<确定>按钮,完成增加服务配置;
单击<确定>按钮后,提示增加服务成功:
当采用MAC地址认证时,相应MAC用户的密码形式应和用户名形式一致,但必须是小写。
(1) 在iMC“用户>用户管理”中选择“增加用户”,在“用户>增加用户”配置页面中增加用户;
(2) 输入用户名“00212708b50f”,证件号码可以根据需要输入相关证件号码,然后点击<确定>按钮,提示增加用户成功:
显示增加用户成功配置页面:
(3) 在“用户>增加用户结果”页面选择“增加用户帐号”,在“用户>增加接入用户”页面输入帐号和密码(这里的帐号和密码必须是对应的MAC地址,且格式要注意和设备上配置的MAC认证格式一致,缺省情况下,MAC认证的用户名格式是xxxxxxxxxxxx),选择前面配置的接入服务“h3c-mac”,其它参数可以根据需要配置;
(4) 点击该页面下方的<确定>按钮,完成配置;
显示增加接入用户成功配置页面:
到此,在iMC上的mac认证配置已经完成。
[AP]display current-configuration
#
version 5.20, Feature 1109P03
#
sysname AP
#
domain default enable system
#
telnet server enable
#
port-security enable
#
mac-authentication domain system
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
#
local-user 00212708b50f
password simple 00212708b50f
service-type lan-access
local-user admin
password simple h3capadmin
authorization-attribute level 3
service-type telnet
#
wlan rrm
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54
#
wlan service-template 2 clear
ssid h3c-mac
service-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 8.20.1.20 255.255.255.0
#
interface Ethernet1/0/1
#
interface WLAN-BSS2
port-security port-mode mac-authentication
#
interface WLAN-Radio1/0/1
service-template 2 interface wlan-bss 2
#
ip route-static 0.0.0.0 0.0.0.0 8.20.1.3
#
arp-snooping enable
#
load xml-configuration
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
[AP]
在MAC认证接入端配置MAC认证
(1) 启用port-security,缺省配置中port-security已被enable。
[AP]port-security enable
(2) 配置MAC认证域为system域。
[AP] mac-authentication domain system
(3) 配置本地MAC认证用户。
# 添加名称为00212708b50f的本地用户,密码为明文00212708b50f。(00212708b50f为客户MAC地址)。
[AP]local-user 00212708b50f
New local user added.
[AP-luser-00212708b50f]password simple 00212708b50f
# 指定用户可以使用lan-access服务。
[AP-luser-00212708b50f]service-type lan-access
[AP-luser-00212708b50f]quit
(4) 配置无线服务模板
# 创建clear类型的服务模板2。
[AP]wlan service-template 2 clear
# 设置服务模板2的SSID为h3c-mac。
[AP-wlan-st-2]ssid h3c-mac
# 使能开放式系统认证。
[AP-wlan-st-2]authentication-method open-system
# 使能服务模板2。
[AP-wlan-st-2]service-template enable
(5) 配置无线口,并在无线口启用端口安全(对接入用户采用MAC地址认证)。
[AP]interface WLAN-BSS 2
[AP-WLAN-BSS2] port-security port-mode mac-authentication
(6) 在射频口WLAN-Radio 1/0/1绑定无线服务模板2和无线口WLAN-BSS 2。
[AP]interface WLAN-Radio 1/0/1
[AP-WLAN-Radio1/0/1]service-template 2 interface WLAN-BSS 2
[AP-WLAN-Radio1/0/1]quit
(7) 配置VLAN虚接口
[AP]interface Vlan-interface1
[AP-Vlan-interface1]ip address 8.20.1.20 255.255.255.0
[AP-Vlan-interface1]quit
(8) 配置缺省路由
[AP]ip route-static 0.0.0.0 0.0.0.0 8.20.1.3
(1) 非用户名指定的网卡无法通过MAC认证,在这种情况下使用Client1访问internet,有结果1。
(2) 用mac地址与配置的MAC认证用户名相同的Client进行认证,有结果2。
(3) 结果1:Client1不能访问Internet上的资源。
(4) 结果2:Client2可以通过MAC认证成功,并且可以正常访问internet上的资源。
标准号 |
标题 |
RFC 2284 |
PPP Extensible Authentication Protocol (EAP) |
《H3C WA系列无线局域网接入点设备 用户手册》“安全分册”中的“MAC地址认证”、 “AAA”和“端口安全”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!