- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-Aruba ClearPass接入认证功能对接操作指导
本章节下载 (5.84 MB)
H3C无线控制器与Aruba ClearPass接入认证功能对接操作指导
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本章介绍H3C无线控制器与Aruba的认证服务器软件ClearPass的接入认证功能对接配置,包括MAC认证、802.1X认证、Portal认证、授权下发VLAN和ACL及强制用户下线功能。
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
如图1所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置MAC地址认证的用户名和密码均为用户的MAC地址。
图1 MAC认证配置组网图
· 配置AC上的MAC地址认证用户名格式为无线客户端的MAC地址,RADIUS服务器上添加的接入用户的用户名和密码需要与AC上的MAC地址认证用户名格式保持一致。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· 部分款型终端默认会开启随机MAC功能,可能会导致MAC认证失败,建议终端侧关闭随机MAC功能。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置MAC地址认证的用户名和密码均为用户的MAC地址,且不带连字符(该配置为缺省配置)。
[AC] mac-authentication user-name-format mac-address without-hyphen lowercase
# 配置无线服务模板h3c-macauth的SSID为h3c-macauth,并设置用户认证方式为MAC地址认证,认证域为clearpass。
#
wlan service-template h3c-macauth
ssid h3c-macauth
client-security authentication-mode mac
mac-authentication domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-macauth vlan 1308
radio 2
radio enable
service-template h3c-macauth vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308为Client分配地址范围为40.8.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为40.8.0.1。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图2 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名:admin,密码:123456,点击<登录>按钮进入认证配置页面。
图3 登录ClearPass Policy Manager
(2) 添加设备
# 点击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商选择H3C;
¡ 单击<保存>按钮。
图4 添加设备
(3) 添加用户
# 点击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名和密码都为Client的MAC地址,小写且不带连接符形式(和AC配置的MAC认证格式一致);
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,选择自己创建的角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图5 添加用户
(4) 添加服务
# 点击页面左侧导航栏的“配置 > 服务”,并添加服务。
图6 服务
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“忽略MAC认证”,配置名称为MAC ACCESS。
图7 添加服务
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“Allow ALL MAC AUTH”,认证源为默认选项。
# “角色”和“强制执行”页签保持默认配置,点击<保存>按钮。
图8 配置认证
# 在“配置 > 服务”页面,重新排序,将MAC ACCESS服务调整到第一个。
图9 重新排序
(1) 在AC上查看Client在线,MAC认证成功。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
cdb-b3d4-d88c fcdbb3d4d88c ap1 2 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : fcdbb3d4d88c
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-macauth
BSSID : ac74-0906-e872
VLAN ID : 1308
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : MAC
WPA3 status : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 15seconds
FT status : Inactive
[AC] display mac-authentication connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-macauth
BSSID : ac74-0906-e872
Username : fcdbb3d4d88c
Authentication domain : clearpass
Initial VLAN : 1308
Authorization VLAN : 1308
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 10:37:14
Online duration : 0h 0m 27s
(2) 终端关联h3c-macauth服务,能获取IP地址,可以ping通网关。
图10 ping网关
(3) 在ClearPass上可以看到在线用户。
# 点击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户fcdbb3d4d88c认证成功。
图11 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
wlan service-template h3c-macauth
ssid h3c-macauth
client-security authentication-mode mac
mac-authentication domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-macauth vlan 1308
radio 2
radio enable
service-template h3c-macauth vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
如图12所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置EAP-PEAP认证方式。
图12 802.1X EAP-PEAP认证配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置802.1X系统的认证方法为EAP。
dot1x authentication-method eap
# 配置无线服务模板h3c-dot1x的SSID为h3c-dot1x,并设置用户认证方式为dot1x认证,认证域为clearpass。
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308为Client分配地址范围为40.8.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为40.8.0.1。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图13 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名:admin,密码:123456,点击<登录>按钮进入认证配置页面。
图14 登录ClearPass Policy Manager
(2) 添加设备
# 点击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商选择H3C;
¡ 单击<保存>按钮。
图15 添加设备
(3) 添加用户
# 点击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3c1x,密码:h3c1x;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,选择自己创建的角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图16 添加用户
(4) 添加服务
# 点击页面左侧导航栏的“配置 > 服务”,并添加服务。
图17 服务
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。
图18 添加服务
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。
# “角色”和“强制执行”页签保持默认配置,点击<保存>按钮。
图19 配置认证
# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。
图20 重新排序
(1) 在AC上查看Client在线,802.1X认证成功。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c h3c1x ap1 2 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : h3c1x
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
VLAN ID : 1308
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : Disabled
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 13seconds
FT status : Inactive
[AC] display dot1x connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
Username : h3c1x
Authentication domain : clearpass
IPv4 address : 40.8.0.129
Authentication method : EAP
Initial VLAN : 1308
Authorization VLAN : 1308
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 11:14:25
Online duration : 0h 0m 19s
(2) 终端关联h3c-dot1x,802.1X认证成功,能获取IP地址。
图21 关联h3c-dot1x
(3) 在ClearPass上可以看到在线用户。
# 点击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过802.1X EAP-PEAP方式认证成功。
图22 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
dot1x authentication-method eap
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
如图23所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置EAP-PEAP认证方式。
· 通过ClearPass授权下发VLAN和ACL,初始VLAN为1308,授权下发VLAN为1309。
图23 802.1X EAP-PEAP认证下发授权VLAN/ACL配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置802.1X系统的认证方法为EAP。
#
dot1x authentication-method eap
#
# 配置无线服务模板h3c-dot1x的SSID为h3c-dot1x,并设置用户认证方式为dot1x认证,认证域为clearpass。
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
[AC] vlan 1308 to 1309
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 配置ACL 3001。
#
acl advanced 3001
rule 0 deny ip destination 40.8.0.119 0
rule 5 permit ip
#
# 创建VLAN 1308、VLAN 1309及其对应的VLAN接口,并为该接口配置IP地址,Client使用VLAN 1308连接无线网络,认证通过后使用授权VLAN 1309接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308 to 1309
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
interface Vlan-interface1309
ip address 40.9.0.1 255.255.0.0
# 配置DHCP地址池vlan1308和vlan1309,为Client分配地址。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
dhcp server ip-pool vlan1309
gateway-list 40.9.0.1
network 40.9.0.0 mask 255.255.0.0
dns-list 40.9.0.1
#
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图24 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名:admin,密码:123456,点击<登录>按钮进入认证配置页面。
图25 登录ClearPass Policy Manager
(2) 添加设备
# 点击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商选择H3C;
¡ 单击<保存>按钮。
图26 添加设备
(3) 添加用户
# 点击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3c1x,密码:h3c1x;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,选择自己创建的角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图27 添加用户
(4) 添加强制执行配置文件
# 点击页面左侧导航栏的“配置 > 强制执行 > 配置文件”,添加强制执行配置文件。
图28 添加强制执行配置文件
# 在“配置 > 强制执行 > 配置文件 > Add Enforcement Profile”页面的“配置文件”页签,模板选择“基于RADIUS的强制执行”,名称为ACL-VLAN for h3c。
图29 配置文件
# 在“配置 > 强制执行 > 配置文件 > Add Enforcement Profile”页面的“属性”页签,添加授权VLAN(IETF Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-Id属性),授权ACL(IETF Filter-Id属性),点击<保存>按钮。
图30 属性
# 点击页面左侧导航栏的“配置 > 强制执行 > 策略”,添加强制执行策略。
图31 添加强制执行策略
# 在“配置 > 强制执行 > 策略 > 添加”页面的“强制执行”页签,配置名称为ACL-VLAN for h3c,配置文件选择ACL-VLAN for h3c。
图32 强制执行
# 在“配置 > 强制执行 > 策略 > 添加”页面的“规则”页签,配置匹配条件,强制执行配置文件选择“[RADIUS:]ACL-VLAN for h3c”,点击<保存>按钮。
图33 规则
(6) 添加服务
# 点击页面左侧导航栏的“配置 > 服务”,并添加服务。
图34 服务
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。
图35 添加服务
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。
图36 配置认证
# 在“配置 > 服务 > 添加”页面的“强制执行”页签,强制执行策略选择“ACL-VLAN for h3c”。
图37 强制执行
# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。
图38 重新排序
(1) 在AC上查看Client在线,802.1X认证成功。Client详细信息和DOT1X信息显示授权VLAN为1309,授权ACL为3001。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c h3c1x ap1 2 40.9.0.13 1309
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.9.0.13
IPv6 address : N/A
Username : h3c1x
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
VLAN ID : 1309
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : Disabled
Authorization ACL ID : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 20seconds
FT status : Inactive
[AC] display dot1x connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
Username : h3c1x
Authentication domain : clearpass
IPv4 address : 40.9.0.13
Authentication method : EAP
Initial VLAN : 1308
Authorization VLAN : 1309
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 15:35:40
Online duration : 0h 0m 26s
(2) 终端关联h3c-dot1x,能ping通vlan1309的网关。
图39 关联h3c-dot1x
(3) 在ClearPass上可以看到在线用户。
# 点击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过802.1X EAP-PEAP方式认证成功。
图40 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
dot1x authentication-method eap
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
vlan 1308 to 1309
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
acl advanced 3001
rule 0 deny ip destination 40.8.0.119 0
rule 5 permit ip
#
· Switch:
#
vlan 1308 to 1309
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
interface Vlan-interface1309
ip address 40.9.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
dhcp server ip-pool vlan1309
gateway-list 40.9.0.1
network 40.9.0.0 mask 255.255.0.0
dns-list 40.9.0.1
#
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
如图41所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行Portal认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器和Portal服务器。
· 对无线用户采用直接方式的Portal认证。
图41 Portal认证配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 使能http和https服务,配置portal web-server和本地web-server。
#
ip http enable
ip https enable
#
portal web-server clearpass
url https://8.1.1.171/guest/h3c.php?_browser=1
#
portal local-web-server http
default-logon-page defaultfile.zip
#
#
portal local-web-server https
default-logon-page defaultfile.zip
#
# 使能host-check和配置free-rule,放行目的ip为40.1.1.56地址。
#
portal host-check enable
portal free-rule 200 destination ip 40.1.1.56 255.255.255.255
#
# 配置无线服务模板h3c-portal的SSID为h3c-portal,使能portal认证,认证域为clearpass。
#
wlan service-template h3c-portal
ssid h3c-portal
portal enable method direct
portal domain clearpass
portal apply web-server clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-portal vlan 1308
radio 2
radio enable
service-template h3c-portal vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308为Client分配地址范围为40.8.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为40.8.0.1。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 配置Portal页面
# 在浏览器输入ClearPass管理IP地址8.1.1.171,登陆ClearPass配置页面,然后单击ClearPass Guest。
图42 登录ClearPass Guest
# 点击页面左侧导航栏的“配置 > Pages > 网页登陆”,在“网页登陆”页面自定义Portal登陆界面。
图43 网页登陆
# 自定义Portal登陆界面:
¡ 名字:h3c;
¡ 页面名称:h3c;
¡ 供应商设置:自定义设置;
¡ 提交URL:http://40.1.1.56/portal/logon.cgi,其中40.1.1.56为AC的IP地址;
¡ 用户名字段:PtUser,密码字段:PtPwd,额外字段:PtButton=Logon(注意:用户名字段、密码字段和额外字段内容不能随意更改);
¡ 其它字段保持默认配置即可,然后保存配置。
图44 自定义Portal登陆界面
(2) 登录ClearPass Policy Manager
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图45 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名:admin,密码:123456,点击<登录>按钮进入认证配置页面。
图46 登录ClearPass Policy Manager
(3) 添加设备
# 点击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商选择H3C;
¡ 单击<保存>按钮。
图47 添加设备
(4) 添加用户
# 点击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3cportal,密码:h3cportal;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,选择自己创建的角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图48 添加用户
(5) 配置Guest Access
# 点击页面左侧导航栏的“配置 > 此处开始”,然后选择“Guest Access”。
图49 Guest Access
# 在“General”页签,Select Prefix选择h3c。
图50 General
# 在“Wireless Network Settings”页签,SSID配置为h3c-portal,Controller选择AC,其它页签保持默认配置即可,然后保存配置。
图51 Wireless Network Settings
(6) 添加服务
# 在“配置 > 服务”页面,新增h3c Guest Access服务,重新排序,将其调整到第一个。
图52 新增h3c Guest Access服务并排序
# 编辑h3c Guest Access,在“认证”页签,设置“认证源”,选择红框里的两项,并保存配置。
图53 配置认证
(1) Client关联h3c-portal服务后,能重定向到portal认证页面。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c N/A ap1 1 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 1
SSID : h3c-portal
BSSID : ac74-0906-e860
VLAN ID : 1308
Sleep count : 760
Wireless mode : 802.11ac
Channel bandwidth : 20MHz
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Supported
LDPC RX capability : Supported
Beamformee STS capability : 1
Number of Sounding Dimensions : 1
SU beamformee capability : Supported
MU beamformee capability : Supported
Block Ack : TID 0 Both
TID 1 Out
TID 6 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 53
Rx/Tx rate : 173.3/173.3 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
WPA3 status : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 11minutes 54seconds
FT status : Inactive
[AC] display portal user all
Total portal users: 1
Username: h3cportal
AP name: ap1
Radio ID: 1
SSID: h3c-portal
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
fcdb-b3d4-d88c 40.8.0.129 1308 WLAN-BSS1/0/614
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
[AC] display portal user all verbose
Total portal users: 1
Basic:
AP name: ap1
Radio ID: 1
SSID: h3c-portal
Current IP address: 40.8.0.129
Original IP address: 40.8.0.129
Username: h3cportal
User ID: 0x10000009
Access interface: WLAN-BSS1/0/614
Service-VLAN/Customer-VLAN: 1308/-
MAC address: fcdb-b3d4-d88c
Authentication type: Local
Domain name: clearpass
VPN instance: N/A
Status: Online
Portal server: N/A
Vendor: N/A
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: N/A
Session duration: 0 sec, remaining: 0 sec
Remaining traffic: N/A
Login time: 2019-03-16 14:46:17 UTC
Online time(hh:mm:ss): 00:00:41
DHCP IP pool: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: N/A
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
Flow statistic:
Uplink packets/bytes: 56/5061
Downlink packets/bytes: 0/0
(2) 终端关联h3c-portal服务,浏览器输入地址后可以重定向,并且进行Portal认证成功。
图54 关联h3c-portal
(3) 在ClearPass上可以看到在线用户。
# 点击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过Portal方式认证成功。
图55 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
ip http enable
ip https enable
#
portal web-server clearpass
url https://8.1.1.171/guest/h3c.php?_browser=1
#
portal local-web-server http
default-logon-page defaultfile.zip
#
portal local-web-server https
default-logon-page defaultfile.zip
#
portal host-check enable
portal free-rule 200 destination ip 40.1.1.56 255.255.255.255
#
wlan service-template h3c-portal
ssid h3c-portal
portal enable method direct
portal domain clearpass
portal apply web-server clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-portal vlan 1308
radio 2
radio enable
service-template h3c-portal vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
如图56所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置EAP-PEAP认证方式。
· 通过ClearPass可以强制用户下线。
图56 802.1X EAP-PEAP认证并强制用户下线配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置802.1X系统的认证方法为EAP。
[AC] dot1x authentication-method eap
# 配置无线服务模板h3c-dot1x的SSID为h3c-dot1x,并设置用户认证方式为dot1x认证,认证域为clearpass。
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 增加Radius DAE配置,IP地址为ClearPass服务器地址,key为h3c。
#
radius dynamic-author server
client ip 8.1.1.171 key cipher $c$3$LkLgZHMHKYai/BgJw8LF98DwtLq6RQ==
#
radius session-control enable
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308为Client分配地址范围为40.8.0.0/16,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),网关地址为40.8.0.1。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图57 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名:admin,密码:123456,点击<登录>按钮进入认证配置页面。
图58 登录ClearPass Policy Manager
(2) 添加设备
# 点击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商选择H3C;
¡ 单击<保存>按钮。
图59 添加设备
(3) 添加用户
# 点击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3c1x,密码:h3c1x;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,选择自己创建的角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图60 添加用户
(4) 添加强制执行配置文件
# 点击页面左侧导航栏的“配置 > 强制执行 > 配置文件”,添加强制执行配置文件。
图61 添加强制执行配置文件
# 强制执行配置文件名称为Disconnect for H3C,类型为RADIUS_CoA,增加Radius:IETF Acct-Session-Id属性。
图62 配置文件
(5) 添加强制执行配置策略
详细配置请参见1.4.4 3. (5)添加强制执行配置策略。
(6) 添加服务
# 点击页面左侧导航栏的“配置 > 服务”,并添加服务。
图63 服务
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。
图64 添加服务
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。在“强制执行”页签,强制执行策略选择“Disconnect for H3C”。
图65 配置服务
# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。
图66 重新排序
(1) 在AC上查看Client在线,802.1X认证成功。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c h3c1x ap1 2 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : h3c1x
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
VLAN ID : 1308
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : Disabled
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 13seconds
FT status : Inactive
[AC] display dot1x connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
Username : h3c1x
Authentication domain : clearpass
IPv4 address : 40.8.0.129
Authentication method : EAP
Initial VLAN : 1308
Authorization VLAN : 1308
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 11:14:25
Online duration : 0h 0m 19s
(2) 终端关联h3c-dot1x,802.1X认证成功,能获取IP地址。
图67 关联h3c-dot1x
(3) 在ClearPass上可以看到在线用户。
# 点击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过802.1X EAP-PEAP方式认证成功。
# 单击在线用户的“请求详细信息 > 更改状态”,选择访问控制类型为“RADIUS CoA”,RADIUS CoA类型为Disconnect for H3C,点击<提交>按钮。
图68 更改状态
(4) 抓包可以看到下发的强制下线报文和AC处理的报文。
图69 强制下线报文
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
dot1x authentication-method eap
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
radius dynamic-author server
client ip 8.1.1.171 key cipher $c$3$LkLgZHMHKYai/BgJw8LF98DwtLq6RQ==
#
radius session-control enable
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
