- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-Aruba ClearPass接入认证功能对接配置指南
本章节下载 (9.00 MB)
H3C无线控制器与Aruba ClearPass接入认证功能对接配置指南
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其他公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本章介绍H3C无线控制器与Aruba认证服务器软件ClearPass的接入认证功能对接配置,包括MAC认证、802.1X认证、Portal认证、授权下发VLAN和ACL及强制用户下线功能。
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参见相关产品手册,或以设备实际情况为准。
如图1所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行MAC地址认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置MAC地址认证的用户名和密码均为用户的MAC地址。
图1 MAC认证配置组网图
· 配置AC上的MAC地址认证用户名格式为无线客户端的MAC地址,RADIUS服务器上添加的接入用户的用户名和密码需要与AC上的MAC地址认证用户名格式保持一致。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· 部分款型终端默认会开启随机MAC功能,可能会导致MAC认证失败,建议终端侧关闭随机MAC功能。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置MAC地址认证的用户名和密码均为用户的MAC地址,且不带连字符(该配置为缺省配置)。
[AC] mac-authentication user-name-format mac-address without-hyphen lowercase
# 配置无线服务模板h3c-macauth的SSID为h3c-macauth,并设置用户认证方式为MAC地址认证,认证域为clearpass。
#
wlan service-template h3c-macauth
ssid h3c-macauth
client-security authentication-mode mac
mac-authentication domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-macauth vlan 1308
radio 2
radio enable
service-template h3c-macauth vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308,为Client分配地址范围40.8.0.0/16,配置DNS服务器地址为网关地址40.8.0.1。实际使用时,请根据网络规划配置DNS服务器地址。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图2 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名和密码,单击<登录>按钮,进入认证配置页面。
图3 登录ClearPass Policy Manager
(2) 添加设备
# 单击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的RADIUS服务器密钥一致,本举例为h3c;
¡ 供应商名称:H3C;
¡ 单击<保存>按钮。
图4 添加设备
(3) 添加用户
# 单击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名和密码都为Client的MAC地址,小写且不带连接符形式(和AC配置的MAC认证格式一致);
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图5 添加用户
(4) 添加服务
# 单击页面左侧导航栏的“配置 > 服务”,并添加服务。
图6 服务配置1
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“忽略MAC认证”,配置名称为MAC ACCESS。
图7 服务配置2
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“Allow ALL MAC AUTH”,认证源保持默认。
# “角色”和“强制执行”页签保持默认配置,单击<保存>按钮。
图8 认证配置
# 在“配置 > 服务”页面,重新排序,将MAC ACCESS服务调整到第一个。
图9 服务排序
(1) 在AC上确认Client在线状态,MAC认证成功。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
cdb-b3d4-d88c fcdbb3d4d88c ap1 2 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : fcdbb3d4d88c
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-macauth
BSSID : ac74-0906-e872
VLAN ID : 1308
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : MAC
WPA3 status : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 15seconds
FT status : Inactive
[AC] display mac-authentication connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-macauth
BSSID : ac74-0906-e872
Username : fcdbb3d4d88c
Authentication domain : clearpass
Initial VLAN : 1308
Authorization VLAN : 1308
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 10:37:14
Online duration : 0h 0m 27s
(2) 终端关联h3c-macauth服务,能获取IP地址,可以ping通网关。
图10 连接无线服务h3c-macauth
图11 查看终端获取到IP地址
图12 Ping VLAN 1308的网关
(3) 在ClearPass上可查看在线用户。
# 单击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户fcdbb3d4d88c认证成功。
图13 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
wlan service-template h3c-macauth
ssid h3c-macauth
client-security authentication-mode mac
mac-authentication domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-macauth vlan 1308
radio 2
radio enable
service-template h3c-macauth vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参见相关产品手册,或以设备实际情况为准。
如图14所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置EAP-PEAP认证方式。
图14 802.1X EAP-PEAP认证配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置802.1X系统的认证方法为EAP。
[AC] dot1x authentication-method eap
# 配置无线服务模板h3c-dot1x的SSID为h3c-dot1x,并设置用户认证方式为dot1x认证,认证域为clearpass。
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308,为Client分配地址范围40.8.0.0/16,配置DNS服务器地址为网关地址40.8.0.1。实际使用时,请根据网络规划配置DNS服务器地址。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图15 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名和密码,单击<登录>按钮进入认证配置页面。
图16 登录ClearPass Policy Manager
(2) 添加设备
# 单击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的RADIUS服务器密钥一致,本举例为h3c;
¡ 供应商名称:H3C;
¡ 单击<保存>按钮。
图17 添加设备
(3) 添加用户
# 单击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3c1x,密码:h3c1x;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图18 添加用户
(4) 添加服务
# 单击页面左侧导航栏的“配置 > 服务”,并添加服务。
图19 服务配置1
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。
图20 服务配置2
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。
# “角色”和“强制执行”页签保持默认配置,单击<保存>按钮。
图21 认证配置
# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。
图22 服务排序
(1) 在AC上确认Client在线状态,802.1X认证成功。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c h3c1x ap1 2 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : h3c1x
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
VLAN ID : 1308
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : Disabled
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 13seconds
FT status : Inactive
[AC] display dot1x connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
Username : h3c1x
Authentication domain : clearpass
IPv4 address : 40.8.0.129
Authentication method : EAP
Initial VLAN : 1308
Authorization VLAN : 1308
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 11:14:25
Online duration : 0h 0m 19s
(2) 终端关联h3c-dot1x,802.1X认证成功,能获取IP地址。
图23 连接无线服务h3c-dot1x
图24 查看终端获取到IP地址
图25 Ping VLAN 1308的网关
(3) 在ClearPass上可查看在线用户。
# 单击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过802.1X EAP-PEAP方式认证成功。
图26 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
dot1x authentication-method eap
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参见相关产品手册,或以设备实际情况为准。
如图27所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置EAP-PEAP认证方式。
· 通过ClearPass授权下发VLAN和ACL,初始VLAN为1308,授权下发VLAN为1309。
图27 802.1X EAP-PEAP认证下发授权VLAN/ACL配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置802.1X系统的认证方法为EAP。
[AC] dot1x authentication-method eap
# 配置无线服务模板h3c-dot1x的SSID为h3c-dot1x,并设置用户认证方式为dot1x认证,认证域为clearpass。
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
[AC] vlan 1308 to 1309
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 配置ACL 3001。
#
acl advanced 3001
rule 0 deny ip destination 40.8.0.119 0
rule 5 permit ip
#
# 创建VLAN 1308、VLAN 1309及其对应的VLAN接口,并为该接口配置IP地址。Client使用VLAN 1308连接无线网络,认证通过后使用授权VLAN 1309接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308 to 1309
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
interface Vlan-interface1309
ip address 40.9.0.1 255.255.0.0
# 配置DHCP地址池vlan1308和vlan1309,为Client分配地址。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
dhcp server ip-pool vlan1309
gateway-list 40.9.0.1
network 40.9.0.0 mask 255.255.0.0
dns-list 40.9.0.1
#
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图28 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名和密码,单击<登录>按钮进入认证配置页面。
图29 登录ClearPass Policy Manager
(2) 添加设备
# 单击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商名称:H3C;
¡ 单击<保存>按钮。
图30 添加设备
(3) 添加用户
# 单击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3c1x,密码:h3c1x;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图31 添加用户
(4) 添加强制执行配置文件
# 单击页面左侧导航栏的“配置 > 强制执行 > 配置文件”,添加强制执行配置文件。
图32 强制执行配置文件页面
# 在“配置 > 强制执行 > 配置文件 > Add Enforcement Profile”页面的“配置文件”页签,模板选择“基于RADIUS的强制执行”,名称为ACL-VLAN for h3c。
图33 添加强制执行的配置文件
# 在“配置 > 强制执行 > 配置文件 > Add Enforcement Profile”页面的“属性”页签,添加授权VLAN(IETF Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-Id属性),授权ACL(IETF Filter-Id属性),单击<保存>按钮。
图34 添加授权VLAN和授权ACL
图35 检查配置文件条目
# 单击页面左侧导航栏的“配置 > 强制执行 > 策略”,添加强制执行策略。
图36 强制执行策略页面
# 在“配置 > 强制执行 > 策略 > 添加”页面的“强制执行”页签,配置名称为ACL-VLAN for h3c,配置文件选择ACL-VLAN for h3c。
图37 添加强制执行策略
# 在“配置 > 强制执行 > 策略 > 添加”页面的“规则”页签,配置匹配条件,强制执行配置文件选择“[RADIUS:]ACL-VLAN for h3c”,单击<保存>按钮。
图38 配置强制执行策略规则
图39 检查配置策略条目
(6) 添加服务
# 单击页面左侧导航栏的“配置 > 服务”,并添加服务。
图40 服务页面
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。
图41 添加服务
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。
图42 配置认证
# 在“配置 > 服务 > 添加”页面的“强制执行”页签,强制执行策略选择“ACL-VLAN for h3c”。
图43 强制执行
# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。
图44 重新排序
(1) 在AC上确认Client在线状态,802.1X认证成功。Client详细信息和DOT1X信息显示授权VLAN为1309,授权ACL为3001。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c h3c1x ap1 2 40.9.0.13 1309
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.9.0.13
IPv6 address : N/A
Username : h3c1x
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
VLAN ID : 1309
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : Disabled
Authorization ACL ID : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 20seconds
FT status : Inactive
[AC] display dot1x connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
Username : h3c1x
Authentication domain : clearpass
IPv4 address : 40.9.0.13
Authentication method : EAP
Initial VLAN : 1308
Authorization VLAN : 1309
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 15:35:40
Online duration : 0h 0m 26s
(2) 终端关联h3c-dot1x,能ping通vlan1309的网关。
图45 连接无线服务h3c-dot1x
图46 查看终端获取到IP地址
图47 Ping VLAN 1309的网关
(3) 在ClearPass上可查看在线用户。
# 单击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过802.1X EAP-PEAP方式认证成功。
图48 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
dot1x authentication-method eap
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
vlan 1308 to 1309
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
acl advanced 3001
rule 0 deny ip destination 40.8.0.119 0
rule 5 permit ip
#
· Switch:
#
vlan 1308 to 1309
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
interface Vlan-interface1309
ip address 40.9.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
dhcp server ip-pool vlan1309
gateway-list 40.9.0.1
network 40.9.0.0 mask 255.255.0.0
dns-list 40.9.0.1
#
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参见相关产品手册,或以设备实际情况为准。
如图49所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行Portal认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器和Portal服务器。
· 对无线用户采用直接方式的Portal认证。
图49 Portal认证配置组网图
配置AP序列号时,请确保该序列号与AP唯一对应。AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 使能http和https服务,配置portal web-server和本地web-server。
#
ip http enable
ip https enable
#
portal web-server clearpass
url https://8.1.1.171/guest/h3c.php?_browser=1
#
portal local-web-server http
default-logon-page defaultfile.zip
#
portal local-web-server https
default-logon-page defaultfile.zip
#
# 使能host-check,配置一条基于IP地址的Portal免认证规则:编号为200、目的地址为40.1.1.56。
#
portal host-check enable
portal free-rule 200 destination ip 40.1.1.56 255.255.255.255
#
# 配置无线服务模板h3c-portal的SSID为h3c-portal,使能portal认证,认证域为clearpass。
#
wlan service-template h3c-portal
ssid h3c-portal
portal enable method direct
portal domain clearpass
portal apply web-server clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-portal vlan 1308
radio 2
radio enable
service-template h3c-portal vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308,为Client分配地址范围40.8.0.0/16,配置DNS服务器地址为网关地址40.8.0.1。实际使用时,请根据网络规划配置DNS服务器地址。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 配置Portal页面
# 在浏览器输入ClearPass管理IP地址8.1.1.171,登录ClearPass配置页面,然后单击ClearPass Guest。
图50 登录ClearPass Guest
# 单击页面左侧导航栏的“配置 > Pages > 网页登陆”,在“网页登陆”页面自定义Portal登录界面。
图51 网页登录
# 配置自定义Portal登录界面必填字段:
¡ 名字:h3c;
¡ 页面名称:h3c;
¡ 供应商设置:自定义设置;
¡ 提交URL:http://40.1.1.56/portal/logon.cgi,其中40.1.1.56为AC的IP地址(注意:提交URL的http / https的类型必须与设备web-server配置一致);
¡ 用户名字段:PtUser,密码字段:PtPwd,额外字段:PtButton=Logon(注意:这些字段内容不能随意更改);
¡ 其它字段保持默认配置即可,然后保存配置。
图52 配置自定义Portal登录1
图53 配置自定义Portal登录2
图54 配置自定义Portal登录3
图55 配置自定义Portal登录4
图56 配置自定义Portal登录5
(2) 登录ClearPass Policy Manager
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图57 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名和密码,单击<登录>按钮进入认证配置页面。
图58 登录ClearPass Policy Manager
(3) 添加设备
# 单击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商名称:H3C;
¡ 单击<保存>按钮。
图59 添加设备
(4) 添加用户
# 单击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3cportal,密码:h3cportal;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图60 添加用户
(5) 配置Guest Access
# 单击页面左侧导航栏的“配置 > 此处开始”,然后选择“Guest Access”。
图61 Guest Access
# 在“General”页签,Select Prefix选择h3c。
图62 General
# 在“Wireless Network Settings”页签,SSID配置为h3c-portal,Controller选择AC,其它页签保持默认配置即可,然后保存配置。
图63 Wireless Network Settings
(6) 添加服务
# 在“配置 > 服务”页面,新增h3c Guest Access服务,重新排序,将其调整到第一个。
图64 新增h3c Guest Access服务并排序
# 编辑h3c Guest Access,在“认证”页签,设置“认证源”,选择红框里的两项,并保存配置。
图65 配置认证
图66 检查接入信息
(1) Client关联h3c-portal服务后,能重定向到portal认证页面。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c N/A ap1 1 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : N/A
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 1
SSID : h3c-portal
BSSID : ac74-0906-e860
VLAN ID : 1308
Sleep count : 760
Wireless mode : 802.11ac
Channel bandwidth : 20MHz
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Supported
Short GI for 80MHz : Supported
Short GI for 160/80+80MHz : Not supported
STBC RX capability : Not supported
STBC TX capability : Supported
LDPC RX capability : Supported
Beamformee STS capability : 1
Number of Sounding Dimensions : 1
SU beamformee capability : Supported
MU beamformee capability : Supported
Block Ack : TID 0 Both
TID 1 Out
TID 6 In
Supported VHT-MCS set : NSS1 0, 1, 2, 3, 4, 5, 6, 7, 8
NSS2 0, 1, 2, 3, 4, 5, 6, 7, 8
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 6, 9, 12, 18, 24, 36,
48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 53
Rx/Tx rate : 173.3/173.3 Mbps
Authentication method : Open system
Security mode : PRE-RSNA
AKM mode : Not configured
Cipher suite : N/A
User authentication mode : Bypass
WPA3 status : N/A
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : N/A
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 11minutes 54seconds
FT status : Inactive
[AC] display portal user all
Total portal users: 1
Username: h3cportal
AP name: ap1
Radio ID: 1
SSID: h3c-portal
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
fcdb-b3d4-d88c 40.8.0.129 1308 WLAN-BSS1/0/614
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
[AC] display portal user all verbose
Total portal users: 1
Basic:
AP name: ap1
Radio ID: 1
SSID: h3c-portal
Current IP address: 40.8.0.129
Original IP address: 40.8.0.129
Username: h3cportal
User ID: 0x10000009
Access interface: WLAN-BSS1/0/614
Service-VLAN/Customer-VLAN: 1308/-
MAC address: fcdb-b3d4-d88c
Authentication type: Local
Domain name: clearpass
VPN instance: N/A
Status: Online
Portal server: N/A
Vendor: N/A
Portal authentication method: Direct
AAA:
Realtime accounting interval: 720s, retry times: 5
Idle cut: N/A
Session duration: 0 sec, remaining: 0 sec
Remaining traffic: N/A
Login time: 2019-03-16 14:46:17 UTC
Online time(hh:mm:ss): 00:00:41
DHCP IP pool: N/A
ACL&QoS&Multicast:
Inbound CAR: N/A
Outbound CAR: N/A
ACL number: N/A
User profile: N/A
Session group profile: N/A
Max multicast addresses: 4
Flow statistic:
Uplink packets/bytes: 56/5061
Downlink packets/bytes: 0/0
(2) 终端关联h3c-portal服务,浏览器输入地址后可以重定向,并且进行Portal认证成功。
图67 连接无线服务h3c-portal
图68 进入重定向登录页面
图69 认证成功
图70 查看终端获取到IP地址
图71 Ping VLAN 1308网关
(3) 在ClearPass上可查看在线用户。
# 单击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过Portal方式认证成功。
图72 查看在线用户
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
ip http enable
ip https enable
#
portal web-server clearpass
url https://8.1.1.171/guest/h3c.php?_browser=1
#
portal local-web-server http
default-logon-page defaultfile.zip
#
portal local-web-server https
default-logon-page defaultfile.zip
#
portal host-check enable
portal free-rule 200 destination ip 40.1.1.56 255.255.255.255
#
wlan service-template h3c-portal
ssid h3c-portal
portal enable method direct
portal domain clearpass
portal apply web-server clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-portal vlan 1308
radio 2
radio enable
service-template h3c-portal vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
本配置举例所使用的设备型号及版本信息如下:
· AC:WX3820X,Version 9.1.061, Release 1413
· AP:WA6330
· Aruba认证服务器:CPPM-VM-x86_64-6.9.0.130064-ARUBA-ESX-ovf
如果使用过程中与产品实际情况有差异,请参见相关产品手册,或以设备实际情况为准。
如下图所示,AC和ClearPass服务器通过Switch交换机建立连接,设备管理员希望对Client进行Portal认证,以控制其对网络资源的访问,并且允许用户自行注册账号,具体要求如下:
· 采用ClearPass作为RADIUS服务器和Portal服务器。
· 对无线用户采用直接方式的Portal认证。
图73 Portal认证配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c.com123。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$+W0WYj91rTE6NksVuAshisXn8m+LqouIxW3BPng=
key accounting cipher $c$3$Dy/Hre1M4C3lv+HcJgM22DOuQ7GA6ADX7MRVfjs=
user-name-format keep-original
使用user-name-format keep-original以确保传递的用户名完全匹配ClearPass中的记录,避免认证问题。
图74 管理来宾帐户
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 使能http和https服务,配置portal web-server和本地web-server。
#
ip http enable
ip https enable
#
portal server clearpass
ip 8.1.1.171 key simple 123456
#
portal web-server clearpass
url https://8.1.1.171/guest/guest_register.php?_browser=1
#
要获取指定URL,请先登录ClearPass Guest。然后,依次单击“主页 > 配置 > 页面> 自注册”,在自注册页面选择“启动”。
图75 启动自注册页面
# 自注册页面启动后,将会在浏览器中打开新页面。在该页面的地址栏中,即可找到所需的重定向URL,复制即可。
图76 复制重定向URL
#
portal local-web-server http
default-logon-page defaultfile.zip
#
portal local-web-server https
default-logon-page defaultfile.zip
#
# 使能host-check和配置free-rule,允许访问AC和ClearPass的IP地址。
#
portal host-check enable
portal free-rule 200 destination ip 40.1.1.56 255.255.255.255
portal free-rule 201 destination ip 8.1.1.171 255.255.255.255
portal free-rule 202 destination ip any udp 53
portal free-rule 203 destination ip any tcp 53
#
# 配置无线服务模板h3c-portal的SSID为CPPortal,使能portal认证,认证域为clearpass。
#
wlan service-template h3c-portal
ssid CPPortal
portal enable method direct
portal domain clearpass
portal apply web-server clearpass
service-template enable
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA6330
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-portal vlan 1308
radio 2
radio enable
service-template h3c-portal vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308,为Client分配地址范围40.8.0.0/16,配置DNS服务器地址为网关地址40.8.0.1。实际使用时,请根据网络规划配置DNS服务器地址。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
(1) 配置Portal页面
# 在浏览器输入ClearPass管理IP地址8.1.1.171,登录后单击“ClearPass访客”。
图77 登录ClearPass 访客
# 单击页面左侧导航栏的“主页 > 配置 > 页面> 自注册”,在自注册页面选择“编辑 > 高级编辑器”,修改已有的自注册页。
图78 自注册页面
# 自定义自注册页面
基本属性
图79 配置自注册基本属性
登录
¡ 供应商设置:自定义设置;
¡ 提交URL:http://40.1.1.56/portal/logon.cgi,其中40.1.1.56为AC的IP地址(注意:提交URL的http / https的类型必须与设备web-server配置一致);
¡ 提交方法:POST;
¡ 用户名字段:PtUser,密码字段:PtPwd,额外字段:PtButton=Logon(注意:这些字段内容不能随意更改);
¡ 身份验证前检查:无。
其它字段保持默认配置即可,然后保存配置。
图80 配置自注册登录参数
图81 身份认证前检查
(2) 登录ClearPass策略服务器
# 在浏览器中输入ClearPass的管理IP地址,单击“ClearPass Policy Manager”,输入用户名和密码,进入认证配置页面。
图82 登录ClearPass
图83 管理员登录
(3) 添加用户
# 单击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:user,密码:user(本举例使用user);
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图84 添加用户
(4) 添加设备
# 单击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为H3CSwitch上和ClearPass可达的接口IP地址;
¡ 密钥和H3CSwitch配置的Radius服务器密钥一致(本举例为h3c);
¡ 供应商名称:H3C;
¡ 单击<保存>按钮。
图85 添加设备
(5) 添加服务
# 在“配置 > 服务”页面,编辑h3cportal服务,配置结果同下图。
图86 添加服务
(1) 用户在浏览器中输入任意IP地址后,将被重定向至ClearPass服务器上的自注册页面。在该页面,用户输入用户名和邮箱,单击<注册>按钮。
图87 用户注册
(2) 用户注册后,页面将显示来宾帐户信息,单击<注册>按钮,即可登录。
图88 来宾帐户信息
(3) 用户上线后,服务器将显示相关信息。
图89 请求详细信息
# 用户上线后设备显示信息
在设备上通过display portal user all命令可以查看上线Portal用户的信息。其中Username字段显示为Portal用户的用户名user。
[Device] display portal user all
Total portal users: 1
Username: user
Portal server:
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0cda-411d-62f6 101.0.145.39 144 Vlan-interface144
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$+W0WYj91rTE6NksVuAshisXn8m+LqouIxW3BPng=
key accounting cipher $c$3$Dy/Hre1M4C3lv+HcJgM22DOuQ7GA6ADX7MRVfjs=
user-name-format keep-original
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
ip http enable
ip https enable
#
portal server clearpass
ip 8.1.1.171 key simple 123456
#
portal web-server clearpass
url https://8.1.1.171/guest/guest_register.php?_browser=1
#
portal local-web-server http
default-logon-page defaultfile.zip
#
portal local-web-server https
default-logon-page defaultfile.zip
#
portal host-check enable
portal free-rule 200 destination ip 40.1.1.56 255.255.255.255
portal free-rule 201 destination ip 8.1.1.171 255.255.255.255
portal free-rule 202 destination ip any udp 53
portal free-rule 203 destination ip any tcp 53
#
wlan service-template h3c-portal
ssid CPPortal
portal enable method direct
portal domain clearpass
portal apply web-server clearpass
service-template enable
#
wlan ap ap1 model WA6330
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-portal vlan 1308
radio 2
radio enable
service-template h3c-portal vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
本配置举例所使用的设备型号及版本信息如下:
· AC:WX5540H,R5444P03
· AP:WA5320,R5444P03
· Aruba认证服务器:ClearPass,CPPM-VM-x86_64-6.5.0.71095-ESX-CP-VA-500-ovf
如果使用过程中与产品实际情况有差异,请参见相关产品手册,或以设备实际情况为准。
如图90所示,AC和ClearPass服务器通过Switch建立连接,设备管理员希望对Client进行802.1X认证,以控制其对网络资源的访问,具体要求如下:
· 采用ClearPass作为RADIUS服务器。
· 配置EAP-PEAP认证方式。
· 通过ClearPass可以强制用户下线。
图90 802.1X EAP-PEAP认证并强制用户下线配置组网图
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
本配置手册仅介绍特性相关的主要配置,网络基础功能和WLAN基础功能配置过程略。
# 配置RADIUS方案,名称为clearpass,配置认证、计费服务器的IP地址为8.1.1.171,共享密钥为明文h3c。
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
# 配置名称为clearpass的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案clearpass。
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
# 配置802.1X系统的认证方法为EAP。
[AC] dot1x authentication-method eap
# 配置无线服务模板h3c-dot1x的SSID为h3c-dot1x,并设置用户认证方式为dot1x认证,认证域为clearpass。
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
# 配置手工AP并将无线服务模板绑定到Radio上。
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
# 配置AC和Switch相连的接口为Trunk类型,允许Client所在VLAN通过。
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
# 增加Radius DAE配置,IP地址为ClearPass服务器地址,key为h3c。
#
radius dynamic-author server
client ip 8.1.1.171 key cipher $c$3$LkLgZHMHKYai/BgJw8LF98DwtLq6RQ==
#
radius session-control enable
#
# 创建VLAN 1308及其对应的VLAN接口,并为该接口配置IP地址,Client使用该VLAN接入无线网络。配置Switch和AC相连的接口为Trunk类型,允许Client所在VLAN通过。
[Switch] vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
# 配置DHCP地址池vlan1308,为Client分配地址范围40.8.0.0/16,配置DNS服务器地址为网关地址40.8.0.1。实际使用时,请根据网络规划配置DNS服务器地址。
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
return
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图91 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名和密码,单击<登录>按钮进入认证配置页面。
图92 登录ClearPass Policy Manager
(2) 添加设备
# 单击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AC上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AC配置的Radius服务器密钥一致,本举例为h3c;
¡ 供应商名称:H3C;
¡ 单击<保存>按钮。
图93 添加设备
(3) 添加用户
# 单击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3c1x,密码:h3c1x;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图94 添加用户
(4) 添加强制执行配置文件
# 单击页面左侧导航栏的“配置 > 强制执行 > 配置文件”,添加强制执行配置文件。
图95 强制执行配置文件页面
# 强制执行配置文件名称为Disconnect for H3C,类型为RADIUS_CoA,增加Radius:IETF Acct-Session-Id属性。
图96 添加强制执行的配置文件
(5) 添加强制执行配置策略
详细配置请参见1.4.3 3. (5)添加强制执行配置策略。
(6) 添加服务
# 单击页面左侧导航栏的“配置 > 服务”,并添加服务。
图97 服务页面
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。
图98 添加服务
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。在“强制执行”页签,强制执行策略选择“Disconnect for H3C”。
图99 配置服务
# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。
图100 重新排序
(1) 在AC上确认Client在线状态,802.1X认证成功。
[AC] display wlan client
Total number of clients: 1
MAC address User name AP name R IP address VLAN
fcdb-b3d4-d88c h3c1x ap1 2 40.8.0.129 1308
[AC] display wlan client verbose
Total number of clients: 1
MAC address : fcdb-b3d4-d88c
IPv4 address : 40.8.0.129
IPv6 address : N/A
Username : h3c1x
AID : 1
AP ID : 26
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
VLAN ID : 1308
Sleep count : 0
Wireless mode : 802.11gn
Channel bandwidth : 20MHz
20/40 BSS Coexistence Management : Not supported
SM power save : Disabled
Short GI for 20MHz : Supported
Short GI for 40MHz : Not supported
STBC RX capability : Supported
STBC TX capability : Supported
LDPC RX capability : Supported
Block Ack : N/A
Supported HT MCS set : 0, 1, 2, 3, 4, 5, 6, 7,
8, 9, 10, 11, 12, 13, 14,
15
Supported rates : 11, 12, 18, 24, 36, 48, 54 Mbps
QoS mode : WMM
Listen interval : 10
RSSI : 0
Rx/Tx rate : 0/0 Mbps
Authentication method : Open system
Security mode : RSN
AKM mode : 802.1X
Cipher suite : CCMP
User authentication mode : 802.1X
WPA3 status : Disabled
Authorization ACL ID : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Roam status : N/A
Key derivation : SHA1
PMF status : N/A
Forwarding policy name : Not configured
Online time : 0days 0hours 0minutes 13seconds
FT status : Inactive
[AC] display dot1x connection
Total connections: 1
User MAC address : fcdb-b3d4-d88c
AP name : ap1
Radio ID : 2
SSID : h3c-dot1x
BSSID : ac74-0906-e874
Username : h3c1x
Authentication domain : clearpass
IPv4 address : 40.8.0.129
Authentication method : EAP
Initial VLAN : 1308
Authorization VLAN : 1308
Authorization ACL number : N/A
Authorization user profile : N/A
Authorization CAR : N/A
Termination action : N/A
Session timeout last from : N/A
Session timeout period : N/A
Online from : 2019/03/16 11:14:25
Online duration : 0h 0m 19s
(2) 终端关联h3c-dot1x,802.1X认证成功,能获取IP地址。
图101 关联h3c-dot1x
图102 检查网络状态
图103 确认网络连接的数据
(3) 在ClearPass上可查看在线用户。
# 单击页面左侧导航栏的“监视 > Live Monitoring > 访问跟踪器”,可以看到用户通过802.1X EAP-PEAP方式认证成功。
# 单击在线用户的“请求详细信息 > 更改状态”,选择访问控制类型为“RADIUS CoA”,RADIUS CoA类型为Disconnect for H3C,单击<提交>按钮。
图104 更改状态
(4) 抓包可查看下发的强制下线报文和AC处理的报文。
图105 强制下线报文
· AC:
#
radius scheme clearpass
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$y9gLDgP10B8T9ry5u3AHTHOadEYl7g==
key accounting cipher $c$3$bNuYW3C3Tf2AIrFwSRSRjUdZMn1uoQ==
user-name-format without-domain
#
domain clearpass
authentication default radius-scheme clearpass
authorization default radius-scheme clearpass
accounting default radius-scheme clearpass
#
dot1x authentication-method eap
#
wlan service-template h3c-dot1x
ssid h3c-dot1x
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain clearpass
service-template enable
#
wlan ap ap1 model WA5320
serial-id 219801A0YD8171E04018
radio 1
radio enable
service-template h3c-dot1x vlan 1308
radio 2
radio enable
service-template h3c-dot1x vlan 1308
#
interface Ten-GigabitEthernet1/0/26
port link-type trunk
port trunk permit vlan all
#
radius dynamic-author server
client ip 8.1.1.171 key cipher $c$3$LkLgZHMHKYai/BgJw8LF98DwtLq6RQ==
#
radius session-control enable
#
· Switch:
#
vlan 1308
#
interface Ten-GigabitEthernet0/0/35
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface1308
ip address 40.8.0.1 255.255.0.0
#
dhcp server ip-pool vlan1308
gateway-list 40.8.0.1
network 40.8.0.0 mask 255.255.0.0
dns-list 40.8.0.1
#
Return
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
