01-WLAN用户接入认证配置
本章节下载: 01-WLAN用户接入认证配置 (948.74 KB)
目 录
1.4.4 配置设备向802.1X客户端发送认证请求报文最大次数
1.5.23 开启802.1X无线客户端双协议栈流量计费分离功能
1.5.24 配置RADIUS报文携带用户IP地址学习方式的功能
1.9 配置802.1X认证采用EAP终结方式时与认证服务器之间进行交互认证的方法
1.11.1 802.1X认证(CHAP本地认证)典型配置举例
1.11.2 802.1X认证(EAP-PEAP加密)典型配置举例
1.11.3 使用RADIUS服务器进行MAC地址认证典型配置举例
WLAN用户接入认证是一种基于用户的安全接入管理机制,根据用户MAC地址来进行访问控制。本特性主要实现802.1X、MAC地址认证和OUI认证三种认证方式。
· 802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交换。
· MAC地址认证不需要用户安装任何客户端软件。设备在检测到用户的MAC地址以后,对该用户进行认证操作。认证过程中,不需要用户手动输入用户名或者密码,若该用户认证成功,则允许其访问网络资源,否则该用户则无法访问网络资源。
· OUI(Organizationally Unique Identifier,全球统一标识符)是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。采用OUI认证方式后,如果用户的MAC地址与设备配置的OUI能匹配上,则认证成功,否则认证失败。
WLAN用户接入认证支持以下几种认证模式:
表1-1 WLAN用户接入认证模式描述表
认证模式 |
工作机制 |
入侵检测 |
|
缺省情况 |
bypass |
不对用户进行认证 |
无效 |
采用802.1X认证 |
dot1x |
只进行802.1X认证 |
可触发 |
采用MAC地址认证 |
mac |
只进行MAC地址认证 |
可触发 |
采用802.1X和MAC地址认证组合认证 |
mac-then-dot1x |
先进行MAC地址认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证 |
可触发 |
dot1x-then-mac |
先进行802.1X认证,如果失败,再进行MAC地址认证,如果认证成功,则不进行MAC地址认证 |
||
oui-then-dot1x |
先进行OUI认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证 |
有关802.1X的体系结构、EAP中继、EAP终结及EAP报文的封装的详细介绍请参见“用户接入与认证配置指导”中的“802.1X”。
目前设备支持两种方式的802.1X认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
当无线组网方式为AC和Fit AP时,若用户认证位置(可通过client-security authentication-location命令配置)在AP上,则AP为认证设备,由AP处理认证过程,若用户认证位置在AC上,则AC为认证设备,由AC处理认证过程。
在客户端与设备端之间,EAP协议报文使用EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)封装格式的802.11报文,直接承载于无线环境中。在设备端与RADIUS服务器之间,可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继,使用RADIUS协议封装EAPOR报文;另一种是EAP协议报文由设备端进行终结,采用包含PAP或CHAP属性的报文与RADIUS服务器进行认证交互。
有关EAP报文的封装的详细介绍,请参见“用户接入与认证配置指导”中的“802.1X”。
EAP中继认证方式将EAP承载在其它高层协议中,如EAP over RADIUS,以便EAP报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator。
如图1-1所示,以MD5-Challenge类型的EAP认证为例,具体认证过程如下。
图1-1 AC和Fit AP 802.1X认证系统的EAP中继方式认证流程
(1) 当用户需要访问外部网络时打开802.1X客户端程序,输入用户名和密码,发起连接请求。此时,客户端程序将向设备发出认证请求帧(EAPOL-Start),开始启动一次认证过程。有关客户端与AP建立连接的过程,请参见“用户接入与认证配置指导”中的“WLAN用户安全”。
(2) 设备收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求客户端程序发送用户名。
(3) 客户端程序响应设备发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备。
(4) 设备将由客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中,并发送给认证服务器进行处理。
(5) RADIUS服务器收到设备转发的用户名信息后,将该信息与数据库中的用户名列表对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备。
(6) 设备将RADIUS服务器发送的MD5 Challenge转发给客户端。
(7) 客户端收到由设备传来的MD5 Challenge后,用该Challenge对密码进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备。
(8) 设备将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。
(9) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备发送认证通过报文(RADIUS Access-Accept)。
(10) 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),允许用户访问网络。
(11) 用户在线期间,设备会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
(12) 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(13) 客户端可以发送EAPOL-Logoff帧给设备,主动要求下线。
(14) 设备向客户端发送EAP-Failure报文。
这种方式将EAP报文在设备终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备与RADIUS服务器之间可以采用PAP或者CHAP认证方法。如图1-2所示,以CHAP认证为例,具体的认证流程如下。
图1-2 AC和Fit AP 802.1X认证系统的EAP终结方式认证流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于对用户密码信息进行加密处理的MD5 challenge由认证设备生成的,之后认证设备会把用户名、MD5 challenge和客户端加密后的密码信息一起发送给RADIUS服务器,进行相关的认证处理。
802.1X认证触发方式有两种:当客户端收到设备关联回应报文后,会向设备发送EAPOL-Start报文触发认证;当设备发送客户端关联回应报文后,会主动向该客户端发送Identity类型的EAP-Request帧来触发认证,若设备端在设置的时长内没有收到客户端的响应,则重发该报文。
目前设备支持两种方式的MAC地址认证,通过RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器进行远程认证和在接入设备上进行本地认证。有关远程RADIUS认证和本地认证的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
当无线组网方式为AC和Fit AP时,若认证位置(可通过client-security authentication-location命令配置)在AP上,则AP为接入设备,由AP处理认证过程,若认证位置在AC上,则AC为接入设备,由AC处理认证过程。
根据设备最终用于验证用户身份的用户名格式和内容的不同,可以将MAC地址认证使用的用户账户格式分为两种类型:
· MAC地址用户名密码:使用用户的MAC地址作为用户名和密码进行认证,即每个用户使用不同的用户名和密码进行认证。
· 固定用户名密码:设备上所有MAC地址认证用户均使用所配置的用户名和密码进行认证,即所有用户使用同一个用户名和密码进行认证。用户名为1~55个字符的字符串,区分大小写,不能包括字符‘@’。密码可以设置为明文或者密文,明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
图1-3 不同用户名格式下的MAC地址认证示意图
(1) RADIUS服务器认证方式进行MAC地址认证
当选用RADIUS服务器认证方式进行MAC地址认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成MAC地址认证操作:
¡ 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为用户名和密码发送给RADIUS服务器进行验证。
¡ 若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码,发送给RADIUS服务器进行验证。
RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问网络。
(2) 本地认证方式进行MAC地址认证
当选用本地认证方式进行MAC地址认证时,直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码:
¡ 若采用MAC地址用户名格式,则设备将检测到的用户MAC地址作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
¡ 若采用固定用户名格式,则设备将一个已经在本地指定的MAC地址认证用户使用的固定用户名和对应的密码作为待认证用户的用户名和密码与配置的本地用户名和密码进行匹配。
用户名和密码匹配成功后,用户可以访问网络。
当设备检测到一个未通过认证的用户试图访问网络时,如果开启入侵检测功能,设备将对其所在的BSS采取相应的安全策略。
入侵检测所采取的安全模式,包括以下几种:
· temporary-block:缺省模式。如果设备检测到未通过认证用户的关联请求报文,临时将该报文的源MAC地址加入阻塞MAC地址列表中,在一段时间内,源MAC地址为此非法MAC地址的无线客户端将不能和AP建立连接,在这段时间过后恢复正常。该MAC地址的阻塞时间由阻塞非法入侵用户时长决定。
· service-stop:直接关闭收到未通过认证用户的关联请求报文的BSS所提供的服务,直到用户在Radio口上重新生成该BSS。
· temporary-service-stop:关闭收到未通过认证用户的关联请求报文的BSS一段时间,该时间由临时关闭服务时长决定。
用户通过802.1X或MAC地址认证方式认证成功后,授权服务器可以下发授权VLAN,用来限制用户访问网络资源。下发的授权VLAN信息可以有多种形式,包括数字型VLAN和字符型VLAN,字符型VLAN又可分为VLAN名称、VLAN组名。
服务器向设备下发授权VLAN信息后,设备首先对其进行解析,只要解析成功,即以对应的方法下发授权VLAN;如果解析不成功,则用户授权失败。
· 若认证服务器下发的授权VLAN信息为一个VLAN ID,则该VLAN是有效的授权VLAN。
· 若认证服务器下发的授权VLAN信息为一个VLAN名称,则仅当对应的VLAN存在时该VLAN才是有效的授权VLAN。
· 若认证服务器下发的授权VLAN信息为一个VLAN组名,则设备首先会通过组名查找该组内配置的VLAN列表,然后将该组VLAN中负载最小的VLAN作为有效的授权VLAN。关于VLAN组的相关配置,请参见“网络互通配置指导”中的“VLAN”。
· 若认证服务器下发的授权VLAN信息为一个包含若干VLAN编号以及若干VLAN名称的字符串,则设备首先将其解析为一组VLAN ID,然后将该组VLAN中ID最小的VLAN作为有效的授权VLAN。
解析出来有效的授权VLAN后,则需要进行下发。在当前分层AC架构中,认证点和授权点(转发点)是可以分离的,例如,用户在Central AC上进行认证,但是数据报文转发工作在Local AC/AP上进行。
由于授权信息是用来控制数据报文转发的,因此,授权信息必须在授权点下发。这也就意味着,在认证设备和授权设备分离场景下,用户在认证设备上获取授权信息后,认证设备需要将授权信息携带至授权设备下发。
基于上述考虑,下发的方式分为本地下发授权VLAN和远端下发授权VLAN:
(1) 本地下发授权VLAN
在认证设备和授权设备未分离场景下,在认证设备上获取用户授权VLAN信息后,直接在认证设备下发。
(2) 远端下发授权VLAN
在认证设备和授权设备分离场景下,认证设备上获取用户授权VLAN信息后,需要将该信息发送至远端授权设备,授权信息在远端设备上解析后下发。
Fail VLAN功能允许用户在认证失败的情况下访问某一特定VLAN中的资源,这个VLAN称之为Fail VLAN。需要注意的是,这里的认证失败是指认证服务器因某种原因明确拒绝用户认证通过,比如用户名错误或密码错误,而不是认证超时或网络连接等原因造成的认证失败。需要注意的是,如果采用RSNA安全机制的802.1X用户认证失败,则用户会直接下线,不会加入认证失败VLAN。
Fail VLAN优先级高于入侵检测。因此,用户身份认证失败后,如果配置了Fail VLAN则加入Fail VLAN;如果没有配置Fail VLAN,再判断是否开始入侵检测功能,如果开启了,则出发入侵检测。如果既没有配置Fail VLAN,也没有开启入侵检测功能,则不进行任何认证失败处理。
Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。配置Critical VLAN后,当用户认证时,若所有认证服务器都不可达,则用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证:
· 如果重认证通过,设备将根据授权服务器是否下发VLAN来重新指定该用户所在VLAN,即如果授权服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN。
· 如果重认证未通过,当认证服务不可达时,用户仍然仅可访问Critical VLAN中的资源,当认证服务器可达但因某种原因明确拒绝用户认证通过,且配置了Fail VLAN时,用户可以访问Fail VLAN中的资源。如果没有配置Fail VLAN,则判断是否开始入侵检测功能,如果开启了,则触发入侵检测。如果既没有配置Fail VLAN,也没有开启入侵检测功能,则不进行任何认证失败处理。
需要注意的是,如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN。
用户通过802.1X认证后,支持授权ACL(Access Control List,访问控制列表)下发,授权ACL(Access Control List,访问控制列表)下发提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上或接入设备的本地用户视图中指定了要下发给该用户的授权ACL,则设备会根据下发的授权ACL对用户数据流进行过滤,仅允许ACL规则中允许的数据流通过。由于服务器上或设备本地用户视图下指定的是授权ACL的编号,因此还需要在设备上创建该ACL并配置对应的ACL规则。管理员可以通过改变授权的ACL编号或设备上对应的ACL规则来改变用户的访问权限。
用户通过802.1X认证后,支持授权User Profile下发,User Profile下发提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上或接入设备的本地用户视图中指定了要下发给该用户的授权User Profile,则设备会根据服务器下发的授权User Profile对用户所在端口的数据流进行过滤,仅允许User Profile策略中允许的数据流通过该端口。由于服务器上指定的是授权User Profile名称,因此还需要在设备上创建该User Profile并配置该对应的User Profile策略。管理员可以通过改变授权的User Profile名称或设备上对应的User Profile配置来改变用户的访问权限。
用户通过802.1X认证或MAC地址认证后,支持授权CAR下发,CAR下发提供了对上线用户访问网络资源的流量与速率进行控制。当用户通过认证后,如果RADIUS服务器通过扩展属性字段下发授权CAR属性给该用户,则设备会根据服务器下发的授权CAR属性对用户数据流进行限速。RADIUS扩展属性的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
CAR属性具体分为如下两种:
· Input-Average-Rate:上行平均速率,单位bps。用于限制该用户接收报文的平均速率。
· Output-Average-Rate:下行平均速率,单位bps。用于限制该用户发送报文的平均速率。
本功能目前仅支持使用iMC服务器作为RADIUS服务器。
用户通过802.1X认证或MAC地址认证后,设备会从DHCP报文中获取到Option55属性,并将它上传给RADIUS服务器(如果RADIUS服务器为iMC服务器,则将Option55属性上传到UAM组件)。
支持BYOD功能的RADIUS服务器可以根据Option55属性来判断终端设备的类型、操作系统、厂商等信息,并根据这些信息向不同类型的终端设备推送不同的注册页面和下发不同的授权属性信息。
WLAN用户接入认证配置任务如下:
· 配置全局认证参数
802.1X需要AAA的配合才能实现对用户的身份认证。因此,需要首先完成以下配置任务:
· 配置802.1X用户所属的ISP域及其使用的AAA方案,即本地认证方案或RADIUS方案。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access。
缺省情况下,对接入的用户进行MAC地址认证时,使用系统缺省的ISP域(由命令domain default enable指定)。若需要使用非缺省的ISP域进行MAC地址认证,则需指定MAC地址认证用户使用的ISP域,并配置该ISP域。ISP域的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
· 若采用本地认证方式,还需创建本地用户并设置其密码,且本地用户的服务类型应设置为lan-access。
· 若采用远程RADIUS认证方式,需要确保设备与RADIUS服务器之间的路由可达,并添加MAC地址认证的用户帐号。
当用户接入认证模式为oui-then-dot1x时,需要配置OUI。
目前设备支持配置最多16个OUI。
(1) 进入系统视图。
system-view
(2) 配置允许通过认证的用户OUI值。
port-security oui index index-value mac-address oui-value
缺省情况下,不存在允许通过认证的用户OUI值。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“端口安全”。
如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“用户接入与认证命令参考”中的“AAA”。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。
(1) 进入系统视图。
system-view
(2) 配置802.1X系统的认证方法。
dot1x authentication-method { chap | eap | pap }
缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
(1) 进入系统视图。
system-view
(2) 指定802.1X支持的域名分隔符。
dot1x domain-delimiter string
缺省情况下,802.1X支持的域名分隔符为@。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
(1) 进入系统视图。
system-view
(2) 配置设备向接入用户发送认证请求报文的最大次数。
dot1x retry retries
缺省情况下,设备最多可向接入用户发送2次认证请求报文。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
802.1X认证过程中会启动多个定时器以控制客户端、设备以及RADIUS服务器之间进行合理、有序的交互。可配置的802.1X认证定时器包括以下四种:
· 客户端认证超时定时器:当设备向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备启动此定时器,若在该定时器设置的时长内,设备没有收到客户端的响应,设备将重发该报文。若在dot1x retry命令配置的次数内,没有收到客户端响应,则客户端认证失败。
· 认证服务器超时定时器:当设备向认证服务器发送了RADIUS Access-Request请求报文后,设备启动该定时器,若在该定时器设置的时长内,设备没有收到认证服务器的响应,设备将重发认证请求报文。
· 握手定时器:用户认证成功之后,如果开启了握手功能,该定时器将启动。设备会以该定时器配置的时间为周期向用户发送握手报文,若在该定时器设置的时间内,设备没有收到客户端的回应报文,设备将重发该握手报文,若在dot1x retry命令配置的次数内,没有收到客户端回应,则强制该客户端下线。
· 周期性重认证定时器:如果设备开启了周期认证功能,设备将以该定时器配置的时间为周期发起重认证。配置该定时器后,对于新上线的802.1X用户,会按新配置的重认证周期进行重认证,对于已经在线的用户,新配置不会生效。
一般情况下,无需改变定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;还可以通过调节认证服务器超时定时器的值来适应不同认证服务器的性能差异。
(1) 进入系统视图。
system-view
(2) 配置客户端认证超时定时器。
dot1x timer supp-timeout supp-timeout-value
缺省情况下,客户端认证超时定时器的值为30秒。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
(3) 配置认证服务器超时定时器。
dot1x timer server-timeout server-timeout-value
缺省情况下,认证服务器超时定时器的值为100秒。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
(4) 配置握手定时器。
dot1x timer handshake-period handshake-period-value
缺省情况下,握手定时器的值为15秒。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
(5) 配置周期性重认证定时器。
dot1x timer reauth-period reauth-period-value
缺省情况下,周期性重认证定时器的值为3600秒。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
(1) 进入系统视图。
system-view
(2) 配置MAC地址认证用户的用户名格式。请选择其中一项进行配置。
¡ MAC地址格式:
mac-authentication user-name-format mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ]
¡ 固定用户名格式:
mac-authentication user-name-format fixed [ account name ] [ password { cipher | simple } password ]
缺省情况下,使用用户的MAC地址作为用户名与密码,其中字母为小写,且不带连字符“-”。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“MAC地址认证”。
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
(1) 进入系统视图。
system-view
(2) 指定MAC地址认证用户使用的ISP域。
mac-authentication domain domain-name
缺省情况下,未指定MAC地址认证用户使用的ISP域。
可配置的MAC地址认证定时器包括以下几种:
· 下线检测定时器(offline-detect):用来设置用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
· 静默定时器(quiet):用来设置用户认证失败以后,设备停止对其提供认证服务的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
(1) 进入系统视图。
system-view
(2) 配置MAC地址认证定时器。
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
缺省情况下,下线检测定时器为300秒,静默定时器为60秒,服务器超时定时器取值为100秒。
本命令的详细介绍,请参见“用户接入与认证命令参考”中的“MAC地址认证”。
当无线客户端进行802.1X或者MAC地址认证时,设备会检查自身是否存在该无线客户端的表项:
· 当不存在该无线客户端表项时,客户端进行认证上线。
· 当存在该无线客户端表项时,设备会删除该无线客户端的表项并向RADUIS服务器发送认证请求报文。有一些RADIUS服务器收到认证请求报文后,若发现本地已经存在该无线客户端的表项,会向设备回复认证失败的报文,导致客户端无法通过认证上线。
为了解决此类RADIUS服务器上因表项冲突而导致用户无法上线的问题,建议开启本功能。开启本功能后,在设备删除表项的同时会向RADIUS服务器发送计费停止报文。当RADIUS服务器收到该报文后,会删除本地存在的无线客户端表项,客户端可以进行认证上线。
开启本功能后,802.1X重认证功能、Fail VLAN功能和Critical VLAN功能将不能生效。
(1) 进入系统视图。
system-view
(2) 开启已认证无线客户端再次上线认证清除旧连接功能。
wlan client-security authentication clear-previous-connection
缺省情况下,已认证无线客户端再次上线清除旧连接功能处于关闭状态。
WLAN用户接入认证参数配置任务如下:
(1) 配置WLAN用户接入认证模式
(2) (可选)配置WLAN用户接入认证位置
(3) (可选)配置802.1X认证参数
(4) (可选)配置MAC地址认证参数
(5) (可选)配置WLAN用户接入认证高级功能
¡ 配置忽略授权信息
¡ 配置入侵检测功能
¡ 配置认证优化参数
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置WLAN用户接入认证模式。
client-security authentication-mode
{ dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x | mac-and-dot1x }
缺省情况下,不对用户进行认证即Bypass认证,直接接入。
AC、AP和Central AC均可以处理用户的认证请求,即对用户进行本地认证或将用户的认证信息上送给RADIUS服务器进行集中式认证。当配置的用户接入认证位置为AC时,在分层AC架构中,表示认证位置在Local AC上;在非分层AC架构中,表示认证位置在AC上。有关分层AC的详细介绍,请参见“WLAN高级功能配置指导”中的“分层AC”。
当客户端数据报文转发位置为AC时,配置的用户接入认证位置不能为AP,否则会导致用户认证失败。有关客户端数据报文转发位置的详细介绍,请参见“WLAN接入配置指导”中的“WLAN接入”。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置客户端用户接入认证位置。
client-security authentication-location { ac | ap | central-ac }
缺省情况下,WLAN用户接入认证位置在AC上。
配置802.1X认证的EAP协议模式,可以控制客户端和设备使用的EAP协议规范和报文格式。802.1X认证的EAP协议模式:
· extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。
· standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。
仅当使用iMC作为RADIUS服务器时,需要配置802.1X认证的EAP协议模式:如果采用H3C iNode作为802.1X客户端,则配置EAP协议模式为extended;如果采用其它类型的802.1X客户端,则配置EAP协议模式为standard。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置802.1X认证的EAP协议模式。
dot1x eap { extended | standard }
缺省情况下,EAP协议模式为standard。
当客户端使用了RADIUS服务器不支持的认证方法,并采用EAP中继方式进行认证,造成认证失败时,可以配置本特性,设备采用EAP终结方式将客户端认证请求报文封装在标准RADIUS报文中发送给认证服务器,从而使客户端通过认证。
目前本特性仅支持采用PEAP-GTC认证方式的认证请求报文进行处理,采用其他认证方式的客户端会认证失败。
配置本功能前请先创建EAP认证方案并指定认证方式为PEAP-GTC,关于EAP认证方案的详细介绍,请参见“安全配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
dot1x eap-termination eap-profile eap-profile-name
缺省情况下,未配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
开启802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数,而还没有收到用户响应,则强制该用户下线。
由于802.1X握手成功,设备不会再对用户进行回复,导致某些客户端在一段时间后会进行重认证或者下线。请根据实际情况配置本功能。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置802.1X在线用户握手功能。
dot1x handshake enable
缺省情况下,无线服务模板下的802.1X在线用户握手功能处于关闭状态。
802.1X安全握手是指在握手报文中加入验证信息,以防止非法用户仿冒正常用户的在线的802.1X的客户端与设备进行握手报文的交互。开启802.1X安全握手功能后,支持安全握手的客户端需要在每次向设备发送的握手应答报文中携带验证信息,设备将其与认证服务器下发的验证信息进行对比,如果不一致,则强制用户下线。
验证信息由认证服务器下发,当用户上线认证成功时,服务器在认证回复报文中携带验证密钥和验证信息。设备保存验证信息,而将验证密钥发送给客户端。之后,当用户需要响应设备的握手报文时,首先使用验证密钥计算出一个验证信息,然后将该验证信息携带在握手回应报文EAPOL EAP-Response Identity中发给设备。
服务器会周期性地更新验证密钥与验证信息,并通过计费响应报文下发给设备。设备同样会将验证密钥发送给客户端,而保存验证信息用于校验客户端响应报文的合法性。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置802.1X在线用户握手功能。
dot1x handshake enable
缺省情况下,无线服务模板下的802.1X在线用户握手功能处于关闭状态。
(4) 配置802.1X在线用户安全握手功能。
dot1x handshake secure enable
缺省情况下,802.1X的在线用户的安全握手功能处于关闭状态。
本命令只对进行802.1X认证且成功上线的用户有效。
从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置802.1X用户ISP域。
dot1x domain domain-name
缺省情况下,未指定无线服务模板下的802.1X用户的ISP域。
当接入此无线服务模板的802.1X用户数超过最大值后,新接入的用户将被拒绝。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置单个射频下单个无线服务模板上允许同时接入的802.1X最大用户数。
dot1x max-user count
缺省情况下,单个射频下单个无线服务模板上允许同时接入的802.1X用户数为512个。
在无线服务模板下启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器设定的时间间隔(由命令dot1x timer reauth-period设置)定期向在线802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。
认证服务器可以通过下发RADIUS属性(session-timeout、termination-action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。
802.1X用户认证通过后,用户的重认证功能具体实现如下:
· 当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户进行重认证,则无论设备上是否开启周期性重认证功能,都会在用户会话超时时长到达后对该用户发起重认证。
· 当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户下线时:
¡ 若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则用户会以重认证定时器的值为周期发起重认证;若设备上配置的重认证定时器值大于等于用户会话超时时长,则在用户会话超时时长到达后下线。
¡ 若设备上未开启周期性重认证功能,则用户在会话超时时长到达后下线。
· 当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置802.1X重认证功能。
dot1x re-authenticate enable
缺省情况下,无线服务模板上的802.1X周期性重认证功能处于关闭状态。
当接入此无线服务模板的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置MAC地址认证最大用户数。
mac-authentication max-user count
缺省情况下,当前无线服务模板上允许接入的MAC地址认证最大用户数为4096个。
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置MAC地址认证用户的ISP域。
mac-autentication domain domain-name
缺省情况下,未指定无线服务模板下的MAC地址认证用户的ISP域。
本功能适用于以下两种用户:
· 对于进行802.1X认证的无线用户,开启本功能后,当802.1X认证失败时,设备会忽略这一认证结果,允许用户访问网络资源。
· 对于通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户,需要依次通过MAC地址认证和Portal认证才能访问网络资源,且每次都需要输入Portal用户名和密码。配置本功能后,可以简化上述认证过程。简化后的认证过程如下:
¡ 若RADIUS服务器上已经记录了用户和客户端MAC地址的对应信息,判断用户通过MAC地址认证,且不需要进行Portal认证即可访问网络资源。
¡ 若RADIUS服务器上未记录用户和客户端MAC地址的对应信息,判断MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和客户端MAC地址的对应信息。
若某无线服务模板下有漫游的RSN+802.1X认证方式的无线用户上线,请勿配置本功能,否则会导致漫游失败。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置忽略802.1X或MAC地址认证结果。
client-security ignore-authentication
缺省情况下,对于802.1X认证方式的无线用户,应用802.1X认证结果,对于通过RADIUS服务器进行远程MAC地址认证的无线用户,应用MAC地址认证结果。
在用户进行MAC地址认证上线过程中,如果RADIUS服务器上没有记录用户及其MAC地址的对应信息,但仍需要用户进行认证时,可以通过在设备上开启URL重定向功能。开启后,用户可以根据RADIUS服务器下发的重定向URL,跳转到指定的Web认证界面进行用户认证。用户认证通过后,RADIUS服务器将记录用户的MAC地址信息,并通过DM报文强制用户下线,此后该用户即可正常完成MAC地址认证。有关DM报文的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
设备开启URL重定向功能后,MAC地址认证过程如下:
(1) RADIUS服务器下发授权ACL和重定向URL。
(2) 用户试图通过HTTP或HTTPS访问外网时,该HTTP或HTTPS请求会匹配授权ACL的deny规则,然后该请求会被重定向到重定向URL所指向的认证页面。
(3) 在认证页面,用户输入运营商提供的用户名和密码,完成Web页面认证并记录该用户及其MAC地址的对应信息。
(4) 认证完成后,RADIUS服务器通过发送DM请求报文强制用户下线。
(5) 用户下线后,再次进行MAC地址认证,由于RADIUS服务器上已记录该用户及其MAC地址的对应信息,用户可以完成MAC地址认证。
对于有信息推广需求的客户,需要指定URL重定向为本地重定向,RADIUS服务器下发重定向URL后,设备就会对初次上线进行MAC地址认证的用户进行一次URL重定向,一旦确定用户访问过重定向URL,设备将不再进行重定向,此后用户可以正常完成MAC地址认证:
· 对于HTTP的报文,用户只要访问过重定向URL,设备就会认为用户访问过重定向URL。
· 对于HTTPS的报文,用户只有在指定的重定向时间内访问重定向IP地址达到指定次数,设备才会认为用户访问过重定向URL。
只要设备上没有用户Cache相关信息,就认为该用户为初次上线用户。
在RADIUS服务器或接入设备上配置授权ACL和重定向URL时有如下注意事项:
· 本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。
· 授权ACL需要允许客户端与认证页面交互的报文通过。有关授权ACL的详细介绍请参见“用户接入与认证配置指导”中的“MAC地址认证”。
· 若无线客户端通过DHCP动态获取IP地址,则授权ACL需要允许无线客户端与DHCP服务器交互的报文通过;若采用手工方式配置IP地址,则无此限制。
· 其他报文缺省不允许通过。
· 重定向URL即为用户进行用户认证时Web页面的地址。
由于URL重定向功能需要使用授权ACL,当某些业务也需要下发授权ACL时,必须配置客户端URL重定向的授权ACL。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置URL重定向功能。
client url-redirect enable [ mode native [ https [ redirect-stop-timer seconds ] [ count number ] ] ]
缺省情况下,客户端URL重定向功能处于关闭状态。
(4) (可选)配置客户端URL重定向的授权ACL。
client url-redirect acl acl-number
缺省情况下,未配置客户端URL重定向的授权ACL。
如果配置了认证失败VLAN,认证失败的用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证。如果重认证通过,设备将根据AAA服务器是否下发VLAN来重新指定该用户所在VLAN,即如果AAA服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN;如果重认证未通过,则该用户仍然留在认证失败VLAN中。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置认证失败VLAN。
client-security authentication fail-vlan vlan-id
缺省情况下,没有配置认证失败VLAN。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置服务模板下的Critical VLAN。
client-security authentication critical-vlan vlan-id
缺省情况下,未配置Critical VLAN。
授权信息包括VLAN、ACL和User Profile,分为RADIUS服务器下发的授权信息和设备本地下发的授权信息。若用户不想使用授权信息,则可以配置忽略授权信息。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置忽略RADIUS服务器或设备本地下发的授权信息。
client-security ignore-authorization
缺省情况下,应用RADIUS服务器或设备本地下发的授权信息。
如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;
如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。
对于授权VLAN失败的情况下,设备会直接让用户下线,与此功能无关。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置授权失败强制用户下线。
client-security authorization-fail offline
缺省情况下,设置授权信息失败后,用户保持在线。
当检测到一个非法用户试图访问网络时,如果开启了入侵检测功能,设备将对其所在的BSS采取相应的安全模式。有关安全模式的详细介绍,请参见“1.1.4 入侵检测”。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置入侵检测功能。
client-security intrusion-protection enable
缺省情况下,入侵保护功能处于关闭状态。
(4) 配置入侵检测模式。
client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }
缺省情况下,入侵检测模式为temporary-block模式。
(5) (可选)配置临时阻塞非法入侵用户时长。
client-security intrusion-protection timer temporary-block time
缺省情况下,临时阻塞非法入侵用户时间为180秒。
(6) (可选)配置临时关闭BSS服务时长。
client-security intrusion-protection timer temporary-service-stop time
缺省情况下,临时关闭BSS服务时长为20秒。
无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据配置的计费延时的时间和触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。有关计费的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
配置触发计费开始的无线客户端IP地址类型时,需要开启相应的客户端IP地址类型学习功能,配置才会生效。有关客户端IP地址学习功能的详细介绍请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置触发计费开始的无线客户端IP地址类型。
client-security accounting-start trigger { ipv4 | ipv4-ipv6 [ separate ] | ipv6 | none }
缺省情况下,触发计费开始的无线客户端IP地址类型为IPv4。
(4) (可选)开启无线客户端计费延时功能。
client-security accounting-delay time time [ no-ip-logoff ]
缺省情况下,设备学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求。
在实际网络环境中,客户端学习到的IP地址有可能会发生变化,为了对客户端进行精准计费,有必要配置发送计费更新报文的触发条件。当指定类型的客户端的IP地址发生变化时,便会触发设备发送计费更新报文,发送周期由RADIUS服务器的实时计费间隔配置决定。有关RADIUS实时计费间隔的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置触发计费更新的无线客户端IP地址类型。
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
缺省情况下,根据计费服务器下发或设备配置的实时计费的时间间隔规则周期性发送计费更新请求报文。
开启本功能后,当客户端IPv4地址发生变化时,首先设备会立即向计费服务器发送计费停止报文,然后经过配置的重新发送计费开始报文的延时时间,再重新向计费服务器发送计费开始报文,对客户端进行重新计费。
client-security accounting-restart trigger ipv4命令的优先级高于client-security accounting-update trigger命令。
本命令只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启IPv4地址变化客户端的重新计费功能。
client-security accounting-restart trigger ipv4 [ delay interval ]
缺省情况下,IPv4地址变化客户端的重新计费功能处于关闭状态。
开启802.1X无线客户端双协议栈流量计费分离功能后,设备会分别统计用户访问IPv4网络和IPv6网络的流量并发给AAA计费服务器。
配置本功能后,对于接入认证模式为dot1x-then-mac、mac-then-dot1x和oui-then-dot1x的无线客户端,即使仅MAC地址认证成功,设备也会分别统计无线客户端访问IPv4网络和IPv6网络的流量并发给AAA计费服务器。
本功能只能在无线服务模板处于关闭状态时配置。
本功能不适用于无线终结者方案。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启802.1X无线客户端双协议栈流量计费分离功能。
client-security accounting dual-stack separate enable
缺省情况下,802.1X无线客户端双协议栈流量计费分离功能处于关闭状态,即设备会将IPv4网络和IPv6网络的总流量发送给AAA服务器进行计费。
开启本功能,在无线802.1X认证或MAC地址认证的RADIUS报文中携带RADIUS扩展属性,标识用户IP地址学习方式。设备支持的RADIUS扩展属性Vendor-ID为25506,属性的具体介绍请参见“用户接入与认证配置指导”中的“AAA”的“附录C RADIUS扩展属性(Vendor-ID=25506)”。
RADIUS服务器可以根据通过RADIUS扩展属性判断IP地址是否属于服务器分配。
仅WX3500H-LI系列无线控制器支持本功能。
本功能只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启RADIUS报文携带用户IP地址学习方式的功能。
client-security aaa attribute ip-snooping-method
缺省情况下,RADIUS报文携带用户IP地址学习方式的功能处于关闭状态。
开启MAC地址认证成功后的快速连接功能后,已经通过MAC地址认证的客户端在AC内漫游时,不需要再次进行MAC地址认证,可提高客户端AC内漫游的上线速度。
对于进行AC间漫游的MAC地址认证的客户端,配置本命令后,客户端可以继承漫游VLAN,但是漫游状态显示为N/A。当AC间漫游的客户端所属VLAN不同时,同一漫游组内的AC上行接口需要允许MAC地址认证的客户端VLAN通过。
本功能仅对在AC上进行认证和关联的无线客户端生效。
该命令只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启MAC地址认证成功后的快速连接功能。
mac-authentication fast-connect enable
缺省情况下,MAC地址认证成功后的快速连接功能处于关闭状态。
认证成功率是指802.1X认证、MAC地址认证及二层Portal认证时认证成功的总次数占认证总次数的百分比。在线用户异常下线率是指在线用户异常断开连接的总次数占在线用户认证成功的总次数与当前在线用户总数之和的百分比。
设备会重新对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化计算。
只有802.1X认证、MAC地址认证及二层Portal认证采用RADIUS服务器进行远程认证时,本特性配置的优化参数才会生效。
(1) 进入系统视图。
system-view
(2) 配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值。
wlan authentication optimization value
缺省情况下,802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值为0,即不对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化,采用实际值。
当网络状况较好时,建议开启BYOD触发授权功能,用户认证完成后,接入设备会在获取到客户端BYOD信息后触发BYOD授权。有关BYOD授权的详细信息,请参见“用户接入与认证配置指导”的“AAA”。
本功能只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启BYOD触发授权功能。
client-security authorization trigger byod
缺省情况下,BYOD触发授权功能处于关闭状态。
开启用户逃生功能后,该无线服务模板下的用户采用802.1X认证、MAC地址认证或Bypass认证接入网络且AC与RADIUS服务器断开连接或AC与AP断开连接时,AP会继续为用户提供数据转发和接入服务,从而使用户可以进行逃生,继续访问网络。
对于采用不同认证方式的在线用户,逃生功能对其产生的影响有所不同:
· 用户采用Bypass认证接入网络:如果使用fail-permit template命令配置了逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络;如果没有配置逃生服务模板,用户可以在该无线服务模板下发生逃生,继续访问网络且无感知。
· 用户采用MAC地址认证接入网络:如果配置了逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络;如果没有配置逃生服务模板,用户可以在该无线服务模板下发生逃生,但会短暂被踢下线,需等待网络重新自动连接后可继续访问网络。
· 用户采用802.1X认证接入网络:需要提前配置好逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
(1) 开启用户逃生功能
用户要逃生成功必须通过radius-server test-profile命令配置RADIUS服务器探测模板,当探测到RADIUS服务器不可达时,用户进行逃生。同时,建议根据实际情况配置发送探测报文的周期,周期越短,响应越快。有关RADIUS服务器探测模板的详细介绍,请参见“用户接入与认证配置指导”中的“AAA”。
本功能只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 开启用户逃生功能。
fail-permit enable [ keep-online ]
缺省情况下,用户逃生功能处于关闭状态。
当无线用户通过fail-permit enable命令在当前无线服务模板开启了用户逃生功能后,可以配置一个逃生服务模板。当AC与RADIUS服务器断开连接或AC与AP断开连接时,用户服务会被切换到逃生服务模板上并被踢下线,需手动重新连接到逃生服务模板配置的SSID后才可继续访问网络。
开启用户逃生功能和配置当前无线服务模板为逃生服务模板不能在同一无线服务模板下同时配置。
建议配置了本功能的无线服务模板的转发位置在AP上,否则可能会导致用户逃生失败。
如果开启了用户逃生功能的无线服务模板的认证位置在AP上,则配置了本命令的无线服务模板的认证位置也要在AP上。
建议系统中仅配置一个逃生服务模板,如果配置多个,则第一个绑定到Radio的逃生服务模板生效。
建议配置逃生服务模板时将akm mode配置为psk模式或不配置akm mode,否则可能导致逃生失败。
本功能只能在无线服务模板处于关闭状态时配置。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置当前无线服务模板为逃生服务模板。
fail-permit template
缺省情况下,未配置当前无线服务模板为逃生服务模板。
当无线5G Radio用户接入网络,可以通过配置本功能将除当前Radio上绑定的无线服务模板外的其它无线服务模板配置为逃生服务模板,并绑定到同一AP的其它Radio上。当前Radio雷达静默时,用户服务会被自动切换到其他Radio上的逃生服务模板,从而使用户继续访问网络。
配置5G Radio用户逃生服务模板时,除fail-permit template命令外,逃生服务模板与当前Radio绑定的无线服务模板配置必须保持一致。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置当前无线服务模板为5G Radio用户逃生服务模板。
fail-permit template
缺省情况下,未配置当前无线服务模板为5G Radio用户逃生服务模板。
当客户端采用EAP中继方式通过认证服务器认证失败时,可以配置本命令,设备采用EAP终结方式以指定的认证方法与认证服务器进行交互,从而使客户端通过认证。
目前本特性仅支持采用PEAP-GTC认证方式的认证请求报文进行处理。
(1) 进入系统视图。
system-view
(2) 进入无线服务模板视图。
wlan service-template service-template-name
(3) 配置802.1X认证采用EAP终结方式时与认证服务器之间进行交互认证的方法。
dot1x eap-termination authentication-method { chap | pap }
缺省情况下,采用CHAP方法进行认证。
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户接入认证的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相关统计信息。
display dot1x connection、display dot1x和reset dot1x statistics命令的详细介绍,请参见“用户接入与认证命令参考”中的“802.1X”。
display mac-authentication connection、display mac-authentication和reset mac-authentication statistics命令的详细介绍,请参见“用户接入与认证命令参考”中的“MAC地址认证”。
表1-2 WLAN用户接入认证显示和维护
操作 |
命令 |
显示802.1X的会话连接信息、相关统计信息或配置信息 |
display dot1x [ sessions | statistics ] [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
显示802.1X在线用户的连接信息 |
(独立运行模式) display dot1x connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | user-mac mac-addr | user-name name-string ] (IRF模式) display dot1x connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name name-string ] |
显示MAC地址认证的相关信息 |
display mac-authentication [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
显示MAC地址认证连接信息 |
(独立运行模式) display mac-authentication connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | user-mac mac-addr | user-name name-string ] (IRF模式) display mac-authentication connection [ ap ap-name [ radio radio-id ] | interface interface-type interface-number | slot slot-number | user-mac mac-addr | user-name name-string ] |
显示阻塞MAC地址信息 |
display wlan client-security block-mac [ ap ap-name [ radio radio-id ] ] |
清除802.1X的统计信息 |
reset dot1x statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
清除MAC地址认证的统计信息 |
reset mac-authentication statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ] |
查看无线客户端的RADIUS计费报文统计信息 |
display wlan statistics accounting |
本手册中的AP型号和序列号仅为举例,具体支持的AP型号和序列号请以设备的实际情况为准。
· AC和AP通过交换机建立连接。AC的IP地址为10.18.1.1。
· 要求使用802.1X CHAP非加密方式进行用户身份认证。
图1-4 802.1X认证(CHAP本地认证)典型配置组网图
下述配置步骤中包含了若干AAA/本地用户的配置命令,关于这些命令的详细介绍请参见“用户接入与认证命令参考”中的“AAA”。
(1) 配置802.1X认证方式及本地用户
# 配置802.1X认证方式为CHAP。
<AC> system-view
[AC] dot1x authentication-method chap
# 配置本地用户,用户名为chap1,所属的组为网络接入用户组,密码为明文123456,服务类型为lan-access。
[AC] local-user chap1 class network
[AC-luser-network-chap1] password simple 123456
[AC-luser-network-chap1] service-type lan-access
[AC-luser-network-chap1] quit
(2) 配置ISP域的AAA方法
# 配置名称为local的ISP域,并将认证、授权和计费的方式配置为本地。
[AC] domain local
[AC-isp-local] authentication lan-access local
[AC-isp-local] authorization lan-access local
[AC-isp-local] accounting lan-access local
[AC-isp-local] quit
(3) 配置无线服务模板
# 配置无线服务模板,名称为wlas_local_chap,用户认证方式为802.1X,ISP域为local,SSID为wlas_local_chap。
[AC] wlan service-template wlas_local_chap
[AC-wlan-st-wlas_local_chap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_local_chap] dot1x domain local
[AC-wlan-st-wlas_local_chap] ssid wlas_local_chap
# 使能无线服务模板。
[AC-wlan-st-wlas_local_chap] service-template enable
[AC-wlan-st-wlas_local_chap] quit
(4) 配置手工AP,并将无线服务模板绑定到radio上
# 创建ap1,并配置序列号。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置Radio信道为149,并使能射频。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 将无线服务模板wlas_local_chap绑定到radio1上。
[AC-wlan-ap-ap1-radio-1] service-template wlas_local_chap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
使用命令display wlan service-template可以查看AP上的802.1X配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。
· AC和RADIUS服务器通过交换机建立连接。AC的IP地址为10.18.1.1,与AC相连的RADIUS服务器的IP地址为10.18.1.88。
· 要求使用EAP-PEAP方式进行802.1X用户身份认证。
图1-5 802.1X认证(EAP-PEAP加密)典型配置组网图
· 下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
· 完成RADIUS服务器的配置,安装证书并添加用户账户,保证用户的认证/授权/计费功能正常运行。
· 完成客户端802.1X的配置,安装证书。
(1) 配置802.1X认证方式及Radius方案
# 配置802.1X认证方式为EAP。
<AC> system-view
[AC] dot1x authentication-method eap
# 配置RADIUS方案,名称为imcc,主认证服务器的IP地址为10.18.1.88,端口号为1812,配置主计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置无线服务模板
# 配置无线服务模板名称为wlas_imc_peap,用户认证方式为802.1X,ISP域为imc,SSID为wlas_imc_peap,AKM模式为802.1X,加密套件为CCMP,安全IE为RSN。
[AC] wlan service-template wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_imc_peap] dot1x domain imc
[AC-wlan-st-wlas_imc_peap] ssid wlas_imc_peap
[AC-wlan-st-wlas_imc_peap] akm mode dot1x
[AC-wlan-st-wlas_imc_peap] cipher-suite ccmp
[AC-wlan-st-wlas_imc_peap] security-ie rsn
# 使能无线服务模板。
[AC-wlan-st-wlas_imc_tls] service-template enable
[AC-wlan-st-wlas_imc_tls] quit
(4) 配置手工AP,并将无线服务模板绑定到radio上
# 创建ap1。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置信道为149,并使能射频。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC-wlan-ap-ap1-radio-1] service-template wlas_imc_peap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置RADIUS server(iMC V7)
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。
· 在服务器上已经完成证书的安装。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理菜单项,进入接入设备管理页面,点击页面中的接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
¡ 设置认证、计费共享密钥为12345678,其它保持缺省配置;
¡ 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-6 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
¡ 设置接入策略名为dot1x;
¡ 选择证书认证为EAP证书认证;
¡ 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
图1-7 增加服务策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
¡ 设置服务名为dot1x;
¡ 设置缺省接入策略为已经创建的dot1x策略。
图1-8 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
¡ 添加用户user;
¡ 添加帐号名为user,密码为dot1x;
¡ 选中之前配置的服务dot1x。
图1-9 增加接入用户页面
(6) 配置无线网卡
选择无线网卡,在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用Windows登录名和密码选项。然后“确定”。整个过程如下图所示。
在客户端上已经完成证书安装。
图1-10 无线网卡配置过程
图1-11 无线网卡配置过程
图1-12 无线网卡配置过程
图1-13 无线网卡配置过程
图1-14 无线网卡配置过程
客户端通过802.1X认证成功关联AP,并且可以访问无线网络。
· 通过display dot1x connection命令显示802.1X用户连接信息,可以看到用户名和客户端输入的用户名一致。
[AC] display dot1x connection
User MAC address : 0023-8933-2090
AP name :ap1
Radio ID : 1
SSID : wlas_imc_peap
BSSID : 000f-e201-0003
User name : user
Authentication domain : imc
Authentication method : EAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : N/A
Authorization user profile : N/A
Termination action : Default
Session timeout period : 6001 s
Online from : 2014/04/18 09:25:18
Online duration : 0h 1m 1s
Total connections: 1.
· 通过display wlan client显示命令查看无线客户端在线情况查看802.1X用户上线信息,可看到802.1X用户成功上线。
[AC] display wlan client
Total number of clients : 1
MAC address Username AP name R IP address VLAN
0023-8933-2090 user ap1 1 10.18.1.100 1
· AC和RADIUS服务器通过交换机建立连接。AC的IP地址为10.18.1.1,与AC相连的RADIUS服务器的IP地址为10.18.1.88。
· 要求使用MAC认证方式进行用户身份认证。
图1-15 使用RADIUS服务器进行MAC地址认证典型配置组网图
确保RADIUS服务器与设备路由可达,完成服务器的配置,并成功添加了接入用户账户,用户名:123,密码为aaa_maca。
(1) 配置RADIUS方案
# 配置RADIUS方案,名称为imcc,认证服务器的IP地址为10.18.1.88,端口号为1812,配置计费服务器的IP地址为10.18.1.88,端口号为1813,认证密钥为明文12345678,计费密钥为明文12345678,用户名格式为without-domain。
<AC> system-view
[AC] radius scheme imcc
[AC-radius-imcc] primary authentication 10.18.1.88 1812
[AC-radius-imcc] primary accounting 10.18.1.88 1813
[AC-radius-imcc] key authentication simple 12345678
[AC-radius-imcc] key accounting simple 12345678
[AC-radius-imcc] user-name-format without-domain
[AC-radius-imcc] quit
(2) 配置ISP域的AAA方法
# 配置名称为imc的ISP域,并将认证、授权和计费的方式配置为使用RADIUS方案imcc。
[AC] domain imc
[AC-isp-imc] authentication lan-access radius-scheme imcc
[AC-isp-imc] authorization lan-access radius-scheme imcc
[AC-isp-imc] accounting lan-access radius-scheme imcc
[AC-isp-imc] quit
(3) 配置MAC地址认证
# 配置MAC地址认证用户名格式为固定用户名格式,用户名为123,密码为明文aaa_maca(若配置成大写、不带连字符的mac地址格式,服务器需要配置与之对应的用户名格式;若配置成固定用户名格式,服务器也需要配置与其对应的用户名格式)。
[AC] mac-authentication user-name-format fixed account 123 password simple aaa_maca
# 配置无线服务模板maca_imc的SSID为maca_imc,并设置用户认证方式为MAC地址认证,ISP域为imc。
[AC] wlan service-template maca_imc
[AC-wlan-st-maca_imc] ssid maca_imc
[AC-wlan-st-maca_imc] client-security authentication-mode mac
[AC-wlan-st-maca_imc] mac-authentication domain imc
# 无线服务模板使能。
[AC-wlan-st-maca_imc] service-template enable
[AC-wlan-st-maca_imc] quit
(4) 配置手工AP并将无线服务模板绑定到radio上
# 创建ap1。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A1BSC123000050
# 配置信道为149,并使能射频。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 绑定无线服务模板。
[AC-wlan-ap-ap1-radio-1] service-template maca_imc
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置RADIUS server(iMC V7)
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1、iMC UAM 7.1),说明RADIUS server的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备管理页面,点击页面中的进入接入设备配置按钮,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
¡ 设置认证、计费共享密钥为12345678,其它保持缺省配置;
¡ 选择或手工增加接入设备,添加IP地址为10.18.1.1的接入设备。
图1-16 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
设置接入策略名为aaa_maca,其他保持缺省配置。
图1-17 增加服务策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
¡ 设置服务名为aaa_maca;
¡ 设置缺省接入策略为已经创建的aaa_maca策略。
图1-18 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
¡ 添加用户123;
¡ 添加帐号名为123,密码为aaa_maca;
¡ 选中刚才配置的服务aaa_maca。
图1-19 增加接入用户页面
# 客户端通过MAC认证成功关联AP,并且可以访问无线网络。
· 通过display mac-authentication connection命令显示MAC用户连接信息。
[AC] display mac-authentication connection
User MAC address : 0023-8933-2098
AP name :ap1
Radio ID : 1
SSID : maca_imc
BSSID : 000f-e201-0001
User name : 123
Authentication domain : imc
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : N/A
Authorization user profile : N/A
Termination action : Default
Session timeout period : 6001 s
Online from : 2014/04/17 17:21:12
Online duration : 0h 0m 30s
Total connections: 1.
· 通过display wlan client显示命令查看无线客户端在线情况查看MAC地址认证用户上线信息,可看到MAC地址认证用户成功上线。
[AC] display wlan client
Total number of clients : 1
MAC address Username AP name R IP address VLAN
0023-8933-2098 123 ap1 1 10.18.1.100 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!