- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-端口安全配置
本章节下载: 06-端口安全配置 (573.98 KB)
1.1.5 端口安全对Guest VLAN和Auth-Fail VLAN的支持
1.13.1 端口安全userLoginWithOUI模式配置举例
1.13.2 端口安全支持WLAN的userLoginSecureExt模式配置举例
1.13.3 端口安全支持MAC-based的802.1X Guest VLAN配置举例
1.13.4 Guest VLAN、授权VLAN下发的典型配置举例
端口安全中对于接口的相关配置,目前可以在以太网接口及WLAN接口上进行。各命令支持接口类型的情况不同,具体请参见“安全命令参考”中的“端口安全”。
端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
端口安全的主要功能是通过定义各种端口安全模式,让设备学习到合法的源MAC地址,以达到相应的网络管理效果。启动了端口安全功能之后,当发现非法报文时,系统将触发相应特性,并按照预先指定的方式进行处理,既方便用户的管理又提高了系统的安全性。这里的非法报文是指:
· MAC地址未被端口学习到的用户报文;
由于端口安全特性通过多种安全模式提供了802.1X和MAC地址认证的扩展和组合应用,因此无线环境中通常使用端口安全特性。关于802.1X、MAC地址认证特性的详细介绍和具体配置请参见“安全配置指导”中的“802.1X”、“MAC地址认证”。
Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证或被端口学习到的MAC所属的设备或主机上,从而防止非法设备窃听网络数据。
入侵检测特性指通过检测从端口收到的数据帧的源MAC地址,对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被过滤(默认3分钟,不可配),以保证端口的安全性。
Trap特性是指当端口有特定的数据包(由非法入侵,用户上下线等原因引起)传送时,设备将会发送Trap信息,便于网络管理员对这些特殊的行为进行监控。
基本的端口安全模式可大致分为两大类:控制MAC学习类和认证类。
· 控制MAC学习类无需认证,目前仅支持禁止MAC地址学习模式。
· 认证类利用MAC地址认证和802.1X认证机制来实现,包括单独认证和组合认证等多种模式。
配置了安全模式的端口上收到用户报文后,首先查找MAC地址表,如果该报文的源MAC地址已经存在于MAC地址表中,则端口转发该报文,否则根据端口所在安全模式进行相应的处理(学习、认证),并在发现非法报文后触发端口执行相应的安全防护措施(Need To Know、入侵检测)或发送Trap告警。关于各模式的具体工作机制,以及是否触发Need To Know、入侵检测的具体情况请参见表1-1。
|
NTK/入侵检测 |
||||
|
端口控制MAC地址学习 |
禁止端口学习MAC地址,只有源MAC地址为手工配置的MAC地址的报文,才能通过该端口 |
|||
|
此模式下,端口下的第一个802.1X用户认证成功后,其它用户无须认证就可接入 |
||||
|
对接入用户采用基于MAC地址的802.1X认证 此模式下,端口最多只允许一个802.1X认证用户接入 |
||||
|
该模式与userLoginSecure模式类似,但端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC的OUI与设备上配置的OUI值相符 · 在用户接入方式为有线的情况下,802.1X报文进行802.1X认证,非802.1X报文直接进行OUI匹配,802.1X认证成功和OUI匹配成功的报文都允许通过端口; · 在用户接入方式为无线的情况下,报文首先进行OUI匹配,OUI匹配失败的报文再进行802.1X认证,OUI匹配成功和802.1X认证成功的报文都允许通过端口 |
||||
|
对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户 |
||||
|
端口采用MAC地址认证 |
对接入用户采用MAC地址认证 |
|||
|
端口采用802.1X和MAC地址认证组合认证 |
端口同时处于userLoginSecure模式和macAddressWithRadius模式 · 在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证,802.1X报文直接进行802.1X认证; · 在用户接入方式为无线的情况下,802.1X认证优先级大于MAC地址认证:报文首先进行802.1X认证,如果802.1X认证失败再进行MAC地址认证 |
|||
|
端口同时处于macAddressWithRadius模式和userLoginSecure模式,但MAC地址认证优先级大于802.1X认证; · 在用户接入方式为有线的情况下,非802.1X报文延迟30秒之后进行MAC地址认证; · 在用户接入方式为无线的情况下,非802.1X报文直接进行MAC地址认证。802.1X报文先进行MAC地址认证,如果MAC地址认证失败再进行802.1X认证 |
||||
|
与macAddressOrUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
||||
|
与macAddressElseUserLoginSecure类似,但允许端口下有多个802.1X和MAC地址认证用户 |
||||
· 当多个用户通过认证时,端口下所允许的最大用户数根据不同的端口安全模式,取端口安全所允许的最大MAC地址数与相应模式下允许认证用户数的最小值。例如,userLoginSecureExt模式下,端口下所允许的最大用户为配置的端口安全所允许的最大MAC地址数与802.1X认证所允许的最大用户数的最小值。
· 手工配置MAC地址的具体介绍请参见“二层技术命令参考”中的“MAC地址表”。
· OUI(Organizationally Unique Identifier)是MAC地址的前24位(二进制),是IEEE(Institute of Electrical and Electronics Engineers,电气和电子工程师学会)为不同设备供应商分配的一个全球唯一的标识符。
由于安全模式种类较多,为便于记忆,部分端口安全模式名称的构成可按如下规则理解:
· “userLogin”表示基于端口的802.1X认证;
· “macAddress”表示MAC地址认证;
· “Else”之前的认证方式先被采用,失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式。
· “Or”连接的两种认证方式无固定生效顺序,设备根据请求认证的报文协议类型决定认证方式,但无线接入的用户先采用802.1X认证方式;
· 携带“Secure”的userLogin表示基于MAC地址的802.1X认证。
· 携带“Ext”表示可允许多个802.1X用户认证成功,不携带则表示仅允许一个802.1X用户认证成功。
端口安全针对WLAN(Wireless Local Area Network,无线局域网)类型的接口,在原有安全模式的基础上增加presharedKey、macAddressAndPresharedKey、userlLoginSecureExtOrPresharedKey和WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)四种安全模式,实现了访问无线接入设备的链路层安全机制。
表1-2 端口安全支持WLAN模式描述表
|
NTK/入侵检测 |
||
|
接入用户必须使用设备上预先配置的静态密钥,即PSK(Pre-Shared Key,预共享密钥)与设备进行会话密钥协商,协商成功后可访问网络资源 |
||
|
接入用户必须先进行MAC地址认证,通过认证后使用预先配置的预共享密钥与设备协商,协商成功后可访问网络资源 |
||
|
接入用户与设备进行交互,选择进行基于MAC(macbased)的802.1X认证或者仅进行预共享密钥协商 |
||
|
接入用户必须通过WAPI认证后才能访问网络资源 有关WAPI的相关介绍,请参见“WLAN配置指导”中的“WAPI” |
PSK用户是指通过presharedKey安全模式认证上线的用户。不同端口安全模式下,端口可允许接入的最大用户数受到不同的限制,具体情况如下:
· presharedKey模式下,单个端口上允许的最大PSK用户数由无线接口可支持的最大用户数决定,如果端口上还设置了端口安全所允许的最大MAC地址数,则端口上的最大PSK用户数取两者的最小值。另外,整个系统所允许的最大PSK用户总数受系统规格限制,请参见“配置指导导读”中的“特性差异情况”部分的介绍;
· macAddressAndPresharedKey模式下,系统所允许的认证用户总数及单个端口上的最大用户数受MAC地址认证接入用户数限制,如果端口上还设置了端口安全所允许的最大MAC地址数,则端口上的最大用户数取两者的最小值。
· userLoginSecureExtOrPresharedKey模式下,单个端口以及系统所允许的最大PSK用户数限制与presharedKey模式同;系统所允许的802.1X认证用户总数及单个端口上的用户数受802.1X认证接入用户数限制;此外,如果端口上还设置了端口安全所允许的最大MAC地址数,则允许的PSK用户数及802.1X认证用户数之和不能超过该限制。
在无线接入的情况下,若802.1X或MAC地址认证用户的MAC地址及所属的VLAN与配置的静态MAC及所属的VLAN相同,则由于无线链路无法建立,会导致用户不能接入无线网络。
802.1X认证的Guest VLAN是指允许用户在未认证的情况下,可以访问的指定VLAN。802.1X的Auth-Fail VLAN与MAC地址认证的Guest VLAN是指允许用户在认证失败的情况下,可以访问的指定VLAN。
· 对于支持802.1X认证的安全模式来说,可配置Guest VLAN和Auth-Fail VLAN。关于802.1X认证的Guest VLAN和Auth-Fail VLAN的具体介绍请参见“安全配置指导”中的“802.1X”。
· 对于支持MAC地址认证的安全模式来说,可配置Guest VLAN。关于MAC地址认证Guest VLAN的具体介绍请参见“安全配置指导”中的“MAC地址认证”。
若端口上同时配置了802.1X认证的Auth-Fail VLAN与MAC地址认证的Guest VLAN,则后生成的Auth-Fail VLAN表项会覆盖先生成的Guest VLAN表项,但后生成的Guest VLAN表项不能覆盖先生成的Auth-Fail VLAN表项。
本特性的支持情况与设备型号有关,请参见“配置指导导读”的“特性差异情况”部分的介绍。
在双AC备份的组网环境中,为避免主备AC切换时客户端下线,AC需提供双机热备功能。该功能是指当客户端进行上下线、漫游等动作时,主AC能够通过IACTP(Inter Access Controller Tunneling Protocol,接入控制器间隧道协议)隧道将客户端信息(认证信息、授权信息、客户端数据和客户端状态)实时备份给备份AC,以实现在AC进行主备切换时,备份AC能够立即接管当前在线客户端,保证客户端能够正常通信,数据流不中断。关于双AC备份的详细介绍请参见“WLAN配置指导”中的“双AC备份”。
目前,端口安全仅支持对802.1X认证客户端信息的热备。
· Auth-Fail VLAN和Guest VLAN不支持双机热备,例如,如果用户在AC 1上加入了某Auth-Fail VLAN,则该VLAN信息并不会备份到备份AC 2。
· Stop-Account-Buffer报文不会被双机备份。例如,如果AC 1上有Stop-Account-Buffer报文,但是这些报文不会被同步到AC 2上。
· 双机之间用于传输备份消息及用户信息的备份链路是维护两端用户信息和状态的基础,因此请保证该链路的正常工作,若该备份链路断开并重连,则可能会产生用户信息的变动。
|
配置Trap特性 |
|||
|
配置支持WLAN的端口安全模式 |
|||
在使能端口安全功能之前,需要关闭全局的802.1X和MAC地址认证功能。
执行使能或关闭端口安全功能的命令后,端口上的如下配置会被自动恢复为以下缺省情况:
· 802.1X端口接入控制方式为macbased、802.1X端口的授权状态为auto。
当端口安全功能处于使能状态时,端口上的802.1X功能以及MAC地址认证功能将不能被手动开启,且802.1X端口接入控制方式和端口接入控制模式也不能被修改,只能随端口安全模式的改变由系统更改。
端口安全允许某个端口下有多个用户接入,但是允许的用户数不能超过规定的最大值。
配置端口允许的最大MAC地址数可以控制端口允许接入网络的最大用户数。最终端口上允许接入的用户数为此处配置的最大MAC地址数和相应认证类安全模式下允许的用户数的较小值。
|
缺省情况下,最大MAC地址数不受限制 |
端口安全允许的最大MAC地址数与“二层技术-以太网交换配置指导/MAC地址表”中配置的端口最多可以学习到的MAC地址数无关,且不受其影响。
· 802.1X认证关闭。
· MAC地址认证关闭。
(如果以上条件不满足,则系统会提示错误信息,且不能进行端口安全模式的配置;如果端口上已经配置了端口安全模式,则以上配置就不允许改变。)
|
仅在安全模式为userlogin-withoui的情况下必选 允许通过认证的用户OUI值可以配置多个 |
||
|
userloginWithOUI模式只能在二层以太网及WLAN-ESS类型的接口下配置 |
||
当端口安全已经使能且当前端口安全模式不是noRestrictions时,若要改变端口安全模式,必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式。
· 在端口安全模式下配置了port-security port-mode { mac-authentication | userlogin-secure-or-mac | userlogin-secure-or-mac-ext }后再使用命令mac-authentication timer quiet quiet-value配置MAC地址的静默定时器,静默定时器不生效。关于MAC地址认证定时器的配置请参见“MAC地址认证”。
该功能用来限制认证端口上出方向的报文转发。即,用户通过认证后,以此MAC为目的地址的报文都可以正常转发。并非所有的端口安全模式都支持Need To Know特性,配置时需要先了解各模式对此特性的支持情况。
Need To Know特性包括以下三种方式:
· ntkonly:仅允许目的MAC地址为已通过认证的MAC地址的单播报文通过。
· ntk-withbroadcasts:允许目的MAC地址为已通过认证的MAC地址的单播报文或广播地址的报文通过。
· ntk-withmulticasts:允许目的MAC地址为已通过认证的MAC地址的单播报文,广播地址或组播地址的报文通过。
配置了Need To Know的端口在以上任何一种方式下都不允许目的MAC地址未知的单播报文通过。
|
port-security ntk-mode { ntk-withbroadcasts | ntk-withmulticasts | ntkonly } |
缺省情况下,端口没有配置Need To Know特性,即所有报文都可成功发送 |
当设备检测到一个非法的用户通过端口试图访问网络时,该特性用于配置设备可能对其采取的安全措施,包括以下三种方式:
· blockmac:表示将非法报文的源MAC地址加入阻塞MAC地址列表中,源MAC地址为阻塞MAC地址的报文将被丢弃。此MAC地址在被阻塞3分钟(系统默认,不可配)后恢复正常。
· disableport:表示将收到非法报文的端口永久关闭。
· disableport-temporarily:表示将收到非法报文的端口暂时关闭一段时间。关闭时长可通过port-security timer disableport命令配置。
工作在macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下的端口,对于同一个报文,只有MAC地址认证和802.1X认证均失败后,才会触发入侵检测特性。
|
port-security intrusion-mode { blockmac | disableport | disableport-temporarily } |
WLAN-ESS接口下,不支持参数disableport |
|
该特性用于端口上发生关键事件时触发告警开关输出对应的Trap信息,包括以下几种情况:
· addresslearned:端口学习到新MAC地址时发出告警信息。
· dot1xlogfailure/dot1xlogon/dot1xlogoff:802.1X用户认证失败/认证成功/下线时发出告警日志。
· ralmlogfailure/ralmlogon/ralmlogoff:MAC地址认证用户认证失败/认证成功/下线时发出告警信息。
· intrusion:发现非法报文时发出告警信息。
不同的端口安全模式对密钥协商功能的支持情况不同,具体要求如表1-10所示。
|
presharedKey、userLoginSecureExt、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey四种端口安全模式 |
WPA或RSN网络环境下,在左侧列出的安全模式下,用户接入必须使能密钥协商功能 · presharedKey和macAddressAndPresharedKey模式下需要配置PSK; · userLoginSecureExt模式下不需要配置PSK; · userLoginSecureExtOrPresharedKey模式下可以选择是否配置PSK |
|
除presharedKey、userLoginSecureExtOrPresharedKey和macAddressAndPresharedKey之外,其它的端口安全模式 |
用户接入不需要进行PSK密钥协商,不用使能密钥协商功能 |
· 关于接口绑定的无线协议相关服务模板类型的具体配置,请参考无线配置的相关手册。
· 缺省情况下,802.1X认证会周期性的发送组播触发报文主动对客户端进行认证,为了节省无线端口的通信带宽,建议关闭802.1X认证的组播触发功能。相关配置请参考“安全配置指导”中的“802.1X”。
表1-11 配置支持WLAN端口安全模式
|
配置WLAN端口支持的安全模式 |
在无线局域网中,用户认证通过后,可以利用EAPOL-Key帧与客户端进行链路层会话密钥的协商。802.1X中的EAPOL-Key帧用于交换加密密钥信息。
· 如果使能了密钥协商功能,则用户认证通过后,只有完成密钥协商才能打开端口;
|
使能11key类型的密钥协商功能 |
缺省情况下,11key类型的密钥协商功能处于关闭状态 |
设备上预先配置的预共享密钥用于协商接入用户与设备之间的会话密钥。
|
port-security preshared-key { pass-phrase | raw-key } [ cipher | simple ] key |
802.1X用户或MAC地址认证用户在RADIUS服务器或设备上通过认证时,服务器或设备会把授权信息下发给用户。通过此配置可实现基于端口是否忽略RADIUS服务器或设备本地下发的授权信息。
|
配置当前端口不应用RADIUS服务器或设备本地下发的授权信息 |
缺省情况下,端口应用RADIUS服务器或设备本地下发的授权信息 |
该命令用来在WLAN-ESS接口上启动远程认证代理功能,即802.1X用户需要在AC上面进行11key协商加解密,IAG插卡上面负责认证和控制报文的转发。
表1-15 配置远程认证代理功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置远程认证代理功能 |
port-security remote-auth-proxy enable |
必选 缺省情况下,接口上未启动远程认证代理功能 |
关于IAG设备的相关配置,请参考“H3C SecBlade IAG插卡 用户指导”中的“端口安全”。
该命令用来指定接口或者全局的端口安全NAS-ID Profile。接口上的用户通过端口安全认证上线时,设备会根据如下优先级顺序查找向RADIUS服务器发送的NAS ID信息:AP管理模板下配置的NAS-ID值-->射频视图下配置的NAS-ID值-->本接口视图下配置的端口安全NAS-ID Profile-->系统视图下配置的端口安全NAS-ID Profile-->设备的名称。
表1-16 配置系统视图下端口安全NAS-ID Profile功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置NAS-ID Profile名字 |
port-security nas-id-profile profile-name |
可选 缺省情况下,系统视图没有配置该命令 |
表1-17 配置接口下端口安全NAS-ID Profile功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置NAS-ID Profile名字 |
port-security nas-id-profile profile-name |
可选 缺省情况下,接口上未配置该命令 |
本特性的支持情况与设备的型号有关,请参见“配置指导导读”的“特性差异情况”部分的介绍。
端口安全的双机热备功能用于为AC提供客户端信息的双机热备。在配置为双机热备的两台AC的相同WLAN-ESS接口上均开启此功能后,主AC的WLAN-ESS接口和其对应的WLAN-DBSS接口上认证上线的客户端的信息会被实时同步到备份AC上。当两台AC发生主备切换后,备份AC可以继续为已上线客户端提供接入服务,无需其重新认证。目前,端口安全仅支持对802.1X认证客户端信息的热备。
· 双AC备份功能。相关配置请参见“WLAN配置指导”中的“双AC备份”。
· WLAN客户端信息备份功能。相关配置请参见“WLAN配置指导”中的“客户端信息备份功能”。
· VRRP功能。需要在连接认证服务器的接口上配置VRRP备份组。相关配置请参见“可靠性配置指导”中的“VRRP”。
· 双机热备功能。双机间的备份消息通过专用的VLAN来传输,因此在使能双机热备业务功能的同时还需要指定备份VLAN。相关配置请参见“可靠性配置指导”中的“双机热备”。
· 双机热备模式下,不同设备上的设备ID必须不同。
· 需要使用VRRP组的虚拟IP地址作为设备发送RADIUS报文使用的源地址进行认证。
以上两条配置的详细情况请参见“安全配置指导”中的“AAA”。
|
进入WLAN-ESS接口视图 |
||
在完成上述配置后,在任意视图下执行display命令可以显示配置后端口安全的运行情况,通过查看显示信息验证配置的效果。
|
display port-security [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
|
|
显示阻塞MAC地址信息 |
|
|
显示端口安全的PSK用户信息 |
无线客户端Client通过端口WLAN-ESS1连接到无线控制器AC上,无线控制器通过RADIUS服务器对客户端进行身份认证,如果认证成功,客户端被授权允许访问Internet资源。
· IP地址为192.168.1.2/24的RADIUS服务器作为主认证/备份计费服务器,IP地址为192.168.1.3/24的RADIUS服务器作为备份认证/主计费服务器。认证共享密钥为name,计费共享密钥为money。
· 所有接入用户都使用ISP域sun的缺省认证/授权/计费方案,该域最多可容纳30个用户;
· 系统向RADIUS服务器重发报文的时间间隔为5秒,重发次数为5次,发送实时计费报文的时间间隔为15分钟,发送的用户名不带域名。
无线控制器的管理者希望对接入用户的端口WLAN-ESS1做如下限制:
· 允许一个802.1X用户上线;
· 最多可以配置5个OUI值,还允许端口上有一个与OUI值匹配的MAC地址用户通过。
图1-1 端口安全userLoginWithOUI模式组网图
· 下述配置步骤包含了部分AAA/RADIUS协议配置命令,具体介绍请参见“AAA”。
· 接入用户和RADIUS服务器上的配置略。
# 创建名为radsun的RADIUS方案。
# 设置主认证RADIUS服务器的IP地址为192.168.1.2/24,主计费RADIUS服务器的IP地址为192.168.1.3/24。
[AC-radius-radsun] primary authentication 192.168.1.2
[AC-radius-radsun] primary accounting 192.168.1.3
# 设置从认证RADIUS服务器的IP地址为192.168.1.3/24,从计费RADIUS服务器的IP地址为192.168.1.2/24。
[AC-radius-radsun] secondary authentication 192.168.1.3
[AC-radius-radsun] secondary accounting 192.168.1.2
# 设置与认证RADIUS服务器交互报文时的加密密码为name。
[AC-radius-radsun] key authentication name
# 设置与计费RADIUS服务器交互报文时的加密密码为money。
[AC-radius-radsun] key accounting money
# 设置RADIUS服务器应答超时时间为5秒,RADIUS报文的超时重传次数的最大值为5。
[AC-radius-radsun] timer response-timeout 5
[AC-radius-radsun] retry 5
# 设置向RADIUS服务器发送实时计费报文的时间间隔为15分钟。
[AC-radius-radsun] timer realtime-accounting 15
# 设置将去除域名的用户名发送给RADIUS服务器。
[AC-radius-radsun] user-name-format without-domain
[AC-radius-radsun] quit
# 创建名为sun的ISP域,并进入其视图。
# 指定名为radsun的RADIUS方案为该域用户的缺省RADIUS方案。
[AC-isp-sun] authentication default radius-scheme radsun
[AC-isp-sun] authorization default radius-scheme radsun
[AC-isp-sun] accounting default radius-scheme radsun
# 设置该ISP域最多可容纳30个用户。
[AC-isp-sun] access-limit enable 30
[AC-isp-sun] quit
# 配置802.1X的认证方式为CHAP。(该配置可选,缺省情况下802.1X的认证方式为CHAP)
[AC] dot1x authentication-method chap
# 使能端口安全功能。
# 添加5个OUI值。
[AC] port-security oui 1234-0100-1111 index 1
[AC] port-security oui 1234-0200-1111 index 2
[AC] port-security oui 1234-0300-1111 index 3
[AC] port-security oui 1234-0400-1111 index 4
[AC] port-security oui 1234-0500-1111 index 5
# 在WLAN-ESS接口上配置802.1X用户的强制认证域,并设置端口安全模式为userLoginWithOUI。
[AC-WLAN-ESS1] dot1x mandatory-domain sun
[AC-WLAN-ESS1] port-security port-mode userlogin-withoui
#创建服务模板2(明文类型服务模板),配置SSID为mactest,将WLAN-ESS1接口绑定到服务模板2。
[AC] wlan service-template 2 clear
[AC-wlan-st-2] ssid mactest
[AC-wlan-st-2] bind wlan-ess 1
[AC-wlan-st-2] authentication-method open-system
[AC-wlan-st-2] service-template enable
[AC-wlan-st-2] quit
# 配置AP:创建AP的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP的序列号。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC-wlan-ap-ap1] radio 1 type dot11an
# 将服务模板2绑定到AP的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template 2
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(2) 验证配置结果(以实际设备显示为准)
查看名为radsun的RADIUS方案的配置信息:
<AC> display radius scheme radsun
SchemeName : radsun
Index = 1 Type : standard
Primary Auth Server:
IP: 192.168.1.2 Port: 1812 State: active
Encryption Key : N/A
Probe username : N/A
Probe interval : N/A
Primary Acct Server:
IP: 192.168.1.3 Port: 1813 State: active
Encryption Key : N/A
Probe username : N/A
Probe interval : N/A
Second Auth Server:
IP: 192.168.1.3 Port: 1812 State: active
Encryption Key : N/A
Probe username : N/A
Probe interval : N/A
Second Acct Server:
IP: 192.168.1.2 Port: 1813 State: active
Encryption Key : N/A
Probe username : N/A
Probe interval : N/A
Auth Server Encryption Key : ******
Acct Server Encryption Key : ******
Accounting-On packet disable, send times = 50 , interval : 3s
Interval for timeout(second) : 5
Retransmission times for timeout : 5
Interval for realtime accounting(minute) : 15
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
查看名为sun的ISP域的配置信息:
Domain = sun
State = Active
Access-limit = 30
Accounting method = Required
Default authentication scheme : radius=radsun
Default authorization scheme : radius=radsun
Default accounting scheme : radius=radsun
Domain User Template:
Idle-cut = Disable
Session-time : exclude-idle-time
Self-service = Disable
Authorization attributes:
<AC> display port-security interface wlan-ess 1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
Index is 1, OUI value is 123401
Index is 2, OUI value is 123402
Index is 3, OUI value is 123403
Index is 4, OUI value is 123404
Index is 5, OUI value is 123405
WLAN-ESS1 is link-up
Port mode is userLoginWithOUI
NeedToKnow mode is disabled
Intrusion Protection mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
Synchronization is disabled
配置完成后,如果有802.1X用户上线,则可以看到存储的安全MAC地址数为1。还可以通过下述命令查看802.1X用户的情况:
<AC> display connection
Index=1,Username= test@sun
MAC=12-34-01-00-11-11
IP=10.1.0.1
IPv6=N/A
Total 1 connection(s) matched.
<AC> display connection ucibinedx 1
Index=1, Username= test@sun
MAC=12-34-01-00-11-11
IP=10.1.0.1
IPv6=N/A
Access=8021X ,AuthMethod=CHAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:1
Initial VLAN=1, Authorization VLAN= N/A
ACL Group=Disable
User Profile=N/A
CAR=Disable
InputOctets =12121212 OutputOctets =12120
InputGigawords=1 OutputGigawords=0
Priority=Disable
SessionTimeout=86236(s), Terminate-Action=Default
Start=2011-07-01 15:39:49 ,Current=2011-07-01 15:50:07 ,Online=00h10m18s
Total 1 connection matched.
无线客户端Client通过WLAN-ESS1接口连接到无线控制器AC上。无线控制器通过RADIUS服务器对客户端进行身份认证。认证成功之后进行密钥协商,如果密钥协商成功,客户端被授权允许访问Internet资源。
· IP地址为192.168.1.2/24的RADIUS服务器作为主认证/备份计费服务器,IP地址为192.168.1.3/24的RADIUS服务器作为备份认证/主计费服务器。认证和计费的共享密钥均为name。
· 所有接入用户都使用ISP域sun的缺省认证/授权/计费方案。
# 开启全局的端口安全特性。
[AC] port-security enable
# 创建名为2000的RADIUS方案。
# 设置主认证RADIUS服务器的IP地址为192.168.1.2/24,主计费RADIUS服务器的IP地址为192.168.1.3/24。
[AC-radius-2000] primary authentication 192.168.1.2
[AC-radius-2000] primary accounting 192.168.1.3
# 设置从认证RADIUS服务器的IP地址为192.168.1.3/24,从计费RADIUS服务器的IP地址为192.168.1.2/24。
[AC-radius-2000] secondary authentication 192.168.1.3
[AC-radius-2000] secondary accounting 192.168.1.2
# 设置与认证、计费RADIUS服务器交互报文时的加密密码为name。
[AC-radius-2000] key authentication name
[AC-radius-2000] key accounting name
# 设置将去除域名的用户名发送给RADIUS服务器。
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 创建名为sun的ISP域。
# 指定名为2000的RADIUS方案为该域用户的缺省RADIUS方案。
[AC-isp-sun] authentication default radius-scheme 2000
[AC-isp-sun] authorization default radius-scheme 2000
[AC-isp-sun] accounting default radius-scheme 2000
[AC-isp-sun] quit
# 创建接口WLAN-ESS1。
# 设置端口安全模式为userLoginSecureExt。
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的密钥协功能。
[AC-WLAN-ESS1] port-security tx-key-type 11key
# 关闭802.1X多播触发功能和用户握手功能。
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] undo dot1x handshake
# 配置系统缺省的ISP域。
[AC] domain default sun
# 配置802.1X的认证方式为EAP。
[AC] dot1x authentication-method eap
(3) 配置WLAN的服务模板和AP
# 创建服务模板1(加密类型服务模板),配置SSID为sectest。
[AC] wlan service-template 1 crypto
[AC-wlan-st-1] ssid SSID1
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] cipher-suite ccmp
[AC-wlan-st-1] security-ie rsn
# 开启服务模板功能。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP的模板,名称为ap1,型号名称选择WA3628i-AGN,并配置AP的序列号为210235A29G007C000020。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 将服务模板1绑定到AP的radio 1口。
[AC-wlan-ap-ap1] radio 1 type dot11an
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] return
<AC> display port-security interface wlan-ess 1
Equipment port-security is enabled
Trap is disabled
Disableport Timeout: 20s
OUI value:
WLAN-ESS1 is link-up
Port mode is userLoginSecureExt
NeedToKnow mode is disabled
Intrusion Protection mode is NoAction
Max MAC address number is not configured
Stored MAC address number is 0
Authorization is permitted
Synchronization is disabled
配置完成后,如果有用户上线,则可以通过display wlan client命令查看用户信息。
<AC> display connection ucibindex 315
Index=315 , Username=test@sectest.com
MAC=00-17-9A-00-7B-2F
IP=N/A
IPv6=N/A
Access=8021X ,AuthMethod=EAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:0
Initial VLAN=1, Authorization VLAN=N/A
ACL Group=Disable
User Profile=N/A
CAR=Disable
Traffic Statistic:
InputOctets =12121212 OutputOctets =12120
InputGigawords=1 OutputGigawords=0
Priority=Disable
SessionTimeout=86236(s), Terminate-Action=Default
Start=2013-11-16 16:58:51 ,Current=2013-11-16 16:59:29 ,Online=00h00m38s
Total 1 connection matched.
<Sysname> display wlan client verbose
----------------------------------------------------------------------
MAC Address : 0017-9a00-7b2f
User Name : test
IP Address : 192.168.1.48
AID : 1
AP Name : AP1
Radio Id : 1
Service Template Number : 1
SSID : SSID1
BSSID : 000f-e278-8020
Port : WLAN-DBSS1:0
VLAN : 1
State : Running
Power Save Mode : Active
Wireless Mode : 11an
Channel Band-width : 40MHz
SM Power Save Enable : Disabled
Short GI for 20MHz : Not Supported
Short GI for 40MHz : Supported
LDPC : Not Supported
STBC Tx Capability : Supported
STBC Rx Capability : Supported
Support MCS Set : 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
BLOCK ACK-TID 0 : IN
QoS Mode : WMM
Listen Interval (Beacon Interval) : 10
RSSI : 37
Rx/Tx Rate : 5.5/18
Client Type : ccmp
Authentication Method : Open System
Authentication Mode : Central
AKM Method : Dot1x
4-Way Handshake State : -NA-
Group Key State : IDLE
Encryption Cipher : RSN
Roam Status : Normal
Roam Count : 0
Up Time (hh:mm:ss) : 00:01:13
----------------------------------------------------------------------
· AP通过Switch与AC建立连接,要求对接入用户采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户。
· 在AC接入AP的无线端口上配置Guest VLAN,允许接入用户在未进行认证之前,可以访问指定的Guest VLAN 1的资源。
图1-3 端口安全支持MAC-based的802.1X Guest VLAN配置组网图
(1) 配置RADIUS,请参考1.13.1 中的RADIUS配置
# 创建VLAN 2。
[AC] vlan 2
[AC-vlan2] quit
# 使能端口安全功能。
# 配置802.1X的认证方式为EAP。
[AC] dot1x authentication-method eap
# 配置端口WLAN-ESS1的端口安全模式为userLoginSecureExt模式。该模式下的端口采用基于MAC的802.1X认证,且允许端口下有多个802.1X用户。
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口的MAC VLAN功能,并配置802.1X的Guest VLAN为VLAN 1。
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 1 to 2 untagged
[AC-WLAN-ESS1] port hybrid pvid vlan 2
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] dot1x guest-vlan 1
[AC-WLAN-ESS1] undo dot1x handshake
[AC-WLAN-ESS1] undo dot1x multicast-trigger
[AC-WLAN-ESS1] quit
# 配置WLAN的服务模板。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid SSID1
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP的管理模板。
[AC] wlan ap 1 model WA3628i-AGN
[AC-wlan-ap-1] serial-id 210235A29G007C000020
[AC-wlan-ap-1] radio 1
[AC-wlan-ap-1-radio-1] service-template 1
[AC-wlan-ap-1-radio-1] radio enable
[AC-wlan-ap-1-radio-1] quit
# Client 1(用户名为mac、MAC地址为000f-e2cc-6a21)未进行认证之前,可以访问Guest VLAN。可以通过display mac-vlan all命令查看到用户的MAC VLAN表项,该表项中记录了加入Guest VLAN的MAC地址(000f-e2cc-6a21)与端口上使能的MAC VLAN(VLAN 1)之间的对应关系。
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000f-e2cc-6a21 ffff-ffff-ffff 1 0 D
Total MAC VLAN address count:1
# 如果Client 1发起认证,并认证成功,则可以通过display connection命令查看到该用户的相关信息;而且执行display mac-vlan all命令发现该用户的MAC VLAN表项已经被删除。
[AC] display connection user-name mac@sun
Index=18 , Username=mac@sun
MAC=000f-e2cc-6a21
IP=8.4.4.199
IPv6=N/A
Online=00h00m31s
Total 1 connection(s) matched.
如图1-4所示,一台主机通过802.1X认证接入网络,认证服务器为RADIUS服务器。Client端通过AP设备接入到AC上,AC的接入端口WLAN-ESS 1在VLAN 1内;认证服务器在VLAN 2内;Update Server是用于客户端软件下载和升级的服务器,在VLAN 10内;当用户通过认证后,客户端被授权允许访问Internet资源。
图1-4 Guest VLAN典型组网图
如图1-5所示,在WLAN-ESS1上开启802.1X特性并设置VLAN 10为Guest VLAN,当设备从端口发送触发认证报文(EAP-Request/Identity)超过设定的最大次数而没有收到任何回应报文后,Client的MAC地址被加入Guest VLAN中,此时Client和Update Server都在VLAN 10内,Client可以访问Update Server并下载802.1X客户端。
如图1-6所示,当用户认证成功上线,认证服务器下发VLAN 5。此时Client被分配到VLAN 5,并授权允许访问Internet资源。
· 本配置举例需要使用iNode客户端,Windows自带的客户端不支持该功能。
· 下述各配置步骤包含了大部分AAA/RADIUS协议配置命令,对这些命令的介绍,请参见“AAA”。此外,802.1X客户端和RADIUS服务器上的配置略。
# 配置RADIUS方案2000。
[AC] radius scheme 2000
[AC-radius-2000] primary authentication 10.11.1.1 1812
[AC-radius-2000] primary accounting 10.11.1.1 1813
[AC-radius-2000] key authentication abc
[AC-radius-2000] key accounting abc
[AC-radius-2000] user-name-format without-domain
[AC-radius-2000] quit
# 创建一个新的ISP域test,并设置为系统缺省的ISP域(本配置可选,缺省情况下,系统缺省的ISP域是system)。
[AC-isp-test] quit
[AC] domain default enable test
# 配置ISP域的RADIUS方案2000。
[AC-isp-test] authentication lan-access radius-scheme 2000
[AC-isp-test] authorization lan-access radius-scheme 2000
[AC-isp-test] accounting lan-access radius-scheme 2000
[AC-isp-test] quit
# 全局使能端口安全
# 配置802.1X的认证方式为EAP。
[AC] dot1x authentication-method eap
# 配置无线接口WLAN-ESS1
[AC-WLAN-ESS1] port link-type hybrid
[AC-WLAN-ESS1] port hybrid vlan 1 to 2 5 10 untagged
[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] dot1x guest-vlan 10
[AC-WLAN-ESS1] dot1x mandatory-domain test
[AC-WLAN-ESS1] quit
# 配置服务模板1(服务模版必须配置为非加密方式)
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid dot1x
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 配置AP模板。
[AC] wlan ap 1 model WA3628i-AGN
[AC-wlan-ap-1] serial-id 210235A29G007C000020
[AC-wlan-ap-1] radio 1
[AC-wlan-ap-1-radio-1] service-template 1
[AC-wlan-ap-1-radio-1] radio enable
[AC-wlan-ap-1-radio-1] quit
Client 1(用户名为mac、MAC地址为000f-e2cc-6a21)在未进行认证之前会被划分到Guest VLAN。可以通过display mac-vlan all命令查看到Guest VLAN用户的MAC VLAN表项,该表项中记录了加入Guest VLAN的MAC地址(000f-e2cc-6a21)与端口上使能的MAC VLAN(VLAN 10)之间的对应关系。
The following MAC VLAN addresses exist:
S:Static D:Dynamic
MAC ADDR MASK VLAN ID PRIO STATE
--------------------------------------------------------
000f-e2cc-6a21 ffff-ffff-ffff 10 0 D
Total MAC VLAN address count:1
# 如果Client 1再次发起认证,并认证成功,则可以通过display connection命令查看到该用户的相关信息。
[AC] display connection user-name mac@test
Index=18 , Username=mac@test
MAC=000f-e2cc-6a21
IP=8.4.4.199
IPv6=N/A
Online=00h00m31s
Total 1 connection(s) matched.
AC 1和AC 2均支持双机热备,现要求AC 1和AC 2运行双机热备情况下支持802.1X客户端的信息备份,主备AC切换的过程中,客户端不会重新上下线,可以继续正常通信。
· AC 1正常工作的情况下,Client通过AC 1进行802.1X认证接入到外网。AC 1发生故障的情况下,Client通过AC 2接入到外网,并且在VRRP的配合下,保证业务流量切换不被中断。
· 采用RADIUS服务器作为认证、授权、计费服务器,RADIUS服务器上注册的接入设备NAS-IP是192.168.100.5/24。
· AC 1和AC 2之间通过单独的链路传输双机热备报文,且指定专用于双机热备的VLAN为VLAN 10。
图1-7 端口安全支持802.1X双机热备配置组网图
端口安全支持802.1X双机热备包括如下几项配置任务:
· 配置各接口的IP地址、创建VLAN 8和VLAN 10及配置RADIUS服务器;(略)
· 创建WLAN-ESS接口,在接口上指定802.1X认证类型的端口安全模式,并使能端口安全支持双机热备功能;
· 使能双机热功能并指定备份VLAN;
· 在连接RADIUS服务器接口上配置VRRP备份组;
· 配置AAA认证域和RADIUS方案;
· 配置双AC备份及客户端信息备份;
· 使能AC间热备份功能。
# 配置802.1X用户的认证方式为EAP。
[AC1] dot1x authentication-method eap
# 创建并进入接口WLAN-ESS1。
# 配置端口安全模式为userlogin-secure-ext。
[AC1-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口安全的双机热备功能。
[AC1-WLAN-ESS1] port-security synchronization enable
# 使能11key类型的密钥协商功能。
[AC1-WLAN-ESS1] port-security tx-key-type 11key
# 指定802.1X用户使用的强制认证域。
[AC1-WLAN-ESS1] dot1x mandatory-domain 2003
# 关闭802.1X多播触发功能和在线用户握手功能。
[AC1-WLAN-ESS1] undo dot1x multicast-trigger
[AC1-WLAN-ESS1] undo dot1x handshake
[AC1-WLAN-ESS1] quit
# 全局开启端口安全。
# 配置备份VLAN为VLAN 10。
[AC1] dhbk vlan 10
# 使能双机热备功能,且支持对称路径。
[AC1] dhbk enable backup-type symmetric-path
# 在接口Vlan-interface8上创建备份组1。
[AC1-Vlan-interface8] ip address 192.168.100.1 24
[AC1-Vlan-interface8] vrrp vrid 1 virtual-ip 192.168.100.5
[AC1-Vlan-interface8] quit
# 配置双机热备模式下的设备ID为1。
# 配置RADIUS方案2003。
[AC1-radius-2003] primary authentication 192.168.0.2
[AC1-radius-2003] primary accounting 192.168.0.2
[AC1-radius-2003] key authentication simple aabbcc
[AC1-radius-2003] key accounting simple aabbcc
[AC1-radius-2003] user-name-format without-domain
[AC1-radius-2003] nas-ip 192.168.100.5
[AC1-radius-2003] quit
# 创建认证域2003,并指定802.1X认证的认证、授权、计费方案。
[AC1-isp-2003] authentication lan-access radius-scheme 2003
[AC1-isp-2003] authorization lan-access radius-scheme 2003
[AC1-isp-2003] accounting lan-access radius-scheme 2003
[AC1-isp-2003] quit
· 配置双AC备份及客户端信息备份
# 设置AC 1的备份AC为AC 2。
[AC1] wlan backup-ac ip 1.1.1.5
# 配置WLAN服务模板,配置SSID为abc,加密方式为AES-CCMP,并将接口WLAN-ESS 1与该服务模板绑定。
[AC1] wlan service-template 1 crypto
[AC1-wlan-st-1] ssid abc
[AC1-wlan-st-1] bind wlan-ess 1
[AC1-wlan-st-1] authentication-method open-system
[AC1-wlan-st-1] cipher-suite ccmp
[AC1-wlan-st-1] security-ie rsn
[AC1-wlan-st-1] service-template enable
[AC1-wlan-st-1] quit
# 在AC上配置AP。
[AC1] wlan ap ap1 model WA3628i-AGN
[AC1-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC1-wlan-ap-ap1] radio 1 type dot11an
[AC1-wlan-ap-ap1-radio-1] service-template 1
[AC1-wlan-ap-ap1-radio-1] radio enable
[AC1-wlan-ap-ap1-radio-1] quit
[AC1-wlan-ap-ap1] quit
# 配置IACTP隧道的源IP地址(AC 1的IP地址)为1.1.1.4,IACTP隧道AC 2成员的IP地址为1.1.1.5。
[AC1] wlan mobility-group roam
[AC1-wlan-mg-roam] source ip 1.1.1.4
[AC1-wlan-mg-roam] member ip 1.1.1.5
# 开启IACTP隧道。
[AC1-wlan-mg-roam] mobility-group enable
# 开启客户端信息备份功能。
[AC1] wlan backup-client enable
· 配置AC间热备份功能
# 开启AC间热备份功能。
[AC1] hot-backup vlan 10
# 配置802.1X用户的认证方式为EAP。
[AC2] dot1x authentication-method eap
# 创建并进入接口WLAN-ESS1。
# 配置端口安全模式为userlogin-secure-ext。
[AC2-WLAN-ESS1] port-security port-mode userlogin-secure-ext
# 使能端口安全的双机热备功能。
[AC2-WLAN-ESS1] port-security synchronization enable
# 使能11key类型的密钥协商功能。
[AC2-WLAN-ESS1] port-security tx-key-type 11key
# 指定802.1X用户使用的强制认证域。
[AC2-WLAN-ESS1] dot1x mandatory-domain 2003
# 关闭802.1X多播触发功能和在线用户握手功能。
[AC2-WLAN-ESS1] undo dot1x multicast-trigger
[AC2-WLAN-ESS1] undo dot1x handshake
[AC2-WLAN-ESS1] quit
# 全局开启端口安全。
# 配置备份VLAN为VLAN 10。
[AC2] dhbk vlan 10
# 使能双机热备功能,且支持对称路径。
[AC2] dhbk enable backup-type symmetric-path
# 在接口Vlan-interface8上创建备份组1。
[AC2-Vlan-interface8] ip address 192.168.100.2 24
[AC2-Vlan-interface8] vrrp vrid 1 virtual-ip 192.168.100.5
[AC2-Vlan-interface8] quit
# 配置双机热备模式下的设备ID为2。
# 配置RADIUS方案2003。
[AC2-radius-2003] primary authentication 192.168.0.2
[AC2-radius-2003] primary accounting 192.168.0.2
[AC2-radius-2003] key authentication simple aabbcc
[AC2-radius-2003] key accounting simple aabbcc
[AC2-radius-2003] user-name-format without-domain
[AC2-radius-2003] nas-ip 192.168.100.5
[AC2-radius-2003] quit
# 创建认证域2003,并指定802.1X认证的认证、授权、计费方案。
[AC2-isp-2003] authentication lan-access radius-scheme 2003
[AC2-isp-2003] authorization lan-access radius-scheme 2003
[AC2-isp-2003] accounting lan-access radius-scheme 2003
[AC2-isp-2003] quit
· 配置双AC备份及客户端信息备份
# 设置AC 2的备份AC为AC 1。
[AC2] wlan backup-ac ip 1.1.1.4
# 配置WLAN服务模板,配置SSID为abc,加密方式为AES-CCMP,并将接口WLAN-ESS 1与该服务模板绑定。
[AC2] wlan service-template 1 crypto
[AC2-wlan-st-1] ssid abc
[AC2-wlan-st-1] bind wlan-ess 1
[AC2-wlan-st-1] authentication-method open-system
[AC2-wlan-st-1] cipher-suite ccmp
[AC2-wlan-st-1] security-ie rsn
[AC2-wlan-st-1] service-template enable
[AC2-wlan-st-1] quit
# 在AC上配置AP。
[AC2] wlan ap ap1 model WA3628i-AGN
[AC2-wlan-ap-ap1] serial-id 210235A29G007C000020
[AC2-wlan-ap-ap1] radio 1 type dot11an
[AC2-wlan-ap-ap1-radio-1] service-template 1
[AC2-wlan-ap-ap1-radio-1] radio enable
[AC2-wlan-ap-ap1-radio-1] quit
[AC2-wlan-ap-ap1] quit
# 配置IACTP隧道的源IP地址(AC 2的IP地址)为1.1.1.5,IACTP隧道AC 1成员的IP地址为1.1.1.4。
[AC2] wlan mobility-group roam
[AC2-wlan-mg-roam] source ip 1.1.1.5
[AC2-wlan-mg-roam] member ip 1.1.1.4
# 开启IACTP隧道。
[AC2-wlan-mg-roam] mobility-group enable
# 开启客户端信息备份功能。
[AC2] wlan backup-client enable
· 配置AC间热备份功能
# 开启AC间热备份功能。
[AC1] hot-backup enable
# 配置热备AC间数据端口的VLAN ID。
[AC1] hot-backup vlan 10
· 以上配置完成后,可以通过display dot1x synchronization status命令查看AC 1及AC 2上各接口的802.1X双机热备状态。
· 客户端上线后,在AC 1(主AC)上使用display wlan client verbose命令可以看到客户端的详细信息,在AC 2(备份AC)上使用display wlan client verbose命令可以看到在备份AC上已经对该客户端完成信息备份。
· 在AC 1(主AC)使用display dot1x synchronization connection命令查看802.1X客户端的信息,在AC 2(备份AC)上执行相同操作,主备AC显示的用户信息相同,主备链路状态不同,表明主备AC已经完成了客户端信息同步。
· 如果AC 1发生故障,AC 2成为主AC。在AC进行主备切换时,客户端不会重新上下线,客户端可通过AC 2上继续访问网络。
802.1X或MAC地址认证用户在线的情况下,更换端口安全模式失败。
[AC-WLAN-ESS1] undo port-security port-mode
Error:Cannot configure port-security for there is 802.1X user(s) on line on port WLAN-ESS1.
有802.1X或MAC认证用户在线的情况下,禁止更换端口安全模式。
先去使能绑定此接口的模板,再通过命令cut connection断开端口与用户的连接后,再使用命令undo port-security port-mode进行端口安全模式更换。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
