• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线接入点典型配置案例集(V7)-6W105

10-H3C 无线接入点远程802.1X认证典型配置举例(V7)

本章节下载  (908.99 KB)

10-H3C 无线接入点远程802.1X认证典型配置举例(V7)

H3C 无线接入点远程802.1X认证典型配置举例(V7)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2022 新华三技术有限公司 版权所有,新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍远程802.1X认证的典型配置举例。

2  配置前提

本文档适用于使用Comware V7软件版本的无线接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN接入、WLAN用户接入认证和802.1X的相关特性。

3  配置举例

3.1  组网需求

图1所示,无线客户端通过AP接入网络,Switch作为DHCP server为Client分配IP地址。设备管理员希望对Client进行远程802.1X地址认证,以控制其对网络资源的访问。具体要求如下:

·     客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名h3c1x和密码h3c1x接入WLAN网络的目的。

·     通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。

·     采用Aruba ClearPass服务器作为RADIUS服务器。

图1 远程802.1X地址认证配置组网图

 

3.2  配置步骤

3.2.1  配置AP

(1)     配置接口。

# 创建VLAN 200,并为该接口配置IP地址。Client将使用该VLAN接入无线网络。

<AP> system-view

[AP] vlan 200

[AP-vlan200] quit

[AP] interface vlan-interface 200

[AP-Vlan-interface200] ip address 40.1.1.56 24

[AP-Vlan-interface200] quit

# 配置AP和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 200通过,PVID为VLAN 200。

[AP] interface gigabitethernet 1/0/1

[AP-GigabitEthernet1/0/1] port link-type trunk

[AP-GigabitEthernet1/0/1] port trunk permit vlan 200

[AP-GigabitEthernet1/0/1] port trunk pvid vlan 200

[AP-GigabitEthernet1/0/1] quit

(2)     配置静态路由

# 配置到RADIUS服务器的静态路由。

[AP] ip route-static 8.1.1.0 255.255.255.0 40.1.1.1

(3)     配置802.1X系统的认证方法

# 配置802.1X系统的认证方法为EAP。

[AP] dot1x authentication-method eap

(4)     创建RADIUS方案

# 创建RADIUS方案radius1并进入其视图。

[AP] radius scheme radius1

# 配置主认证/计费RADIUS服务器的IP地址为8.1.1.171,服务器的UDP端口号为1812和1813。

[AP-radius-radius1] primary authentication 8.1.1.171 1812

[AP-radius-radius1] primary accounting 8.1.1.171 1813

# 配置AP与认证/计费RADIUS服务器交互报文时的共享密钥为12345678。

[AP-radius-radius1] key authentication simple 12345678

[AP-radius-radius1] key accounting simple 12345678

# 配置发送给RADIUS服务器的用户名不携带域名。

[AP-radius-radius1] user-name-format without-domain

# 配置AP发送RADIUS报文使用的源IP地址为40.1.1.56。

[AP-radius-radius1] nas-ip 40.1.1.56

[AP-radius-radius1] quit

(5)     创建认证域并配置使用RADIUS方案进行认证、授权、计费

# 创建认证域(ISP域)dom1并进入其视图。

[AP] domain dom1

# 配置MAC用户使用RADIUS方案radius1进行认证、授权、计费。

[AP-isp-dom1] authentication lan-access radius-scheme radius1

[AP-isp-dom1] authorization lan-access radius-scheme radius1

[AP-isp-dom1] accounting lan-access radius-scheme radius1

[AP-isp-dom1] quit

(6)     创建无线服务模板

# 创建无线服务模板service1。

[AP] wlan service-template service1

# 配置无线服务的SSID为service。

[AP-wlan-st-service1] ssid service

# 配置客户端从无线服务模板上线后会被加入VLAN 200。

[AP-wlan-st-service1] vlan 200

# 配置AKM为802.1X。

[AP-wlan-st-service1] akm mode dot1x

# 配置CCMP为加密套件,配置RSN为安全信息元素。

[AP-wlan-st-service1] cipher-suite ccmp

[AP-wlan-st-service1] security-ie rsn

# 配置用户接入方式为802.1X认证。

[AP-wlan-st-service1] client-security authentication-mode dot1x

# 配置802.1X认证用户使用的ISP域为dom1。

[AP-wlan-st-service1] dot1x domain dom1

# 配置使能无线服务模板。

[AP-wlan-st-service1] service-template enable

[AP-wlan-st-service1] quit

(7)     将无线服务模板绑定到WLAN-Radio 1/0/1接口

[AP] interface WLAN-Radio 1/0/1

[AP-WLAN-Radio1/0/1] undo shutdown

[AP-WLAN-Radio1/0/1] service-template service1

[AP-WLAN-Radio1/0/1] quit

3.2.2  配置Switch

(1)     配置Switch接口

# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。

<Switch> system-view

[Switch] vlan 200

[Switch-vlan200] quit

[Switch] interface vlan-interface 200

[Switch-Vlan-interface200] ip address 40.1.1.1 24

[Switch-Vlan-interface200] quit

# 创建VLAN 2,用于连接RADIUS服务器。

[Switch] vlan 2

[Switch-vlan2] quit

# 将Switch与RADIUS服务器相连的接口GigabitEthernet1/0/2加入VLAN 2。

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port access vlan 2

[Switch-GigabitEthernet1/0/2] quit

# 配置VLAN 2接口的IP地址。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 8.1.1.172 255.255.255.0

[Switch-Vlan-interface2] quit

# 配置Switch与AP连接的GigabitEthernet1/0/1接口类型为Trunk,允许VLAN 200通过,PVID为VLAN 200。

[Switch] interface GigabitEthernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 200

[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 200

[Switch-GigabitEthernet1/0/1] quit

(2)     配置DHCP服务。

# 开启DHCP功能。

[Switch] dhcp enable

# 创建名为vlan200的DHCP地址池,为Client分配IP地址,配置地址池动态分配的网段为40.1.1.0/24,网关地址为40.1.1.1,,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),禁止分配的IP地址为40.1.1.56。

[Switch] dhcp server ip-pool vlan200

[Switch-dhcp-pool-vlan200] network 40.1.1.0 mask 255.255.255.0

[Switch-dhcp-pool-vlan200] gateway-list 40.1.1.1

[Switch-dhcp-pool-vlan200] dns-list 40.1.1.1

[Switch-dhcp-pool-vlan200] forbidden-ip 40.1.1.56

[Switch-dhcp-pool-vlan200] quit

(3)     配置Switch与外网相连的接口以及缺省路由(此处略)。

3.2.3  配置ClearPass

(1)     登录ClearPass

# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。

图2 登录ClearPass

 

# 单击“ClearPass Policy Manager”,输入用户名:admin,密码:123456,点击<登录>按钮进入认证配置页面。

图3 登录ClearPass Policy Manager

 

(2)     添加设备

# 点击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。

¡     IP地址为AP上和ClearPass可达的接口IP地址40.1.1.56/24;

¡     密钥和AP配置的Radius服务器密钥一致,本举例为12345678;

¡     供应商选择H3C;

¡     单击<保存>按钮。

图4 添加设备

 

(3)     添加用户

# 点击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。

¡     用户名:h3c1x,密码:h3c1x;

¡     角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,选择自己创建的角色,本举例使用系统预创建角色);

¡     单击<保存>按钮。

图5 添加用户

 

(4)     添加服务

# 点击页面左侧导航栏的“配置 > 服务”,并添加服务。

图6 服务

 

# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。

图7 添加服务

 

# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。

# “角色”和“强制执行”页签保持默认配置,点击<保存>按钮。

图8 配置认证

 

# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。

图9 重新排序

 

3.3  验证配置

# 完成以上配置后,使用手机终端连接配置的无线服务service,并输入无线网络信息进行802.1X认证。

·     EAP方法选择PEAP;

·     阶段2身份验证选择MSCHAPv2;

·     身份输入h3c1x;

·     密码输入h3c1x;

·     其它保持缺省配置,然后单击“连接”。

图10 802.1X认证手机终端配置

 

# 在AP上通过命令display wlan client可以看到无线用户Client从VLAN 200上线。

[AP] display wlan client

Total number of clients: 1

 

MAC address     User name                           R IP address      VLAN

fcdb-b3d4-d88c  h3c1x                               1 40.1.1.2        200

3.4  配置文件

·     AP:

#

 dot1x authentication-method eap

#

vlan 200

#

wlan service-template service1

 ssid service

 vlan 200

 akm mode dot1x

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode dot1x

 dot1x domain dom1

 service-template enable

#

interface Vlan-interface200

 ip address 40.1.1.56 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan 1 200

 port trunk pvid vlan 200

#

interface WLAN-Radio1/0/1

 service-template service1

#

 ip route-static 8.1.1.0 24 40.1.1.1

#

radius scheme radius1

 primary authentication 8.1.1.171

 primary accounting 8.1.1.171

 key authentication cipher $c$3$xjh3c8fY+G24S8ncMFgLAt7nWqTjMrzBtN7P

 key accounting cipher $c$3$lAOpJkHtBfyb+SiV2eVCWirmjxOZYKvo/YtT

 nas-ip 40.1.1.56

#

domain dom1

 authentication lan-access radius-scheme radius1

 authorization lan-access radius-scheme radius1

 accounting lan-access radius-scheme radius1

#

·     Switch:

#

 dhcp enable

#

vlan 2

#

vlan 200

#

dhcp server ip-pool vlan200

 gateway-list 40.1.1.1

 network 40.1.1.0 mask 255.255.255.0

 dns-list 40.1.1.1

 forbidden-ip 40.1.1.56

#

interface Vlan-interface2

 ip address 8.1.1.172 255.255.255.0

#

interface Vlan-interface200

 ip address 40.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 200

 port trunk pvid vlan 200

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port link-type access

 port access vlan 2

#

4  相关资料

·     《H3C 无线接入点 配置指导》中的“网络互通配置指导”

·     《H3C 无线接入点 配置指导》中的“用户接入与认证配置指导”

·     《H3C 无线接入点 配置指导》中的“WLAN接入配置指导”

·     《H3C 无线接入点 命令参考》中的“网络互通命令参考”

·     《H3C 无线接入点 命令参考》中的“用户接入与认证命令参考”

·     《H3C 无线接入点 命令参考》中的“WLAN接入命令参考”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们