10-H3C 无线接入点远程802.1X认证典型配置举例(V7)
本章节下载 (908.99 KB)
H3C 无线接入点远程802.1X认证典型配置举例(V7)
Copyright © 2022 新华三技术有限公司 版权所有,新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍远程802.1X认证的典型配置举例。
本文档适用于使用Comware V7软件版本的无线接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WLAN接入、WLAN用户接入认证和802.1X的相关特性。
如图1所示,无线客户端通过AP接入网络,Switch作为DHCP server为Client分配IP地址。设备管理员希望对Client进行远程802.1X地址认证,以控制其对网络资源的访问。具体要求如下:
· 客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名h3c1x和密码h3c1x接入WLAN网络的目的。
· 通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。
· 采用Aruba ClearPass服务器作为RADIUS服务器。
图1 远程802.1X地址认证配置组网图
(1) 配置接口。
# 创建VLAN 200,并为该接口配置IP地址。Client将使用该VLAN接入无线网络。
<AP> system-view
[AP] vlan 200
[AP-vlan200] quit
[AP] interface vlan-interface 200
[AP-Vlan-interface200] ip address 40.1.1.56 24
[AP-Vlan-interface200] quit
# 配置AP和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,允许VLAN 200通过,PVID为VLAN 200。
[AP] interface gigabitethernet 1/0/1
[AP-GigabitEthernet1/0/1] port link-type trunk
[AP-GigabitEthernet1/0/1] port trunk permit vlan 200
[AP-GigabitEthernet1/0/1] port trunk pvid vlan 200
[AP-GigabitEthernet1/0/1] quit
(2) 配置静态路由
# 配置到RADIUS服务器的静态路由。
[AP] ip route-static 8.1.1.0 255.255.255.0 40.1.1.1
(3) 配置802.1X系统的认证方法
# 配置802.1X系统的认证方法为EAP。
[AP] dot1x authentication-method eap
(4) 创建RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[AP] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址为8.1.1.171,服务器的UDP端口号为1812和1813。
[AP-radius-radius1] primary authentication 8.1.1.171 1812
[AP-radius-radius1] primary accounting 8.1.1.171 1813
# 配置AP与认证/计费RADIUS服务器交互报文时的共享密钥为12345678。
[AP-radius-radius1] key authentication simple 12345678
[AP-radius-radius1] key accounting simple 12345678
# 配置发送给RADIUS服务器的用户名不携带域名。
[AP-radius-radius1] user-name-format without-domain
# 配置AP发送RADIUS报文使用的源IP地址为40.1.1.56。
[AP-radius-radius1] nas-ip 40.1.1.56
[AP-radius-radius1] quit
(5) 创建认证域并配置使用RADIUS方案进行认证、授权、计费
# 创建认证域(ISP域)dom1并进入其视图。
[AP] domain dom1
# 配置MAC用户使用RADIUS方案radius1进行认证、授权、计费。
[AP-isp-dom1] authentication lan-access radius-scheme radius1
[AP-isp-dom1] authorization lan-access radius-scheme radius1
[AP-isp-dom1] accounting lan-access radius-scheme radius1
[AP-isp-dom1] quit
(6) 创建无线服务模板
# 创建无线服务模板service1。
[AP] wlan service-template service1
# 配置无线服务的SSID为service。
[AP-wlan-st-service1] ssid service
# 配置客户端从无线服务模板上线后会被加入VLAN 200。
[AP-wlan-st-service1] vlan 200
# 配置AKM为802.1X。
[AP-wlan-st-service1] akm mode dot1x
# 配置CCMP为加密套件,配置RSN为安全信息元素。
[AP-wlan-st-service1] cipher-suite ccmp
[AP-wlan-st-service1] security-ie rsn
# 配置用户接入方式为802.1X认证。
[AP-wlan-st-service1] client-security authentication-mode dot1x
# 配置802.1X认证用户使用的ISP域为dom1。
[AP-wlan-st-service1] dot1x domain dom1
# 配置使能无线服务模板。
[AP-wlan-st-service1] service-template enable
[AP-wlan-st-service1] quit
(7) 将无线服务模板绑定到WLAN-Radio 1/0/1接口
[AP] interface WLAN-Radio 1/0/1
[AP-WLAN-Radio1/0/1] undo shutdown
[AP-WLAN-Radio1/0/1] service-template service1
[AP-WLAN-Radio1/0/1] quit
(1) 配置Switch接口
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。
<Switch> system-view
[Switch] vlan 200
[Switch-vlan200] quit
[Switch] interface vlan-interface 200
[Switch-Vlan-interface200] ip address 40.1.1.1 24
[Switch-Vlan-interface200] quit
# 创建VLAN 2,用于连接RADIUS服务器。
[Switch] vlan 2
[Switch-vlan2] quit
# 将Switch与RADIUS服务器相连的接口GigabitEthernet1/0/2加入VLAN 2。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port access vlan 2
[Switch-GigabitEthernet1/0/2] quit
# 配置VLAN 2接口的IP地址。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 8.1.1.172 255.255.255.0
[Switch-Vlan-interface2] quit
# 配置Switch与AP连接的GigabitEthernet1/0/1接口类型为Trunk,允许VLAN 200通过,PVID为VLAN 200。
[Switch] interface GigabitEthernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 200
[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 200
[Switch-GigabitEthernet1/0/1] quit
(2) 配置DHCP服务。
# 开启DHCP功能。
[Switch] dhcp enable
# 创建名为vlan200的DHCP地址池,为Client分配IP地址,配置地址池动态分配的网段为40.1.1.0/24,网关地址为40.1.1.1,,为Client分配的DNS服务器地址为网关地址(实际使用过程中请根据实际网络规划配置无线客户端的DNS服务器地址),禁止分配的IP地址为40.1.1.56。
[Switch] dhcp server ip-pool vlan200
[Switch-dhcp-pool-vlan200] network 40.1.1.0 mask 255.255.255.0
[Switch-dhcp-pool-vlan200] gateway-list 40.1.1.1
[Switch-dhcp-pool-vlan200] dns-list 40.1.1.1
[Switch-dhcp-pool-vlan200] forbidden-ip 40.1.1.56
[Switch-dhcp-pool-vlan200] quit
(3) 配置Switch与外网相连的接口以及缺省路由(此处略)。
(1) 登录ClearPass
# 在浏览器中输入ClearPass的管理IP地址8.1.1.171,登录ClearPass的配置页面。
图2 登录ClearPass
# 单击“ClearPass Policy Manager”,输入用户名:admin,密码:123456,点击<登录>按钮进入认证配置页面。
图3 登录ClearPass Policy Manager
(2) 添加设备
# 点击页面左侧导航栏的“配置 > 网络 > 设备”,并添加设备。
¡ IP地址为AP上和ClearPass可达的接口IP地址40.1.1.56/24;
¡ 密钥和AP配置的Radius服务器密钥一致,本举例为12345678;
¡ 供应商选择H3C;
¡ 单击<保存>按钮。
图4 添加设备
(3) 添加用户
# 点击页面左侧导航栏的“配置 > 身份 > 本地用户”,并添加用户。
¡ 用户名:h3c1x,密码:h3c1x;
¡ 角色选择ClearPass系统预创建的角色Employee(也可以新创建角色,选择自己创建的角色,本举例使用系统预创建角色);
¡ 单击<保存>按钮。
图5 添加用户
(4) 添加服务
# 点击页面左侧导航栏的“配置 > 服务”,并添加服务。
图6 服务
# 在“配置 > 服务 > 添加”页面的“服务”页签,类型选择“802.1X Wireless – Identity Only”,配置名称为802.1X for h3c。
图7 添加服务
# 在“配置 > 服务 > 添加”页面的“认证”页签,认证方法选择“[EAP MSCHAPv2]和[EAP PEAP]”,认证源选择[Local User Repository]。
# “角色”和“强制执行”页签保持默认配置,点击<保存>按钮。
图8 配置认证
# 在“配置 > 服务”页面,重新排序,将802.1X for h3c服务调整到第一个。
图9 重新排序
# 完成以上配置后,使用手机终端连接配置的无线服务service,并输入无线网络信息进行802.1X认证。
· EAP方法选择PEAP;
· 阶段2身份验证选择MSCHAPv2;
· 身份输入h3c1x;
· 密码输入h3c1x;
· 其它保持缺省配置,然后单击“连接”。
图10 802.1X认证手机终端配置
# 在AP上通过命令display wlan client可以看到无线用户Client从VLAN 200上线。
[AP] display wlan client
Total number of clients: 1
MAC address User name R IP address VLAN
fcdb-b3d4-d88c h3c1x 1 40.1.1.2 200
· AP:
dot1x authentication-method eap
#
vlan 200
#
wlan service-template service1
ssid service
vlan 200
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain dom1
service-template enable
#
interface Vlan-interface200
ip address 40.1.1.56 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 200
port trunk pvid vlan 200
#
interface WLAN-Radio1/0/1
service-template service1
#
ip route-static 8.1.1.0 24 40.1.1.1
#
radius scheme radius1
primary authentication 8.1.1.171
primary accounting 8.1.1.171
key authentication cipher $c$3$xjh3c8fY+G24S8ncMFgLAt7nWqTjMrzBtN7P
key accounting cipher $c$3$lAOpJkHtBfyb+SiV2eVCWirmjxOZYKvo/YtT
nas-ip 40.1.1.56
#
domain dom1
authentication lan-access radius-scheme radius1
authorization lan-access radius-scheme radius1
accounting lan-access radius-scheme radius1
#
· Switch:
#
dhcp enable
#
vlan 2
#
vlan 200
#
dhcp server ip-pool vlan200
gateway-list 40.1.1.1
network 40.1.1.0 mask 255.255.255.0
dns-list 40.1.1.1
forbidden-ip 40.1.1.56
#
interface Vlan-interface2
ip address 8.1.1.172 255.255.255.0
#
interface Vlan-interface200
ip address 40.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 200
port trunk pvid vlan 200
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type access
port access vlan 2
#
· 《H3C 无线接入点 配置指导》中的“网络互通配置指导”
· 《H3C 无线接入点 配置指导》中的“用户接入与认证配置指导”
· 《H3C 无线接入点 配置指导》中的“WLAN接入配置指导”
· 《H3C 无线接入点 命令参考》中的“网络互通命令参考”
· 《H3C 无线接入点 命令参考》中的“用户接入与认证命令参考”
· 《H3C 无线接入点 命令参考》中的“WLAN接入命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!