02-H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例
本章节下载: 02-H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例 (492.58 KB)
H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
分层AC组网下802.1X认证的典型配置。
本文档适用于使用Comware软件版本的无线产品,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解分层AC、802.1X、WLAN接入、AP管理特性。
分层AC组网中Central AC不支持IRF功能。
如图1所示,总部使用无线控制器作为Central AC,分支采用传统AC作为Local AC,Local AC负责管理和接入本地AP和无线客户端。用户的认证授权由分支Local AC负责,数据流量也由Local AC转发。
具体应用需求如下:
· AP通过DHCP Option43功能获取到Central AC地址,之后通过二次发现方式与Local AC建立CAPWAP连接。
· 使用iMC作为AAA服务器对用户进行DOT1X认证。
· Local AC作为DHCP Server为AP和客户端分配IP地址。
图1 分层AC配置举例组网图
在总部分支组网中,如果不配置二次发现的Local AC的IP地址,则Central AC将当前负载最轻的Local AC的IP地址下发给AP,如果负载最轻的Local AC不是本分支的Local AC,则会导致本分支AP无法上线,所以为了保证本分支的AP能够正确从本分支的Local AC上线,需要配置二次发现的Local AC的IP地址为本分支的Local AC的IP地址。
· 配置AP的序列号时请确保该序列号与AP唯一对应。
· 在分支Local AC上做认证请将Radius服务,Domain服务等配置在Local AC设备上。
· Local AC上不能开启自动AP功能,对于需要在Central AC上统一管理的AP,也不要在Local AC上配置此AP模板。
配置本举例之前,请保证各设备之间路由可达。
(1) 配置接口
# 创建VLAN11及其接口,用来与Local AC建立管理通道。
<Central AC> system-view
[Central AC] vlan 11
[Central AC-vlan1] quit
[Central AC] interface vlan-interface 11
[Central AC-Vlan-interface1] ip address 11.1.1.3.16
[Central AC-Vlan-interface1] quit
# 将Central AC与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 11通过。
[Central AC] interface gigabitethernet 1/0/1
[Central AC-GigabitEthernet1/0/1] port link-type trunk
[Central AC-GigabitEthernet1/0/1] port trunk permit vlan 11
[Central AC-GigabitEthernet1/0/1] quit
(2) 配置Central AC管理的Local AC
# 创建名称为3510h-1的Local AC,并进入Local AC视图。
[Central AC] wlan local-ac name 3510h-1 model WX3510H
# 配置Local AC的序列号。
[Central AC-wlan-local-ac-3510h-1] serial-id 210235A1GCH147000017
[Central AC-wlan-local-ac-3510h-1] quit
(3) 配置无线服务。
# 创建无线服务模板dot1x。
[Central AC] wlan service-template dot1x
# 配置SSID。
[Central AC-wlan-st-dot1x] ssid dot1x
# 配置AKM为802.1X。
[Central AC-wlan-st-dot1x] akm mode dot1x
# 配置CCMP为加密套件,配置WPA为安全信息元素。
[Central AC-wlan-st-dot1x] cipher-suite ccmp
[Central AC-wlan-st-dot1x] security-ie rsn
# 配置用户接入方式为802.1X认证。
[Central AC-wlan-st-dot1x] client-security authentication-mode dot1x
# 配置用户接入认证位置为Local AC。
[Central AC-wlan-st-dot1x] client-security authentication-location ac
# 配置无线服务模板下的802.1X用户的ISP域。
[Central AC-wlan-st-dot1x] dot1x domain imc
# 配置客户端数据报文转发位置为Local AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)
[Central AC-wlan-st-dot1x] client forwarding-location ac
# 开启无线服务模板。
[Central AC-wlan-st-dot1x] service-template enable
[Central AC-wlan-st-dot1x] quit
(4) 配置AP
在大规模组网时,推荐在AP组内进行配置。
# 创建手工AP,名称为ap1,型号名称为WA6320。
[Central AC] wlan ap ap1 model WA6320
# 设置AP的序列号为219801A28N819CE0002T。
[Central AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T
[Central AC-wlan-ap-ap1] quit
# 创建AP组group1,设置AP名称入组规则
[Central AC] wlan ap-group group1
[Central AC-wlan-ap-group-group1] ap ap1
# 开启二次发现AC功能。
[Central AC-wlan-ap-group-group1] control-address enable
# 手动指定Central AC的IP地址。
[Central AC-wlan-ap-group-group1] control-address ip 12.0.0.1
# 进入AP组的Radio 1视图,并将无线服务模板portal绑定到Radio 1上。
[Central AC-wlan-ap-group-group1] ap-model WA6320
[Central AC-wlan-ap-group-group1-ap-model-WA6320] radio 1
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template dot1x vlan 2000
# 开启Radio 1的射频功能。
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable
[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] quit
(1) 开启Local AC功能
# 开启Local AC功能。
<Local AC> system-view
[Local AC] wlan local-ac enable
# 指定Central AC的IP地址。
[Local AC] wlan central-ac ip 11.1.1.3
# 指定与Central AC建立管理通道的VLAN。
[Local AC] wlan local-ac capwap source-vlan 11
(2) 配置地址池
# 开启DHCP服务。
[Local AC] dhcp enable
# 配置地址池,为AP分配IP地址。
[Local AC] dhcp server ip-pool ap
[Local AC-dhcp-pool-ap] gateway-list 12.0.0.1
[Local AC-dhcp-pool-ap] network 12.0.0.0 mask 255.255.0.0
# 通过option43选项指定AC地址为Central AC地址。
[Local AC-dhcp-pool-ap] option 43 hex 80070000010b010103
[Local AC-dhcp-pool-ap] quit
# 配置地址池,为客户端分配IP地址。
[Local AC] dhcp server ip-pool client
[Local AC-dhcp-pool-ap] gateway-list 20.0.0.1
[Local AC-dhcp-pool-ap] network 20.0.0.0 mask 255.255.0.0
[Local AC-dhcp-pool-ap] quit
(3) 配置接口
# 创建VLAN11及其接口,Local AC通过此接口上线到Central AC。
[Local AC] vlan 11
[Local AC-vlan11] quit
[Local AC] interface Vlan-interface11
[Local AC-Vlan-interface11] ip address 11.1.1.104 255.255.0.0
[Local AC-Vlan-interface11] quit
# 创建VLAN12及其接口,用于AP上线。
[Local AC] vlan 12
[Local AC-vlan12] quit
[Local AC] interface Vlan-interface12
[Local AC-Vlan-interface12] ip address 12.0.0.1 255.255.0.0
[Local AC-Vlan-interface12] dhcp server apply ip-pool ap
[Local AC-Vlan-interface12] quit
# 创建VLAN20及其接口,用于无线客户端上线。
[Local AC] vlan 20
[Local AC-vlan20] quit
[Local AC] interface Vlan-interface20
[Local AC-Vlan-interface20] ip address 20.0.0.1 255.255.0.0
[Local AC-Vlan-interface20] dhcp server apply ip-pool client
[Local AC-Vlan-interface20] quit
# 配置Local AC和AP 1相连的接口GigabitEthernet1/0/1为Access类型,允许VLAN 12通过。
[Local AC] interface GigabitEthernet 1/0/1
[Local AC-GigabitEthernet1/0/1] port link-type access
[Local AC-GigabitEthernet1/0/1] port access vlan 12
[Local AC-GigabitEthernet1/0/1] quit
# 配置Local AC和AP 2相连的接口GigabitEthernet1/0/2为Access类型,允许VLAN 12通过。
[Local AC] interface GigabitEthernet 1/0/2
[Local AC-GigabitEthernet1/0/2] port link-type access
[Local AC-GigabitEthernet1/0/1] port access vlan 12
[Local AC-GigabitEthernet1/0/2] quit
# 配置Local AC和总部相连的接口GigabitEthernet1/0/3为Access类型,允许VLAN 11通过。
[Local AC] interface GigabitEthernet 1/0/3
[Local AC-GigabitEthernet1/0/3] port link-type access
[Local AC-GigabitEthernet1/0/3] port access vlan 11
[Local AC-GigabitEthernet1/0/3] quit
# 配置静态路由。
[Local AC] ip route-static 0.0.0.0 0.0.0.0 11.1.1.3
(4) 配置802.1X认证方式
#配置802.1X认证方式为EAP
[Local AC] dot1x authentication-method eap
(5) 配置无线客户端的DOT1X认证功能
· 配置RADIUS方案
# 创建RADIUS方案imc并进入其视图。
[Local AC] radius scheme imc
# 设置主认证RADIUS服务器的IP地址8.1.1.231。
[Local AC-radius-imc] primary authentication 8.1.1.231
# 设置主计费RADIUS服务器的IP地址8.1.1.231。
[Local AC-radius-imc] primary accounting 8.1.1.231
# 设置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。
[Local AC-radius-imc] key authentication simple 12345678
# 设置系统与计费RADIUS服务器交互报文时的共享密钥为12345678。
[Local AC-radius-imc] key accounting simple 12345678
# 设置发送给RADIUS服务器的用户名不携带域名。
[Local AC-radius-imc] user-name-format without-domain
# 设置设备发送RADIUS报文时使用的源IP地址11.1.1.104。
[Local AC-radius-imc] nas-ip 11.1.1.104
[Local AC-radius-imc] quit
· 配置认证域
# 创建imc域并进入其视图。
[Local AC] domain imc
# 为DOT1X用户配置认证方案为RADIUS方案,方案名为imc。
[Local AC-isp-imc] authentication lan-access radius-scheme imc
# 为DOT1X用户配置授权方案为RADIUS方案,方案名为imc。
[Local AC-isp-imc] authorization lan-access radius-scheme imc
# 为DOT1X用户配置计费方案为RADIUS方案,方案名为imc。
[Local AC-isp-imc] accounting lan-access radius-scheme imc
[Local AC-isp-imc] quit
· 下面以iMC为例(使用iMC版本为:iMC PLAT 7.2(E0403p10)、iMC EIA 7.2(E0405)、iMC EIP 7.2(E0405)说明RADIUS server的基本配置。
· 在服务器上已经完成证书的安装。
# 增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
· 设置认证、计费共享密钥为12345678,其它保持缺省配置;
· 选择增加Local AC,添加IP地址为11.1.1.104的接入设备。
图2 增加接入设备页面
# 增加服务策略。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。
· 设置接入策略名为dot1x;
· 选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。
图3 增加服务策略页面
# 增加接入服务。
选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。
· 设置服务名为dot1x;
· 设置缺省接入策略为已经创建的dot1x策略。
图4 增加接入服务页面
# 增加接入用户。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。
· 添加用户user;
· 添加帐号名为user,密码为dot1x;
· 选中刚才配置的服务dot1x。
图5 增加接入用户页面
# 在Central AC上可以查看到Local AC是R/M状态,说明Local AC已在Central AC上线。
[Central AC] display wlan local-ac name 3510h-1
Local AC Information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run
AC name ACID State Model Serial ID
3510h-1 2 R/M WX3510H 210235A1GCH147000017
# 在Central AC上可以查看到AP是R/M状态,说明Local AC已经通过二次发现与Central AC建立管理通道。
[Central AC] display wlan ap all
Total number of APs: 1
Total number of connected APs: 1
Total number of connected manual APs: 1
Total number of connected auto APs: 0
Total number of connected common APs: 1
Total number of connected WTUs: 0
Total number of inside APs: 0
Maximum supported APs: 4096
Remaining APs: 4095
Total AP licenses: 512
Local AP licenses: 512
Server AP licenses: 0
Remaining AP licenses: 511
Sync AP licenses: 0
AP information
State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad
C = Config, DC = DataCheck, R = Run, M = Master, B = Backup
AP name APID State Model Serial ID
ap1 8 R/M WA6320 219801A28N819CE0002T
# 在Central AC上可以查看到AP已经连接到Local AC。
[Central AC] display wlan ap-distribution all
Central AC
Slot : 1
Total Number of APs: 0
AP name :
Local AC
Name : 3510h-1
Total Number of APs: 1
AP name : ap1
# 在Central AC上可以查看到无线客户端已经上线。
[Central AC] display wlan client
Total number of clients: 1
MAC address User name AP name RID IP address VLAN
e49a-dc71-a162 N/A ap1 1 20.0.0.3 20
# 在Central AC上可以查看到用户已经DOT1X认证成功。
[Central AC] dis dot1x connection
Total connections: 1
User MAC address : e49a-dc71-a162
AP name : ap1
Radio ID : 1
SSID : dot1x
BSSID : 3891-d59a-7960
Username : user
Authentication domain : imc
IPv4 address : 20.0.0.2
Authentication method : EAP
Initial VLAN : 20
Authorization VLAN : 20
Authorization ACL number : 3000
Authorization user profile : N/A
Termination action : Default
Session timeout period : 86400 s
Online from : 2019/5/22 11:31:18
Online duration : 0h 2m 12s
· Central AC:
#
vlan 1
#
wlan service-template dot1x
ssid dot1x
client forwarding-location ac
client-security authentication-location ac
akm mode dot1x
cipher-suite ccmp
security-ie rsn
client-security authentication-mode dot1x
dot1x domain imc
service-template enable
#
interface Vlan-interface1
ip address 11.1.1.3 16
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 11
#
wlan ap ap1 model WA6320
serial-id 219801A28N819CE0002T
#
wlan ap-group group1
control-address enable
control-address ip 11.1.1.104
ap ap1
ap-model WA6320
map-configuration cfa0:/map.txt
radio 1
radio enable
service-template dot1x vlan 20
#
wlan local-ac name 3510h-1 model WX3510H
serial-id 210235A1JNB166000078
#
· Local AC :
#
dhcp enable
#
vlan 11 to 12
#
vlan 20
#
dhcp server ip-pool ap
gateway-list 12.0.0.1
network 12.0.0.0 mask 255.255.0.0
option 43 hex 80070000010b010103
#
dhcp server ip-pool client
gateway-list 20.0.0.1
network 20.0.0.0 mask 255.255.0.0
#
interface Vlan-interface11
ip address 11.1.1.104 255.255.0.0
#
interface Vlan-interface12
ip address 12.0.0.1 255.255.0.0
dhcp server apply ip-pool ap
#
interface Vlan-interface20
ip address 20.0.0.1 255.255.0.0
dhcp server apply ip-pool client
#
interface GigabitEthernet1/0/1
port link-type access
port access vlan 12
#
interface GigabitEthernet1/0/2
port link-type access
port access vlan 12
#
interface GigabitEthernet1/0/3
port link-type access
port access vlan 11
#
wlan local-ac enable
wlan local-ac capwap source-vlan 11
#
wlan central-ac ip 11.1.1.3
#
dot1x authentication-method eap
#
radius scheme imc
primary authentication 8.1.1.231
primary accounting 8.1.1.231
key authentication cipher $c$3$t7x0fIARso0US949SnQS2pq53eIdsgUr6z07
key accounting cipher $c$3$V4YI3sDOEq0VqAIPoaNjQOV3ZalvqTL05GC0
user-name-format without-domain
nas-ip 11.1.1.104
#
domain imc
authentication lan-access radius-scheme imc
authorization lan-access radius-scheme imc
accounting lan-access radius-scheme imc
· 《H3C 无线控制器产品 配置指导》中的“用户接入与认证配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“用户接入与认证命令参考”。
· 《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。
· 《H3C 无线控制器产品 配置指导》中的“分层AC配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“分层AC接入命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!