• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

12-分层AC

目录

02-H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例

本章节下载 02-H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例  (492.58 KB)

02-H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例

H3C无线控制器分层AC组网下802.1X认证(Local AC认证+Local AC转发)典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

分层AC组网下802.1X认证的典型配置。

2  配置前提

本文档适用于使用Comware软件版本的无线产品,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解分层AC、802.1X、WLAN接入、AP管理特性。

3  使用限制

分层AC组网中Central AC不支持IRF功能。

4  配置举例

4.1  组网需求

图1所示,总部使用无线控制器作为Central AC,分支采用传统AC作为Local AC,Local AC负责管理和接入本地AP和无线客户端。用户的认证授权由分支Local AC负责,数据流量也由Local AC转发。

具体应用需求如下:

·     AP通过DHCP Option43功能获取到Central AC地址,之后通过二次发现方式与Local AC建立CAPWAP连接。

·     使用iMC作为AAA服务器对用户进行DOT1X认证。

·     Local AC作为DHCP ServerAP和客户端分配IP地址。

图1 分层AC配置举例组网图

 

4.2  配置思路

在总部分支组网中,如果不配置二次发现的Local AC的IP地址,则Central AC将当前负载最轻的Local AC的IP地址下发给AP,如果负载最轻的Local AC不是本分支的Local AC,则会导致本分支AP无法上线,所以为了保证本分支的AP能够正确从本分支的Local AC上线,需要配置二次发现的Local AC的IP地址为本分支的Local AC的IP地址。

4.3  配置注意事项

·     配置AP的序列号时请确保该序列号与AP唯一对应。

·     在分支Local AC上做认证请将Radius服务,Domain服务等配置在Local AC设备上。

·     Local AC上不能开启自动AP功能,对于需要在Central AC上统一管理的AP,也不要在Local AC上配置此AP模板。

 

4.4  配置步骤

说明

配置本举例之前,请保证各设备之间路由可达。

 

4.4.1  配置Central AC

(1)     配置接口

# 创建VLAN11及其接口,用来与Local AC建立管理通道。

<Central AC> system-view

[Central AC] vlan 11

[Central AC-vlan1] quit

[Central AC] interface vlan-interface 11

[Central AC-Vlan-interface1] ip address 11.1.1.3.16

[Central AC-Vlan-interface1] quit

# 将Central AC与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,并允许VLAN 11通过。

[Central AC] interface gigabitethernet 1/0/1

[Central AC-GigabitEthernet1/0/1] port link-type trunk

[Central AC-GigabitEthernet1/0/1] port trunk permit vlan 11

[Central AC-GigabitEthernet1/0/1] quit

(2)     配置Central AC管理的Local AC

# 创建名称为3510h-1的Local AC,并进入Local AC视图。

[Central AC] wlan local-ac name 3510h-1 model WX3510H

# 配置Local AC的序列号。

[Central AC-wlan-local-ac-3510h-1] serial-id 210235A1GCH147000017

[Central AC-wlan-local-ac-3510h-1] quit

(3)     配置无线服务。

# 创建无线服务模板dot1x。

[Central AC] wlan service-template dot1x

# 配置SSID。

[Central AC-wlan-st-dot1x] ssid dot1x

# 配置AKM为802.1X。

[Central AC-wlan-st-dot1x] akm mode dot1x

# 配置CCMP为加密套件,配置WPA为安全信息元素。

[Central AC-wlan-st-dot1x] cipher-suite ccmp

[Central AC-wlan-st-dot1x] security-ie rsn

# 配置用户接入方式为802.1X认证。

[Central AC-wlan-st-dot1x] client-security authentication-mode dot1x

# 配置用户接入认证位置为Local AC。

[Central AC-wlan-st-dot1x] client-security authentication-location ac

# 配置无线服务模板下的802.1X用户的ISP域。

[Central AC-wlan-st-dot1x] dot1x domain imc

# 配置客户端数据报文转发位置为Local AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)

[Central AC-wlan-st-dot1x] client forwarding-location ac

# 开启无线服务模板。

[Central AC-wlan-st-dot1x] service-template enable

[Central AC-wlan-st-dot1x] quit

(4)     配置AP

说明

在大规模组网时,推荐在AP组内进行配置。

 

# 创建手工AP,名称为ap1,型号名称为WA6320。

[Central AC] wlan ap ap1 model WA6320

# 设置AP的序列号为219801A28N819CE0002T。

[Central AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

[Central AC-wlan-ap-ap1] quit

# 创建AP组group1,设置AP名称入组规则

[Central AC] wlan ap-group group1

[Central AC-wlan-ap-group-group1] ap ap1

# 开启二次发现AC功能。

[Central AC-wlan-ap-group-group1] control-address enable

# 手动指定Central AC的IP地址。

[Central AC-wlan-ap-group-group1] control-address ip 12.0.0.1

# 进入AP组的Radio 1视图,并将无线服务模板portal绑定到Radio 1上。

[Central AC-wlan-ap-group-group1] ap-model WA6320

[Central AC-wlan-ap-group-group1-ap-model-WA6320] radio 1

[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] service-template dot1x vlan 2000

# 开启Radio 1的射频功能。

[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] radio enable

[Central AC-wlan-ap-group-group1-ap-model-WA6320-radio-1] quit

4.4.2  配置Local AC

(1)     开启Local AC功能

# 开启Local AC功能。

<Local AC> system-view

[Local AC] wlan local-ac enable

# 指定Central AC的IP地址。

[Local AC] wlan central-ac ip 11.1.1.3

# 指定与Central AC建立管理通道的VLAN。

[Local AC] wlan local-ac capwap source-vlan 11

(2)     配置地址池

# 开启DHCP服务。

[Local AC] dhcp enable

# 配置地址池,为AP分配IP地址。

[Local AC] dhcp server ip-pool ap

[Local AC-dhcp-pool-ap] gateway-list 12.0.0.1

[Local AC-dhcp-pool-ap] network 12.0.0.0 mask 255.255.0.0

# 通过option43选项指定AC地址为Central AC地址。

[Local AC-dhcp-pool-ap] option 43 hex 80070000010b010103

[Local AC-dhcp-pool-ap] quit

# 配置地址池,为客户端分配IP地址。

[Local AC] dhcp server ip-pool client

[Local AC-dhcp-pool-ap] gateway-list 20.0.0.1

[Local AC-dhcp-pool-ap] network 20.0.0.0 mask 255.255.0.0

[Local AC-dhcp-pool-ap] quit

(3)     配置接口

# 创建VLAN11及其接口,Local AC通过此接口上线到Central AC。

[Local AC] vlan 11

[Local AC-vlan11] quit

[Local AC] interface Vlan-interface11

[Local AC-Vlan-interface11] ip address 11.1.1.104 255.255.0.0

[Local AC-Vlan-interface11] quit

# 创建VLAN12及其接口,用于AP上线。

[Local AC] vlan 12

[Local AC-vlan12] quit

[Local AC] interface Vlan-interface12

[Local AC-Vlan-interface12] ip address 12.0.0.1 255.255.0.0

[Local AC-Vlan-interface12] dhcp server apply ip-pool ap

[Local AC-Vlan-interface12] quit

# 创建VLAN20及其接口,用于无线客户端上线。

[Local AC] vlan 20

[Local AC-vlan20] quit

[Local AC] interface Vlan-interface20

[Local AC-Vlan-interface20] ip address 20.0.0.1 255.255.0.0

[Local AC-Vlan-interface20] dhcp server apply ip-pool client

[Local AC-Vlan-interface20] quit

# 配置Local AC和AP 1相连的接口GigabitEthernet1/0/1为Access类型,允许VLAN 12通过。

[Local AC] interface GigabitEthernet 1/0/1

[Local AC-GigabitEthernet1/0/1] port link-type access

[Local AC-GigabitEthernet1/0/1] port access vlan 12

[Local AC-GigabitEthernet1/0/1] quit

# 配置Local AC和AP 2相连的接口GigabitEthernet1/0/2为Access类型,允许VLAN 12通过。

[Local AC] interface GigabitEthernet 1/0/2

[Local AC-GigabitEthernet1/0/2] port link-type access

[Local AC-GigabitEthernet1/0/1] port access vlan 12

[Local AC-GigabitEthernet1/0/2] quit

# 配置Local AC和总部相连的接口GigabitEthernet1/0/3为Access类型,允许VLAN 11通过。

[Local AC] interface GigabitEthernet 1/0/3

[Local AC-GigabitEthernet1/0/3] port link-type access

[Local AC-GigabitEthernet1/0/3] port access vlan 11

[Local AC-GigabitEthernet1/0/3] quit

# 配置静态路由。

[Local AC] ip route-static 0.0.0.0 0.0.0.0 11.1.1.3

(4)     配置802.1X认证方式

#配置802.1X认证方式为EAP

[Local AC] dot1x authentication-method eap

(5)     配置无线客户端的DOT1X认证功能

·     配置RADIUS方案

# 创建RADIUS方案imc并进入其视图。

[Local AC] radius scheme imc

# 设置主认证RADIUS服务器的IP地址8.1.1.231。

[Local AC-radius-imc] primary authentication 8.1.1.231

# 设置主计费RADIUS服务器的IP地址8.1.1.231。

[Local AC-radius-imc] primary accounting 8.1.1.231

# 设置系统与认证RADIUS服务器交互报文时的共享密钥为12345678。

[Local AC-radius-imc] key authentication simple 12345678

# 设置系统与计费RADIUS服务器交互报文时的共享密钥为12345678。

[Local AC-radius-imc] key accounting simple 12345678

# 设置发送给RADIUS服务器的用户名不携带域名。

[Local AC-radius-imc] user-name-format without-domain

# 设置设备发送RADIUS报文时使用的源IP地址11.1.1.104。

[Local AC-radius-imc] nas-ip 11.1.1.104

[Local AC-radius-imc] quit

·     配置认证域

# 创建imc域并进入其视图。

[Local AC] domain imc

# 为DOT1X用户配置认证方案为RADIUS方案,方案名为imc。

[Local AC-isp-imc] authentication lan-access radius-scheme imc

# 为DOT1X用户配置授权方案为RADIUS方案,方案名为imc。

[Local AC-isp-imc] authorization lan-access radius-scheme imc

# 为DOT1X用户配置计费方案为RADIUS方案,方案名为imc。

[Local AC-isp-imc] accounting lan-access radius-scheme imc

[Local AC-isp-imc] quit

4.4.3  配置iMC

说明

·     下面以iMC为例(使用iMC版本为:iMC PLAT 7.2(E0403p10)、iMC EIA 7.2(E0405)、iMC EIP 7.2(E0405)说明RADIUS server的基本配置。

·     在服务器上已经完成证书的安装。

 

# 增加接入设备。

登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·     设置认证、计费共享密钥为12345678,其它保持缺省配置;

·     选择增加Local AC,添加IP地址为11.1.1.104的接入设备。

图2 增加接入设备页面

 

# 增加服务策略。

选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理页面,在该页面中单击“增加”按钮,进入增加接入策略页面。

·     设置接入策略名为dot1x;

·     选择认证证书类型为EAP-PEAP认证,认证证书子类型为MS-CHAPV2认证。认证证书子类型需要与客户端的身份验证方法一致。

图3 增加服务策略页面

 

# 增加接入服务。

选择“用户”页签,单击导航栏中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理页面,在该页面中单击<增加>按钮,进入增加接入服务页面。

·     设置服务名为dot1x;

·     设置缺省接入策略为已经创建的dot1x策略。

图4 增加接入服务页面

 

# 增加接入用户。

选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户页面,在该页面中单击<增加>按钮,进入增加接入用户页面。

·     添加用户user;

·     添加帐号名为user,密码为dot1x;

·     选中刚才配置的服务dot1x。

图5 增加接入用户页面

 

4.5  验证配置

# 在Central AC上可以查看到Local AC是R/M状态,说明Local AC已在Central AC上线。

[Central AC] display wlan local-ac name 3510h-1

                                Local AC Information

 State : I = Idle,      J  = Join,       JA = JoinAck,    IL = ImageLoad

         C = Config,    DC = DataCheck,  R  = Run

AC name                        ACID  State Model           Serial ID

3510h-1                        2     R/M   WX3510H         210235A1GCH147000017

# 在Central AC上可以查看到AP是R/M状态,说明Local AC已经通过二次发现与Central AC建立管理通道。

[Central AC] display wlan ap all

Total number of APs: 1

Total number of connected APs: 1

Total number of connected manual APs: 1

Total number of connected auto APs: 0

Total number of connected common APs: 1

Total number of connected WTUs: 0

Total number of inside APs: 0

Maximum supported APs: 4096

Remaining APs: 4095

Total AP licenses: 512

Local AP licenses: 512

Server AP licenses: 0

Remaining AP licenses: 511

Sync AP licenses: 0

 

                                 AP information

 State : I = Idle,      J  = Join,       JA = JoinAck,    IL = ImageLoad

         C = Config,    DC = DataCheck,  R  = Run,   M = Master,  B = Backup

 

AP name                        APID  State Model           Serial ID

ap1                            8     R/M   WA6320          219801A28N819CE0002T

# 在Central AC上可以查看到AP已经连接到Local AC。

[Central AC] display wlan ap-distribution all

Central AC

Slot               : 1

Total Number of APs: 0

AP name            :

 

Local AC

Name               : 3510h-1

Total Number of APs: 1

AP name            : ap1

# 在Central AC上可以查看到无线客户端已经上线。

[Central AC] display wlan client

Total number of clients: 1

 

MAC address    User name  AP name        RID IP address      VLAN

e49a-dc71-a162 N/A        ap1            1   20.0.0.3        20

# 在Central AC上可以查看到用户已经DOT1X认证成功。

[Central AC] dis dot1x connection

Total connections: 1

User MAC address           : e49a-dc71-a162

AP name                    : ap1

Radio ID                   : 1

SSID                       : dot1x

BSSID                      : 3891-d59a-7960

Username                   : user

Authentication domain      : imc

IPv4 address               : 20.0.0.2

Authentication method      : EAP

Initial VLAN               : 20

Authorization VLAN         : 20

Authorization ACL number   : 3000

Authorization user profile : N/A

Termination action         : Default

Session timeout period     : 86400 s

Online from                : 2019/5/22 11:31:18

Online duration            : 0h 2m 12s

4.6  配置文件

·     Central AC

#

vlan 1

#

wlan service-template dot1x

 ssid dot1x

 client forwarding-location ac

 client-security authentication-location ac

 akm mode dot1x

 cipher-suite ccmp

 security-ie rsn

 client-security authentication-mode dot1x

 dot1x domain imc

 service-template enable

#

interface Vlan-interface1

 ip address 11.1.1.3 16

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan 11

#

wlan ap ap1 model WA6320

 serial-id 219801A28N819CE0002T

#

wlan ap-group group1

control-address enable

 control-address ip 11.1.1.104

ap ap1

ap-model WA6320

 map-configuration cfa0:/map.txt

 radio 1

  radio enable

  service-template dot1x vlan 20

#

wlan local-ac name 3510h-1 model WX3510H

serial-id 210235A1JNB166000078

#

·     Local AC

#

 dhcp enable

#

vlan 11 to 12

#

vlan 20

#

dhcp server ip-pool ap

 gateway-list 12.0.0.1

 network 12.0.0.0 mask 255.255.0.0

 option 43 hex 80070000010b010103

#

dhcp server ip-pool client

 gateway-list 20.0.0.1

 network 20.0.0.0 mask 255.255.0.0

#

interface Vlan-interface11

 ip address 11.1.1.104 255.255.0.0

#

interface Vlan-interface12

 ip address 12.0.0.1 255.255.0.0

 dhcp server apply ip-pool ap

#

interface Vlan-interface20

 ip address 20.0.0.1 255.255.0.0

 dhcp server apply ip-pool client

#

interface GigabitEthernet1/0/1

 port link-type access

 port access vlan 12

#

interface GigabitEthernet1/0/2

port link-type access

 port access vlan 12

#

interface GigabitEthernet1/0/3

 port link-type access

 port access vlan 11

#

  wlan local-ac enable

 wlan local-ac capwap source-vlan 11

#

 wlan central-ac ip 11.1.1.3

#

dot1x authentication-method eap

#

radius scheme imc

 primary authentication 8.1.1.231

 primary accounting 8.1.1.231

key authentication cipher $c$3$t7x0fIARso0US949SnQS2pq53eIdsgUr6z07

 key accounting cipher $c$3$V4YI3sDOEq0VqAIPoaNjQOV3ZalvqTL05GC0

user-name-format without-domain

 nas-ip 11.1.1.104

#

domain imc

 authentication lan-access radius-scheme imc

 authorization lan-access radius-scheme imc

 accounting lan-access radius-scheme imc

5  相关资料

·     《H3C 无线控制器产品 配置指导》中的“用户接入与认证配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“用户接入与认证命令参考”。

·     《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。

·     《H3C 无线控制器产品 配置指导》中的“分层AC配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“分层AC接入命令参考”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们