收藏
下载资源 加入VIP免费专享

无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx

上传人:牧羊曲112 文档编号:5332295 上传时间:2023-06-26 格式:DOCX 页数:10 大小:194.87KB
返回 下载 相关 举报
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx_第1页
第1页 / 共10页
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx_第2页
第2页 / 共10页
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx_第3页
第3页 / 共10页
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx_第4页
第4页 / 共10页
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx_第5页
第5页 / 共10页
亲,该文档总共10页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx》由会员分享,可在线阅读,更多相关《无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx(10页珍藏版)》请在三一办公上搜索。

1、1简介本文档介绍了无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置案 例。2配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请 参考相关产品手册,或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采 用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现 有配置和以下举例中的配置不冲突。本文档假设您已了解802.1X特性。3配置举例3.1组网需求如图!所示,在无线网络环境中部署了 RADIUS服务器,现要求使用RADIUS服务 器对无线客户端进行802.1X认证,并对认证通过的客户端下发

2、授权VLAN 300。图1授权VLAN下发典型配置组网图Vlan-lnt2ClienlRADIUS server 6.1.25.1.1/16vian-lntino 125.10D.1.424Vlan-intSDO125.30.1 4.!24Vlan-inMOOVlan-iriE 125-0 1.13 时12510011,743.2配置注意事项开启无线侧的端口安全功能时,请确保该端口的802.1X功能或MAC地址认证功能处于关闭状态。.口口口口口口线。关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下#关闭802.1X的组播触发功能,以节省无线的通信带宽。RADIUS服务器授权下发的

3、VLAN必须是AC设备上已经配置的VLAN,否则802.1X无法认证成功。配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。3.3配置步骤3.3.1 AC的配置(1) 配置AC的接口#创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该 接口的IP地址与AP建立LWAPP隧道。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 125.100.1.4 24AC-Vlan-int

4、erface100 quit#创建VLAN 200作为WLAN-ESS接口的缺省VLAN。AC vlan 200AC-vlan200 quit#创建VLAN 300作为Client接入的业务VLAN,且RADIUS服务器会下发VLAN 300 作为授权VLAN。AC vlan 300AC-vlan300 quit# 配置 VLAN 300 的接口 IP 地址为 125.30.1.4/24。AC interface vlan-interface 300AC-Vlan-interface300 ip address 125.30.1.4 24AC-Vlan-interface300 quit#将与

5、Switch相连的接口 GigabitEthernet1/0/1的链路类型配置为Trunk,配置PVID 为100,禁止VLAN 1通过,允许VLAN 100和VLAN 300通过。AC interface gigabitethernet 1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 port trunk pvid vlan 100AC-GigabitEthernet1/0/1 undo port trunk permit vlan 1AC-GigabitEthernet1/0/1 port t

6、runk permit vlan 100 300AC-GigabitEthernet1/0/1 quit(2) 配置802.1X认证#全局模式下使能端口安全。AC port-security enable#选择802.1X认证方式为EAP。AC dot1x authentication-method eap(3) 配置认证策略#创建RADIUS方案office并进入其视图。AC radius scheme office#配置RADIUS方案服务类型为扩展型。AC-radius-office server-type extended#设置主认证RADIUS服务器的IP地址8.125.1.1。AC

7、-radius-office primary authentication 8.125.1.1#设置主计费RADIUS服务器的IP地址8.125.1.1。AC-radius-office primary accounting 8.125.1.1#设置系统与认证RADIUS服务器交互报文时的共享密钥为123456。AC-radius-office key authentication 123456#设置系统与计费RADIUS服务器交互报文时的共享密钥为123456。AC-radius-office key accounting 123456#认证时用户名不携带域。AC-radius-office

8、 user-name-format without-domain#设置设备发送RADIUS报文时使用的源IP地址125.100.1.4。AC-radius-radius nas-ip 125.100.1.4AC-radius-radius quit(4) 配置认证域#创建office域并进入其视图。AC domain office#为lan-access用户配置认证方案为RADIUS方案,方案名为office。AC-isp-office authentication lan-access radius-scheme office#为lan-access用户配置授权方案为RADIUS方案,方案名

9、为officeoAC-isp-office authorization lan-access radius-scheme office# 为lan-access用户配置计费为none,不计费。AC-isp-office accounting lan-access noneAC-isp-office quit(5) 配置无线接口#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。AC interface wlan-ess 1AC-WLAN-ESS1 port link-type hybrid#配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200

10、不带 tag通过。AC-WLAN-ESS1 undo port hybrid vlan 1AC-WLAN-ESS1 port hybrid vlan 200 untaggedAC-WLAN-ESS1 port hybrid pvid vlan 200#在Hybrid端口上使能MAC VLAN功能。AC-WLAN-ESS1 mac-vlan enable#在WLAN-ESS1 口上配置端口安全,安全模式为userlogin-secure-ext。AC-WLAN-ESS1 port-security port-mode userlogin-secure-ext#在接口 WLAN-ESS1下使能11

11、key类型的密钥协商功能。AC-WLAN-ESS1 port-security tx-key-type 11key#关闭在线用户握手功能。AC-WLAN-ESS1 undo dot1x handshake#关闭802.1X的组播触发功能。AC-WLAN-ESS1 undo dot1x multicast-trigger#在WLAN-ESS1端口上指定802.1X认证的强制认证域为office。AC-WLAN-ESS1 dot1x mandatory-domain officeAC-WLAN-ESS1 quit(6) 配置无线服务#创建crypto类型的服务模板1。AC wlan service

12、-template 1 crypto#设置当前服务模板的SSID为service。AC-wlan-st-1 ssid service#将WLAN-ESS1接口绑定到服务模板1。AC-wlan-st-1 bind wlan-ess 1#配置加密套件为CCMP。AC-wlan-st-1 cipher-suite ccmp#配置安全信息元素为RSN。AC-wlan-st-1 security-ie rsn#启用无线服务。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit(7)配置射频接口并绑定服务模板#创建AP的管理模板,名称为officeap

13、,型号名称选择WA2620E-AGN。AC wlan ap officeap model WA2620E-AGN# 设置 AP 的序列号为 21023529G007C000020OAC-wlan-ap-officeap serial-id 21023529G007C000020#进入radio 2射频视图。AC-wlan-ap-officeap radio 2#将在AC上配置的服务模板1与射频2进行关联。AC-wlan-ap-officeap-radio-2 service-template 1# 使能 AP 的 radio 2。AC-wlan-ap-officeap-radio-2 radi

14、o enableAC-wlan-ap-officeap-radio-2 quitAC-wlan-ap-officeap quit#将AC的默认路由指向交换机,地址为125.100.1.1AC ip route-static 0.0.0.0 0.0.0.0 125.100.1.13.3.2 Switch 的配置#创建VLAN 2、VLAN 100和VLAN 300,其中VLAN 2用于连接RADIUS服务器, VLAN 100用于转发AC和AP间LWAPP隧道内的流量,VLAN 300为无线用户接 入的VLANo system-viewSwitch vlan 2Switch-vlan2 quit

15、Switch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quit# 配置 Switch 与 AC 相连的 GigabitEthernet1/0/1 接口的属性为 Trunk,配置 PVID 为100,禁止VLAN 1通过,允许VLAN 2、100和300通过。Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 undo port trunk perm

16、it vlan 1Switch-GigabitEthernet1/0/1 port trunk permit vlan 2 100 300Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit# 配置 Switch 与 AP 相连的 GigabitEthernet1/0/2接口属性为 Access,并加入 VLAN 100。Switch interface gigabitethernet 1/0/2Switch-GigabitEthernet1/0/2 port link-type

17、 access Switch-GigabitEthernet1/0/2 port access vlan 100# 配置 Switch 与 AP 相连的 GigabitEthernet1/0/2 接口使能 PoE 功能。Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit# 配置 Switch 与 RADIUS 服务器相连的 GigabitEthernet1/0/3 接口属性为 Access, 并允许VLAN 2通过。Switch interface gigabitethernet 1/0/3Switch-

18、GigabitEthernet1/0/3 port link-type access Switch-GigabitEthernet1/0/3 port access vlan 2 Switch-GigabitEthernet1/0/3 quit#配置VLAN 2的接口地址为8.125.1.2/16,用于连接RADIUS服务器。Switch interface vlan-interface 2 Switch-Vlan-interface2 ip address 8.125.1.2 16 Switch-Vlan-interface2 quit# 配置 VLAN 100 的接口地址为 125.100

19、.1.1/24Switch interface vlan-interface 100Switch-Vlan-interface100 ip address 125.100.1.1 24 Switch-Vlan-interface100 quit# 配置 VLAN 300 的接口地址为 125.30.1.1/24Switch interface vlan-interface 300Switch-Vlan-interface300 ip address 125.30.1.1 24 Switch-Vlan-interface300 quit#配置Switch使能DHCP服务。Switch dhcp

20、enable# 创建名为 vlan100的 DHCP 地址池,配置地址池范围为 125.100.1.0-125.100.1.250,网关地址为 125.100.1.1,为 AP 分配 IP 地址。Switch dhcp server ip-pool vlan100 extendedSwitch-dhcp-pool-vlan100 network ip range 125.100.1.0 125.100.1.250Switch-dhcp-pool-vlan100 network mask 255.255.255.0Switch-dhcp-pool-vlan100 gateway-list 125

21、.100.1.1 Switch-dhcp-pool-vlan100 quit#创建名为vlan300的DHCP地址池,配置地址池范围为125.30.1.0-125.30.1.250, 网关地址为125.30.1.1,为Client分配IP地址。Switch dhcp server ip-pool vlan300 extendedSwitch-dhcp-pool-vlan300 network ip range 125.30.1.0 125.30.1.250Switch-dhcp-pool-vlan300 network mask 255.255.255.0 Switch-dhcp-pool-v

22、lan300 gateway-list 125.30.1.1 Switch-dhcp-pool-vlan300 quit3.3.3 RADIUS服务器配置下面以iMC作为RADIUS服务为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202),说明RADIUS服务器的配置。#增加接入设备。登录进入iMC管理平台,选择“用户”页签,单击导航树中的接入策略管理/接入设 备管理/接入设备配置菜单项,单击“增加”按钮,进入“增加接入设备”页面。设置与AC交互报文时使用的认证、计费共享密钥为“123456”;设置认证及计费的端口号分别为“1812”和“1813

23、”;选择业务类型为“LAN接入业务”;口口口口口口口选择接入设备类型为“H3C(General)”;口口口口口口口选择手工增加接入设备,添加IP地址为125.100.1.4的接入设备;其它参数采用缺省值,并单击 确定按钮完成操作。图2增加接入设备口,共胃1显娜,厦入1日*址嗯“LA尹享警IR # 配置接入策略。选择“用户”页签,单击导航树中的用户/接入策略管理/接入策略管理菜单项,单 击“增加”按钮进入“增加接入策略页面”,创建一条接入策略。接入策略名输入“802.1X”。证书认证选择“EAP证书认证”。证书认证类型选择“EAP-PEAP认证”。口口口口口口口认证证书子类型选择“MS-CHAP

24、V2认证”。口口口口口口下发 VLAN 输入授权下发的 VLAN “300”。其它参数采用缺省值,并单击 确定按钮完成操作。图3配置接入策略#增加接入服务配置。选择“用户”页签,单击导航树中的接入策略管理/接入服务管理菜单项,单击“增 加”按钮,创建一条接入服务。.口口口口口口服务名输入“802.1X”。.口口口口口口缺省接入策略选择之前创建的策略“802.1X”。其它参数采用缺省值,并单击 确定按钮完成操作。图4配置接入服务切用户-AAME1K3 -横入蹄-计圮眈、?:#增加用户配置。选择“用户”页签,单击导航树中的接入用户管理/接入用户菜单项,单击“增加” 按钮,进入“增加接入用户”界面,

25、增加一个接入用户。口单击“增加用户”。=用户姓名输入Tw” 。口证件号码输入“”。a其它参数采用缺省值,并单击v确定按钮完成操作。图5增加用户配置A向户 XDI1LAW卅岫ut14口尊PW牌3还尊网5叶取州0#增加接入用户配置。选择“用户”页签,单击导航树中的接入用户管理/接入用户菜单项,单击“增加” 按钮,增加一个接入用户。a单击“选择”,在页面中选择之前创建的用户TW”。口 口口口口口口账巧*名车刖入lw 0,口口口口口口密码与密码确认输入“123456”。选择服务名“802.1X”。a其它参数采用缺省值,并单击v确定按钮完成操作。图6增加接入用户配置3.4验证配置(1) Client 通

26、过 802.1X 认证上线后,执行 display connection 命令,查看 802.1X 用户上线后的基本信息。观察上线信息的Index,本例中Index值为15。 display connectionIndex=15 ,Username=lwofficeMAC=00-24-01-EB-FA-EEIP=N/AIPv6=N/AOnline=00h02m34sTotal 1 connection(s) matched.(2) 通过执行 display connection 命令得到 Client 的 Index 为 15,执行 display connection ucibindex 1

27、5命令,得到Client通过802.1X认证后的详细信息。 如阴影部分显示,授权VLAN为300。RADIUS服务器下发授权VLAN成功。 display connection ucibindex 15Index=15 , Username=lwofficeMAC=00-24-01-EB-FA-EEIP=N/AIPv6=N/AAccess=8021X ,AuthMethod=EAPPort Type=Wireless-802.11,Port Name=WLAN-DBSS1:0Initial VLAN=200, Authorization VLAN=300ACL Group=DisableUser Profile=N/ACAR=DisableTraffic Statistic:InputOctets =11348OutputOctets =7785InputGigawords=0OutputGigawords=0Priority=DisableSessionTimeout=N/A, Terminate-Action=N/AStart=2013-11-20 16:57:38 ,Current=2013-11-20 16:58:33 ,Online=00h00m55sTotal 1 connection matched.

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号