59-通過(guò)8021X認(rèn)證服務(wù)器動(dòng)態(tài)下發(fā)授權(quán)ACL典型配置舉例

1、H3C通過(guò)802.1X認(rèn)證服務(wù)器動(dòng)態(tài)下發(fā)授權(quán)ACL典 型配置舉例Copyright 2014杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書(shū)面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部， 并不得以任何形式傳播。本文檔中的信息可能變動(dòng)，恕不另行通知。 TOC o 1-5 h z HYPERLINK l bookmark15 o Current Document 1簡(jiǎn)介1 HYPERLINK l bookmark18 o Current Document 2配置前提1 HYPERLINK l bookmark21 o Current Document 802.1X認(rèn)證

2、通過(guò)Windows Server 2003 IAS服務(wù)器下發(fā)ACL配置舉例1 HYPERLINK l bookmark24 o Current Document 3.1組網(wǎng)需求1 HYPERLINK l bookmark30 o Current Document 3.2配置思路1 HYPERLINK l bookmark36 o Current Document 3.3配置注意事項(xiàng)2 HYPERLINK l bookmark42 o Current Document 3.4配置步驟2 HYPERLINK l bookmark45 o Current Document AC的配置2 HYPERL

3、INK l bookmark173 o Current Document Switch 的配置5 HYPERLINK l bookmark201 o Current Document Windows Server 2003 IAS 服務(wù)器的配置6 HYPERLINK l bookmark219 o Current Document 3.5驗(yàn)證配置11 HYPERLINK l bookmark237 o Current Document 3.6配置文件12 HYPERLINK l bookmark243 o Current Document 802.1X認(rèn)證通過(guò)iMC服務(wù)器下發(fā)ACL配置舉例14

4、 HYPERLINK l bookmark246 o Current Document 4.1組網(wǎng)需求14 HYPERLINK l bookmark260 o Current Document 4.2配置思路14 HYPERLINK l bookmark269 o Current Document 4.3配置注意事項(xiàng)15 HYPERLINK l bookmark275 o Current Document 4.4配置步驟15 HYPERLINK l bookmark278 o Current Document AC 的配置15 HYPERLINK l bookmark397 o Current

5、 Document Switch 的配置18 HYPERLINK l bookmark424 o Current Document iMC服務(wù)器的配置19 HYPERLINK l bookmark449 o Current Document 4.5驗(yàn)證配置22 HYPERLINK l bookmark467 o Current Document 4.6配置文件23 HYPERLINK l bookmark473 o Current Document 5相關(guān)資料251簡(jiǎn)介本文檔介紹無(wú)線控制器通過(guò)802.1X認(rèn)證服務(wù)器動(dòng)態(tài)下發(fā)授權(quán)ACL的典型配置舉例。2配置前提本文檔不嚴(yán)格與具體軟、硬件版本對(duì)應(yīng)，

6、如果使用過(guò)程中與產(chǎn)品實(shí)際情況有差異，請(qǐng)參考相關(guān)產(chǎn)品 手冊(cè)，或以設(shè)備實(shí)際情況為準(zhǔn)。本文檔中的配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺 省配置。如果您已經(jīng)對(duì)設(shè)備進(jìn)行了配置，為了保證配置效果，請(qǐng)確認(rèn)現(xiàn)有配置和以下舉例中的配置 不沖突。本文檔假設(shè)您已了解AAA、WLAN、802.1X特性。3 802.1X認(rèn)證通過(guò)Windows Server 2003 IAS服務(wù)器下發(fā) ACL配置舉例3.1組網(wǎng)需求如圖1所示，Windows Server 2003 IAS服務(wù)器作為RADIUS服務(wù)器，對(duì)Client進(jìn)行認(rèn)證并下發(fā)授權(quán)ACL。具體應(yīng)用需求如下：Client需要通過(guò)802

7、.1X認(rèn)證才能上線;Client通過(guò)認(rèn)證后允許訪問(wèn)網(wǎng)絡(luò)8.125.0.0/16，不允許訪問(wèn)其他網(wǎng)絡(luò)資源。防止用戶(hù)通過(guò)惡意假冒其它域賬號(hào)從本端口接入網(wǎng)絡(luò)。圖1授權(quán)ACL下發(fā)典型配置組網(wǎng)圖Client3.2配置思路為了實(shí)現(xiàn)Windows Server 2003 IAS服務(wù)器下發(fā)授權(quán)ACL，需要在用戶(hù)使用的“遠(yuǎn)程訪問(wèn)策略”中添加Filter-ID屬性。由于部分802.1X客戶(hù)端不支持與設(shè)備進(jìn)行握手報(bào)文的交互，因此需要關(guān)閉設(shè)備的在線用戶(hù)握 手功能，避免該類(lèi)型的在線用戶(hù)因沒(méi)有回應(yīng)握手報(bào)文而被強(qiáng)制下線。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)，802.1X認(rèn)證可以由客戶(hù)端主動(dòng)發(fā)起，或由無(wú)線模塊發(fā)現(xiàn)用戶(hù)后自動(dòng)觸 發(fā)，不需要通過(guò)端

8、口定期發(fā)送802.1X組播報(bào)文的方式來(lái)觸發(fā)。同時(shí)，組播觸發(fā)報(bào)文會(huì)占用無(wú) 線的通信帶寬，因此建議無(wú)線局域網(wǎng)中的接入設(shè)備關(guān)閉802.1X組播觸發(fā)功能。為了防止用戶(hù)通過(guò)惡意假冒其它域賬號(hào)從本端口接入網(wǎng)絡(luò)，配置端口的強(qiáng)制認(rèn)證域。3.3配置注意事項(xiàng)Windows Server 2003 IAS服務(wù)器授權(quán)下發(fā)的ACL必須是AC設(shè)備上已經(jīng)配置的ACL，且 ACL的內(nèi)容不能為空，否則802.1X無(wú)法認(rèn)證成功。配置AP的序列號(hào)時(shí)請(qǐng)確保該序列號(hào)與AP唯一對(duì)應(yīng)，AP的序列號(hào)可以通過(guò)AP設(shè)備背面的標(biāo) 簽獲取。由于端口安全特性通過(guò)多種安全模式提供了 802.1X認(rèn)證的擴(kuò)展和組合應(yīng)用，因此在無(wú)特殊組 網(wǎng)要求的情況下，無(wú)線

9、環(huán)境中通常使用端口安全特性。3.4配置步驟3.4.1 AC的配置配置AC的接口#創(chuàng)建VLAN 100及其對(duì)應(yīng)的VLAN接口，并為該接口配置IP地址。AC將使用該接口的IP地址與 AP建立LWAPP隧道且AC通過(guò)VLAN 100與RADIUS服務(wù)器通信。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 125.100.1.4 16AC-Vlan-interface100 quit#倉(cāng)|建VLAN 200作為ESS接口的缺省VLAN。AC vlan

10、 200AC-vlan200 quit#創(chuàng)建VLAN 300作為Client接入的業(yè)務(wù)VLAN。AC vlan 300AC-vlan300 quit配置 AC 與 Switch 相連的 GigabitEthernet1/0/1 接口的屬性為 trunk，允許 VLAN 100、VLAN 200 和VLAN 300通過(guò)。AC interface GigabitEthernet1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 port trunk permit vlan 100 200 300AC-Gi

11、gabitEthernet1/0/1 quit配置ACL創(chuàng)建 ACL 3000。AC acl number 3000#定義規(guī)則0,允許目的地址為8.125.0.0/16的報(bào)文通過(guò)。AC-acl-adv-3000 rule 0 permit ip destination 8.125.0.0 0.0.255.255#定義規(guī)則1,禁止任何IP報(bào)文通過(guò)。AC-acl-adv-3000 rule 1 deny ipAC-acl-adv-3000 quit配置802.1X認(rèn)證#全局模式下使能端口安全。AC port-security enable#選擇802.1X認(rèn)證方式為EAP。AC dot1x aut

12、hentication-method eap配置認(rèn)證策略#創(chuàng)建RADIUS方案office并進(jìn)入其視圖。AC radius scheme office#配置RADIUS方案服務(wù)類(lèi)型為擴(kuò)展型。AC-radius-office server-type extended#設(shè)置主認(rèn)證RADIUS服務(wù)器的IP地址8.125.1.1。AC-radius-office primary authentication 8.125.1.1#設(shè)置主計(jì)費(fèi)RADIUS服務(wù)器的IP地址8.125.1.1。AC-radius-office primary accounting 8.125.1.1#設(shè)置系統(tǒng)與認(rèn)證RADIUS

13、服務(wù)器交互報(bào)文時(shí)的共享密鑰為123456。AC-radius-office key authentication 123456#設(shè)置系統(tǒng)與計(jì)費(fèi)RADIUS服務(wù)器交互報(bào)文時(shí)的共享密鑰為123456。AC-radius-office key accounting 123456#配置發(fā)送給RADIUS服務(wù)器的用戶(hù)名不攜帶域名。AC-radius-office user-name-format without-domain#設(shè)置設(shè)備發(fā)送RADIUS報(bào)文時(shí)使用的源IP地址125.100.1.4。AC-radius-radius nas-ip 125.100.1.4AC-radius-radius qui

14、t配置認(rèn)證域#創(chuàng)建office域并進(jìn)入其視圖。AC domain office#為lan-access用戶(hù)配置認(rèn)證方案為RADIUS方案，方案名為office。AC-isp-office authentication lan-access radius-scheme office#為lan-access用戶(hù)配置授權(quán)方案為RADIUS方案，方案名為office。AC-isp-office authorization lan-access radius-scheme office#為lan-access用戶(hù)配置計(jì)費(fèi)為none，不計(jì)費(fèi)。AC-isp-office accounting lan-acc

15、ess noneAC-isp-office quit配置無(wú)線接口#創(chuàng)建WLAN-ESS1接口，并設(shè)置端口的鏈路類(lèi)型為Hybrid類(lèi)型。AC interface wlan-ess 1AC-WLAN-ESS1 port link-type hybrid#配置WLAN-ESS1端口的PVID為200,禁止VLAN 1通過(guò)并允許VLAN 200不帶tag通過(guò)。AC-WLAN-ESS1 undo port hybrid vlan 1AC-WLAN-ESS1 port hybrid vlan 200 untaggedAC-WLAN-ESS1 port hybrid pvid vlan 200#使能MAC-

16、VLAN功能。AC-WLAN-ESS1 mac-vlan enable#在WLAN-ESS1 口上配置端口安全，選用802.1X認(rèn)證方式。AC-WLAN-ESS1 port-security port-mode userlogin-secure-extAC-WLAN-ESS1 port-security tx-key-type 11key#關(guān)閉802.1x握手功能AC-WLAN-ESS1 undo dot1x handshake#關(guān)閉802.1x多播觸發(fā)功能AC-WLAN-ESS1 undo dot1x multicast-trigger#在WLAN-ESS1端口上指定802.1X認(rèn)證的強(qiáng)制認(rèn)

17、證域?yàn)閛ffice。AC-WLAN-ESS1 dot1x mandatory-domain officeAC-WLAN-ESS1 quit配置無(wú)線服務(wù)#創(chuàng)建crypto類(lèi)型的服務(wù)模板1。AC wlan service-template 1 crypto#設(shè)置當(dāng)前服務(wù)模板的SSID為service。AC-wlan-st-1 ssid service#將WLAN-ESS1接口綁定到服務(wù)模板1。AC-wlan-st-1 bind wlan-ess 1#配置加密套件為CCMP。AC-wlan-st-1 cipher-suite ccmp#配置安全信息元素為RSN。AC-wlan-st-1 securi

18、ty-ie rsn#啟用無(wú)線服務(wù)。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit配置射頻接口并綁定服務(wù)模板#創(chuàng)建AP的管理模板，名稱(chēng)為officeap，型號(hào)名稱(chēng)選擇WA2620E-AGN，并配置AP的序列號(hào)。AC wlan ap officeap model WA2620E-AGNAC-wlan-ap-officeap serial-id 21023529G007C000020#進(jìn)入radio 2射頻視圖。AC-wlan-ap-officeap radio 2#將在AC上配置的服務(wù)模板1與射頻2進(jìn)行關(guān)聯(lián)，Client通過(guò)服務(wù)模板1接入

19、VLAN 300。AC-wlan-ap-officeap-radio-2 service-template 1 vlan-id 300使能 AP 的 radio 2。AC-wlan-ap-officeap-radio-2 radio enableAC-wlan-ap-officeap-radio-2 quitAC-wlan-ap-officeap quit(9)配置AC的默認(rèn)路由#將AC的默認(rèn)路由指向交換機(jī)，地址為125.100.1.1AC ip route-static 0.0.0.0 0.0.0.0 125.100.1.13.4.2 Switch 的配置#創(chuàng)建VLAN 100和VLAN 3

20、00,其中VLAN 100用于轉(zhuǎn)發(fā)AC和AP間LWAPP隧道內(nèi)的流量，VLAN300為無(wú)線用戶(hù)接入的VLAN。 system-viewSwitch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quit配置 Switch 與 AC 相連的 GigabitEthernet1/0/1 接口的屬性為 trunk，當(dāng)前 trunk 口的 PVID 為 100， 允許VLAN 100通過(guò)。Switch interface GigabitEthernet1/0/1Switch-GigabitEthernet1/0/1 port link-

21、type trunkSwitch-GigabitEthernet1/0/1 port trunk permit vlan 100Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit#配置Switch與AP相連的GigabitEthernet1/0/2接口屬性為access，并允許VLAN 100通過(guò)。Switch interface GigabitEthernet1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitc

22、h-GigabitEthernet1/0/2 port access vlan 100#使能PoE功能。Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit#配置Switch使能DHCP服務(wù)。Switch dhcp enable#創(chuàng)建名為vlan100的DHCP地址池，配置地址池范圍為125.100.1.10-125.100.1.20，網(wǎng)關(guān)地址 為125.100.1.4，為AP分配IP地址。Switch dhcp server ip-pool vlan100 extendedSwitch-dhcp-pool

23、-vlan100 network ip range 125.100.1.10 125.100.1.20Switch-dhcp-pool-vlan100 network mask 255.255.0.0Switch-dhcp-pool-vlan100 gateway-list 125.100.1.4Switch-dhcp-pool-vlan100 quit#創(chuàng)建名為vlan300的DHCP地址池，配置地址池范圍為125.30.0.2-125.30.0.5，網(wǎng)關(guān)地址為 125.30.0.6，為 Client 分配 IP 地址。Switch dhcp server ip-pool vlan300 e

24、xtendedSwitch-dhcp-pool-vlan300 network ip range 125.30.0.2 125.30.0.5Switch-dhcp-pool-vlan300 network mask 255.255.0.0Switch-dhcp-pool-vlan300 gateway-list 125.30.0.6Switch-dhcp-pool-vlan300 quit3.4.3 Windows Server 2003 IAS 服務(wù)器的配置#如圖2所示，單擊“開(kāi)始”菜單，選擇管理工具/Internet驗(yàn)證服務(wù)菜單項(xiàng)，單擊進(jìn)入“Internet 驗(yàn)證服務(wù)”。圖2進(jìn)入Inter

25、net驗(yàn)證服務(wù)J我的電瞻Active Directory用戶(hù)和計(jì)算機(jī) Active Directory域和信任關(guān)系 Active Directory 站點(diǎn).和服薈- DNSInternet信息服茗IIS）管理器戶(hù)Internet驗(yàn)證服普管理您的服泰器TindowE責(zé)源管理器遠(yuǎn)程桌面連接Active Directory 用戶(hù)和 計(jì)算機(jī)所有程序危）卜匚卜控制面極（JC）%管理工具事件查看器打印機(jī)和隹真 。.幫助和支持 廣搜索 藝7運(yùn)行.注鎧也）匝|也開(kāi)始| #畫(huà)畫(huà)| E未命名一畫(huà)Mi crosoft . NET Framework 1. 1 配置Mi crosoft . NET Framework

26、 1. 1 向?qū)?分布式文件系統(tǒng) 服務(wù)管理磨的服務(wù)黑計(jì)算機(jī)管理路由和遠(yuǎn)程訪問(wèn)配置磨的服務(wù)器向?qū)杭芾砥魇录榭雌魇跈?quán)數(shù)據(jù)源（ODBC）網(wǎng)絡(luò)負(fù)載平衡管理將性能域安全策略域控制器安全策略遠(yuǎn)程桌面證書(shū)頒發(fā)機(jī)何終端服務(wù)管理黑終端服務(wù)配置終端服務(wù)器授權(quán)鮑件服務(wù)#如螫 所示，在左邊菜單中單擊“遠(yuǎn)程訪問(wèn)策略”標(biāo)簽，選擇“ 到Microsoft路由選擇和遠(yuǎn)程訪問(wèn) 服務(wù)器的連接”，雙擊進(jìn)入。圖3選擇遠(yuǎn)程訪問(wèn)策略Internet羞還服務(wù)文件（E）操作查看既）幫助（W啟面IX曹圈|囹個(gè)璋甄詭云;d瓦露甬選棒和園I面司服葬器酎珪接窖1 Internet驗(yàn)證服蓉缽地）+ _| RABIITS 客戶(hù)端I遠(yuǎn)程訪問(wèn)記錄慧遠(yuǎn)

27、程訪問(wèn)策略+ _i連接請(qǐng)求處理亨到其它訪問(wèn)服努器的連接#如圖4所示，點(diǎn)擊編輯配置文件按鈕，編輯用戶(hù)的訪問(wèn)策略。圖4編輯用戶(hù)使用的遠(yuǎn)程策略的配置文件#如圖當(dāng)所示，選取“高級(jí)”頁(yè)簽，點(diǎn)擊添加按鈕，彈出“添加屬性”窗口。圖5編輯撥入配置文件#如圖6所示，選取Filter-ID選項(xiàng)，雙擊Filter-ID,彈出“多值屬性信息”對(duì)話(huà)框。圖6添加Filter-ID屬性#如圖7所示，在“多值屬性信息”對(duì)話(huà)框中點(diǎn)擊添加按鈕，彈出“屬性信息”窗口。圖7添加多值屬性信息#如圖8所示，在“屬性信息”窗口中配置Fileter-ID屬性值。選擇字符串形式，輸入值3000，表 示下發(fā)序號(hào)為3000的ACL，單擊確定按鈕，

28、完成屬性添加。圖8在屬性信息中添加所要下發(fā)的ACL屆性信息聲生名:屬性號(hào)：屬性格式：|OGtetString輸入屬性值所用的韜式:際字符串度C十六進(jìn)制如|3000確定 | 職稍 I#完成屬性添加后如下，點(diǎn)擊應(yīng)用按鈕，然后點(diǎn)擊確定按鈕，完成操作。圖9添加屬性完成3.5驗(yàn)證配置Client通過(guò)802.1X認(rèn)證上線后，執(zhí)行display connection命令，查看802.1X用戶(hù)上線后的 基本信息。觀察上線信息的Index,本例中Index值為27。 display connectionIndex=27 ,Username=lwofficeMAC=00-24-01-EB-FA-EEIP=N/AI

29、Pv6=N/AOnline=00h00m09sTotal 1 connection(s) matched.通過(guò)執(zhí)行display connection ucibindex 27命令，得到Client通過(guò)802.1X認(rèn)證后的詳細(xì)信 息，可以查看到授權(quán)ACL下發(fā)成功。 display connection ucibindex 27Index=27 , Username=lwofficeMAC=00-24-01-EB-FA-EEIP=N/AIPv6=N/AAccess=8021X ,AuthMethod=EAPPort Type=Wireless-802.11,Port Name=WLAN-DBSS

30、1:0Initial VLAN=200, Authorization VLAN=N/AACL Group=3000User Profile=N/ACAR=DisableTraffic Statistic:InputOctets =0OutputOctets =0InputGigawords=0OutputGigawords=0Priority=DisableSessionTimeout=N/A, Terminate-Action=N/AStart=2013-11-20 19:34:23 ,Current=2013-11-20 19:34:38 ,Online=00h00m15sTotal 1

31、connection matched.Client認(rèn)證成功并獲取IP地址后，能ping通8.125.0.0/16網(wǎng)段，無(wú)法ping通其他網(wǎng)段，證明 授權(quán)ACL已生效。C:Documents and SettingsAdministratorping 8.125.1.1Pinging 8.125.1.1 with 32 bytes of data:Replyfrom8.125.1.1:bytes=32time=6msTTL=254Replyfrom8.125.1.1:bytes=32time=12msTTL=254Replyfrom8.125.1.1:bytes=32time=46msTTL=2

32、54Replyfrom8.125.1.1:bytes=32time=25msTTL=254Ping statistics for 8.125.1.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:Minimum = 6ms, Maximum = 46ms, Average = 22msC:Documents and SettingsAdministratorping 125.100.1.1Pinging 125.100.1.1 with 32

33、bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 125.100.1.1:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),(4)通過(guò)display acl命令可以查看到ACL 3000規(guī)則的匹配數(shù)量(略)。3.6配置文件#port-security enable#dot1x authentication-method eap#acl number 3000rule 0 per

34、mit ip destination 8.125.0.0 0.0.255.255rule 1 deny ip#vlan 100#vlan 200#vlan 300#radius scheme officeserver-type extendedprimary authentication 8.125.1.1primary accounting 8.125.1.1key authentication cipher $c$3$EnNB6wxpjYSAJMiU2aaeNArZaBzSAl3G5A=key accounting cipher $c$3$o9Wa5f+anDJ56GonM9lE7c8ot

35、vLF06HKGA= user-name-format without-domainnas-ip 125.100.1.4#domain officeauthentication lan-access radius-scheme officeauthorization lan-access radius-scheme officeaccounting lan-access noneaccess-limit disablestate activeidle-cut disableself-service-url disable#wlan service-template 1 cryptossid s

36、ervicebind WLAN-ESS 1cipher-suite ccmpsecurity-ie rsnservice-template enable#interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan 100 200 300#interface Vlan-interface100ip address 125.100.1.4 255.255.0.0#interface WLAN-ESS1port link-type hybridundo port hybrid vlan 1port hybrid v

37、lan 200 untaggedport hybrid pvid vlan 200mac-vlan enableport-security port-mode userlogin-secure-extport-security tx-key-type 11keyundo dot1x handshakedot1x mandatory-domain officeundo dot1x multicast-trigger#wlan ap officeap model WA2620E-AGN id 1serial-id 21023529G007C000020radio 1radio 2service-t

38、emplate 1 vlan-id 300radio enable#ip route-static 0.0.0.0 0.0.0.0 125.100.1.1#Switch:#dhcp enable#vlan 100#vlan 300#dhcp server ip-pool vlan100 extendednetwork ip range 125.100.1.10 125.100.1.20network mask 255.255.0.0gateway-list 125.100.1.4dhcp server ip-pool vlan300 extendednetwork ip range 125.3

39、0.0.2 125.30.0.5network mask 255.255.0.0gateway-list 125.30.0.6#interface GigabitEthernet1/0/1port link-mode bridgeport link-type trunkport trunk permit vlan 1 100port trunk pvid vlan 100#interface GigabitEthernet1/0/2port link-mode bridge port access vlan 100 poe enable#4 802.1X認(rèn)證通過(guò)iMC服務(wù)器下發(fā)ACL配置舉例4

40、.1組網(wǎng)需求如圖10所示，iMC服務(wù)器作為RADIUS服務(wù)器，對(duì)Client進(jìn)行認(rèn)證并下發(fā)授權(quán)ACL。具體應(yīng)用需 求如下：Client需要通過(guò)802.1X認(rèn)證才能上線；Client通過(guò)認(rèn)證后允許訪問(wèn)網(wǎng)絡(luò)8.125.0.0/16,其他網(wǎng)絡(luò)資源不允許訪問(wèn)。防止用戶(hù)通過(guò)惡意假冒其它域賬號(hào)從本端口接入網(wǎng)絡(luò)。圖10授權(quán)ACL下發(fā)典型配置組網(wǎng)圖Vlan-int100Vlan-int100125 100 1 4/16125 100 1 1/16Switch/DHCP server ACClientiMC server8.125.1.1/164.2配置思路由于部分802.1X客戶(hù)端不支持與設(shè)備進(jìn)行握手報(bào)文的交

41、互，因此需要關(guān)閉設(shè)備的在線用戶(hù)握手功能，避免該類(lèi)型的在線用戶(hù)因沒(méi)有回應(yīng)握手報(bào)文而被強(qiáng)制下線。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)，802.1X認(rèn)證可以由客戶(hù)端主動(dòng)發(fā)起，或由無(wú)線模塊發(fā)現(xiàn)用戶(hù)后自動(dòng)觸 發(fā)，不需要通過(guò)端口定期發(fā)送802.1X組播報(bào)文的方式來(lái)觸發(fā)。同時(shí)，組播觸發(fā)報(bào)文會(huì)占用無(wú) 線的通信帶寬，因此建議無(wú)線局域網(wǎng)中的接入設(shè)備關(guān)閉802.1X組播觸發(fā)功能。為了防止用戶(hù)通過(guò)惡意假冒其它域賬號(hào)從本端口接入網(wǎng)絡(luò)，配置端口的強(qiáng)制認(rèn)證域。4.3配置注意事項(xiàng)iMC服務(wù)器授權(quán)下發(fā)的ACL必須是AC設(shè)備上已經(jīng)配置的ACL，且ACL的內(nèi)容不能為空，否 則802.1X無(wú)法認(rèn)證成功。配置AP的序列號(hào)時(shí)請(qǐng)確保該序列號(hào)與AP唯一對(duì)應(yīng)，

42、AP的序列號(hào)可以通過(guò)AP設(shè)備背面的標(biāo) 簽獲取。由于端口安全特性通過(guò)多種安全模式提供了 802.1X認(rèn)證的擴(kuò)展和組合應(yīng)用，因此在無(wú)特殊組 網(wǎng)要求的情況下，無(wú)線環(huán)境中通常使用端口安全特性。4.4配置步驟4.4.1 AC的配置配置AC的接口#創(chuàng)建VLAN 100及其對(duì)應(yīng)的VLAN接口，并為該接口配置IP地址。AC將使用該接口的IP地址與 AP建立LWAPP隧道，且AC通過(guò)VLAN 100與RADIUS服務(wù)器通信。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip ad

43、dress 125.100.1.4 16AC-Vlan-interface100 quit#創(chuàng)建VLAN 200作為WLAN-ESS接口配置使用的VLAN。AC vlan 200AC-vlan200 quit#創(chuàng)建VLAN 300作為無(wú)線用戶(hù)接入VLAN，RADIUS服務(wù)器會(huì)下發(fā)VLAN 300作為授權(quán)VLAN。AC vlan 300AC-vlan300 quit配置 AC 與 Switch 相連的 GigabitEthernet1/0/1 接口的屬性為 trunk，允許 VLAN 100、VLAN 200 和VLAN 300通過(guò)。AC interface GigabitEthernet1/0

44、/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 port trunk permit vlan 100 200 300AC-GigabitEthernet1/0/1 quit配置ACL創(chuàng)建 ACL 3000。AC acl number 3000#定義規(guī)則0，允許目的地址為8.125.0.0/16的報(bào)文通過(guò)。AC-acl-adv-3000 rule 0 permit ip destination 8.125.0.0 0.0.255.255#定義規(guī)則1,禁止任何IP報(bào)文通過(guò)。AC-acl-adv-3000 r

45、ule 1 deny ipAC-acl-adv-3000 quit配置802.1X認(rèn)證#全局模式下使能端口安全。AC port-security enable#選擇802.1X認(rèn)證方式為EAP。AC dot1x authentication-method eap配置認(rèn)證策略#創(chuàng)建RADIUS方案office并進(jìn)入其視圖。AC radius scheme office#配置RADIUS方案服務(wù)類(lèi)型為擴(kuò)展型。AC-radius-office server-type extended#設(shè)置主認(rèn)證RADIUS服務(wù)器的IP地址8.125.1.1。AC-radius-office primary auth

46、entication 8.125.1.1#設(shè)置主計(jì)費(fèi)RADIUS服務(wù)器的IP地址8.125.1.1。AC-radius-office primary accounting 8.125.1.1#設(shè)置系統(tǒng)與認(rèn)證RADIUS服務(wù)器交互報(bào)文時(shí)的共享密鑰為123456。AC-radius-office key authentication 123456#設(shè)置系統(tǒng)與計(jì)費(fèi)RADIUS服務(wù)器交互報(bào)文時(shí)的共享密鑰為123456。AC-radius-office key accounting 123456#配置發(fā)送給RADIUS服務(wù)器的用戶(hù)名不攜帶域名。AC-radius-office user-name-for

47、mat without-domain#設(shè)置設(shè)備發(fā)送RADIUS報(bào)文時(shí)使用的源IP地址125.100.1.4。AC-radius-radius nas-ip 125.100.1.4AC-radius-radius quit配置認(rèn)證域#創(chuàng)建office域并進(jìn)入其視圖。AC domain office#為lan-access用戶(hù)配置認(rèn)證方案為RADIUS方案，方案名為office。AC-isp-office authentication lan-access radius-scheme office#為lan-access用戶(hù)配置授權(quán)方案為RADIUS方案，方案名為office。AC-isp-off

48、ice authorization lan-access radius-scheme office#為lan-access用戶(hù)配置計(jì)費(fèi)方案為none，不計(jì)費(fèi)。AC-isp-office accounting lan-access noneAC-isp-office quit配置無(wú)線接口，使能端口安全#創(chuàng)建WLAN-ESS1接口，并設(shè)置端口的鏈路類(lèi)型為Hybrid類(lèi)型。AC interface wlan-ess 1AC-WLAN-ESS1 port link-type hybrid#配置WLAN-ESS1端口的PVID為200,禁止VLAN 1通過(guò)并允許VLAN 200不帶tag通過(guò)。AC-WL

49、AN-ESS1 undo port hybrid vlan 1AC-WLAN-ESS1 port hybrid vlan 200 untaggedAC-WLAN-ESS1 port hybrid pvid vlan 200#使能MAC-VLAN功能。AC-WLAN-ESS1 mac-vlan enable#在WLAN-ESS1 口上配置端口安全，選用802.1X認(rèn)證方式。AC-WLAN-ESS1 port-security port-mode userlogin-secure-extAC-WLAN-ESS1 port-security tx-key-type 11key#關(guān)閉802.1X握手功

50、能AC-WLAN-ESS1 undo dot1x handshake#關(guān)閉802.1X多播觸發(fā)功能AC-WLAN-ESS1 undo dot1x multicast-trigger#在WLAN-ESS1端口上指定802.1X認(rèn)證的強(qiáng)制認(rèn)證域?yàn)閛ffice。AC-WLAN-ESS1 dot1x mandatory-domain officeAC-WLAN-ESS1 quit配置無(wú)線服務(wù)#創(chuàng)建crypto類(lèi)型的服務(wù)模板1。AC wlan service-template 1 crypto#設(shè)置當(dāng)前服務(wù)模板的SSID為service。AC-wlan-st-1 ssid service#將WLAN-E

51、SS1接口綁定到服務(wù)模板1。AC-wlan-st-1 bind wlan-ess 1#配置加密套件為CCMP。AC-wlan-st-1 cipher-suite ccmp#配置安全信息元素為RSN。AC-wlan-st-1 security-ie rsn#啟用無(wú)線服務(wù)。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit配置射頻接口并綁定服務(wù)模板#創(chuàng)建AP的管理模板，名稱(chēng)為officeap，型號(hào)名稱(chēng)選擇WA2620E-AGN，并配置AP的序列號(hào)。AC wlan ap officeap model WA2620E-AGNAC-wlan-ap-

52、officeap serial-id 21023529G007C000020#進(jìn)入radio 2射頻視圖。AC-wlan-ap-officeap radio 2#將在AC上配置的服務(wù)模板1與射頻2進(jìn)行關(guān)聯(lián)，且Client通過(guò)服務(wù)模板1接入VLAN 300。AC-wlan-ap-officeap-radio-2 service-template 1 vlan-id 300# 使能 AP 的 radio 2。AC-wlan-ap-officeap-radio-2 radio enableAC-wlan-ap-officeap-radio-2 quitAC-wlan-ap-officeap quit

53、(9)配置AC的默認(rèn)路由#將AC的默認(rèn)路由指向交換機(jī)，地址為125.100.1.1AC ip route-static 0.0.0.0 0.0.0.0 125.100.1.14.4.2 Switch 的配置#創(chuàng)建VLAN 100和VLAN 300,其中VLAN 100用于轉(zhuǎn)發(fā)AC和AP間LWAPP隧道內(nèi)的流量，VLAN300為無(wú)線用戶(hù)接入的VLAN。 system-viewSwitch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quit# 配置 Switch 與 AC 相連的 GigabitEthernet1/0/1 接口

54、的屬性為 trunk，當(dāng)前 trunk 口的 PVID 為 100， 允許VLAN 100通過(guò)。Switch interface GigabitEthernet1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 port trunk permit vlan 100Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit#配置Switch與AP相連的GigabitEtherne

55、t1/0/2接口屬性為access，并允許VLAN 100通過(guò)。Switch interface GigabitEthernet1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitEthernet1/0/2 port access vlan 100#使能PoE功能。Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit#配置Switch使能DHCP服務(wù)。Switch dhcp enable#創(chuàng)建名為vlan100的DHCP地址

56、池，配置地址池范圍為125.100.1.10-125.100.1.20，網(wǎng)關(guān)地址 為125.100.1.4，為AP分配IP地址。Switch dhcp server ip-pool vlan100 extendedSwitch-dhcp-pool-vlan100 network ip range 125.100.1.10 125.100.1.20Switch-dhcp-pool-vlan100 network mask 255.255.0.0Switch-dhcp-pool-vlan100 gateway-list 125.100.1.4Switch-dhcp-pool-vlan100 qui

57、t#創(chuàng)建名為vlan300的DHCP地址池，配置地址池范圍為125.30.0.2-125.30.0.5，網(wǎng)關(guān)地址為 125.30.0.6，為 Client 分配 IP 地址。Switch dhcp server ip-pool vlan300 extendedSwitch-dhcp-pool-vlan300 network ip range 125.30.0.2 125.30.0.5Switch-dhcp-pool-vlan300 network mask 255.255.0.0Switch-dhcp-pool-vlan300 gateway-list 125.30.0.6Switch-dhc

58、p-pool-vlan300 quit4.4.3 iMC服務(wù)器的配置說(shuō)明下面以 iMC 為例(使用 iMC 版本為：iMC PLAT 5.2(E0401)、iMC UAM 5.2(E0402)，說(shuō)明RADIUS服務(wù)器的基本配置。#增加接入設(shè)備。登錄進(jìn)入iMC管理平臺(tái)，選擇“業(yè)務(wù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的接入用戶(hù)管理/接入設(shè)備管理/接入設(shè) 備配置菜單項(xiàng)，單擊“增加”按鈕，進(jìn)入“增加接入設(shè)備”頁(yè)面，單擊手工增加按鈕，進(jìn)入“手 工增加接入設(shè)備”頁(yè)面。設(shè)置與AC交互報(bào)文時(shí)使用的認(rèn)證、計(jì)費(fèi)共享密鑰為“123456”；設(shè)置認(rèn)證及計(jì)費(fèi)的端口號(hào)分別為“1812”和“1813”；選擇業(yè)務(wù)類(lèi)型為“LAN接入業(yè)務(wù)”；選

59、擇接入設(shè)備類(lèi)型為“H3C”；選擇或手工增加接入設(shè)備，添加IP地址為125.100.1.4的接入設(shè)備；其它參數(shù)采用缺省值，并單擊 確定按鈕完成操作。圖11增加接入設(shè)備#增加接入規(guī)則配置。選擇“業(yè)務(wù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的用戶(hù)接入管理/接入規(guī)則管理菜單項(xiàng)，單擊 增加按鈕，創(chuàng)建 一條接入規(guī)則。接入規(guī)則名輸入“ office ”。授權(quán)信息中證書(shū)模式選擇EAP證書(shū)認(rèn)證，與AC上802.1X的認(rèn)證保持一致。認(rèn)證證書(shū)類(lèi)型選擇EAP-PEAP。下發(fā)ACL選擇3000。其它參數(shù)采用缺省值，并單擊 確定按鈕完成操作。圖12增加接入規(guī)則封業(yè)無(wú)i用戶(hù)投入H理理,第仙擂入蜘用R辜信19office, ：1 二：T.W -

60、 117 !：| VLAil -set Profile 7 .E牘；iCI if曲API證君認(rèn)證上ft :啟用RSAU3.- il T. !Kbps#增加接入服務(wù)配置。選擇“業(yè)務(wù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的用戶(hù)接入管理/服務(wù)配置管理菜單項(xiàng)，單擊 增加按鈕，創(chuàng)建 一條接入服務(wù)。服務(wù)名輸入“1x_ACL”。缺省接入規(guī)則選擇“ office”。其它參數(shù)采用缺省值，并單擊 確定按鈕完成操作。圖13添加服務(wù)配置#增加用戶(hù)配置。選擇“用戶(hù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的接入用戶(hù)視圖/所有接入用戶(hù)/接入用戶(hù)列表菜單項(xiàng)，單擊 增 加按鈕，增加一個(gè)接入用戶(hù)。單擊“增加用戶(hù)”。用戶(hù)姓名輸入“ lw”。證件號(hào)碼輸入“ lw”。 其