02-H3C WX系列AC Fit AP 802.1x無(wú)線認(rèn)證和CAMS配合典型配置舉例.doc

H3C WX系列AC+Fit AP 802.1x無(wú)線認(rèn)證和CAMS配合典型配置舉例關(guān)鍵詞：802.1x、RADIUS、EAPoL縮略語(yǔ)：縮略語(yǔ)英文全名中文解釋AAAAuthentication Authorization Accounting認(rèn)證、授權(quán)和計(jì)費(fèi)CAMSComprehensive Access Management System綜合訪問(wèn)管理服務(wù)器EAPExtensible Authentication Protocol可擴(kuò)展認(rèn)證協(xié)議EAPoLExtensible Authentication Protocol over LAN局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議RADIUSRemote Authentication Dial-In User Service遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)II目 錄1 特性簡(jiǎn)介12 應(yīng)用場(chǎng)合13 注意事項(xiàng)14 IEEE 802.1x遠(yuǎn)程認(rèn)證配置舉例14.1 組網(wǎng)需求14.2 配置思路24.3 使用版本24.4 配置步驟34.4.1 配置AC34.4.2 配置CAMS54.5 驗(yàn)證結(jié)果75 相關(guān)資料95.1 相關(guān)協(xié)議和標(biāo)準(zhǔn)95.2 其它相關(guān)資料101 特性簡(jiǎn)介IEEE 802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control），該協(xié)議適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式，通過(guò)開(kāi)關(guān)端口的狀態(tài)來(lái)實(shí)現(xiàn)對(duì)報(bào)文轉(zhuǎn)發(fā)的控制。2 應(yīng)用場(chǎng)合802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡(jiǎn)單地通過(guò)控制接入端口的開(kāi)/關(guān)狀態(tài)來(lái)實(shí)現(xiàn)，這種簡(jiǎn)化適用于無(wú)線局域網(wǎng)的接入認(rèn)證、點(diǎn)對(duì)點(diǎn)物理或邏輯端口的接入認(rèn)證，但在可運(yùn)營(yíng)、可管理的寬帶IP城域網(wǎng)中作為一種認(rèn)證方式具有極大的局限性。3 注意事項(xiàng)在配置過(guò)程中，請(qǐng)注意以下幾點(diǎn)：l 本配置舉例設(shè)置的是無(wú)線接口上的802.1x認(rèn)證。l 在配置RADIUS時(shí)，primary authentication、primary accounting、server-type、key一定要配置正確，并且和RADIUS服務(wù)器一致。值得注意的是如果使用的是CAMS服務(wù)器一定要把server-type設(shè)置成extended，這樣CAMS上一些私有設(shè)置才會(huì)被WX5002識(shí)別。l 在配置域時(shí)要把RADIUS方案和域關(guān)聯(lián)起來(lái)。l 在全局下使用dot1x authentication-method來(lái)指定Dot1x的認(rèn)證方法，在使用Windows和網(wǎng)卡所帶的客戶端登陸無(wú)線網(wǎng)絡(luò)時(shí)，dot1x認(rèn)證的方式僅為EAP方式。4 IEEE 802.1x遠(yuǎn)程認(rèn)證配置舉例4.1 組網(wǎng)需求本配置舉例中的AC使用的是WX5002無(wú)線控制器，AP使用的是WA2100無(wú)線局域網(wǎng)接入點(diǎn)。隨著網(wǎng)絡(luò)應(yīng)用的廣泛普及，公司越來(lái)越多核心業(yè)務(wù)會(huì)依托網(wǎng)絡(luò)平臺(tái)，但由于傳統(tǒng)共享網(wǎng)絡(luò)的特點(diǎn)，局域網(wǎng)網(wǎng)絡(luò)的安全問(wèn)題日趨明顯，本配置案例可以實(shí)現(xiàn)在網(wǎng)絡(luò)的接入層對(duì)非法用戶進(jìn)行控制，既可緩解安全問(wèn)題，又能節(jié)省寶貴的帶寬。本配置舉例通過(guò)在WX5002的WLAN-ESS 10端口上啟用802.1x認(rèn)證來(lái)達(dá)到對(duì)接入點(diǎn)Client進(jìn)行控制的目的。圖4-1 802.1x遠(yuǎn)程認(rèn)證組網(wǎng)圖 4.2 配置思路配置遠(yuǎn)程802.1x認(rèn)證，需要配置以下內(nèi)容：l 創(chuàng)建dot1x認(rèn)證時(shí)使用的RADIUS方案。l 創(chuàng)建dot1x認(rèn)證時(shí)使用的域，并在域中引用RADIUS方案作為AAA的認(rèn)證方案。l 在系統(tǒng)視圖下開(kāi)啟全局dot1x認(rèn)證。l 在需要認(rèn)證的端口下使能端口dot1x。4.3 使用版本display versionH3C Comware Platform SoftwareComware Software, Version 5.00, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C WX5002-128 uptime is 0 week, 2 days, 17 hours, 3 minutes CPU type: BCM MIPS 1250 700MHz 512M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Version: A Logic Version: 1.0 Basic BootROM Version: 1.13 Extend BootROM Version: 1.14 SLOT 1CON (Hardware)A, (Driver)1.0, (Cpld)1.0 SLOT 1GE1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0 SLOT 1GE1/0/2 (Hardware)A, (Driver)1.0, (Cpld)1.0 SLOT 1M-E1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0.4.4 配置步驟4.4.1 配置AC1. 主要配置步驟(1) 創(chuàng)建RADIUS方案ACradius scheme h3c AC-radius-h3cprimary authentication 8.1.1.4AC-radius-h3cprimary accounting 8.1.1.4AC-radius-h3ckey authentication h3cAC-radius-h3ckey accounting h3cAC-radius-h3cserver-type extendedAC-radius-h3cuser-name-format without-domain(2) 創(chuàng)建domain域ACdomain camsAC-isp-camsauthentication lan-access radius-scheme h3cAC-isp-camsauthorization lan-access radius-scheme h3cAC-isp-camsaccounting lan-access radius-scheme h3c(3) 全局使能802.1xACport-security enable(4) 配置dot1x ACdot1x authentication-method eap(5) 在WLAN-ESS 10 上使能dot1xACinterface WLAN-ESS 10 AC-WLAN-ESS10port-security port-mode userlogin-secure-extAC-WLAN-ESS10port-security tx-key-type 11key(6) 無(wú)線服務(wù)集設(shè)置ACwlan service-template 10AC-wlan-st-10ssid joe_dot1xAC-wlan-st-10bind WLAN-ESS 10AC-wlan-st-10authentication-method open-systemAC-wlan-st-10cipher-suite tkipAC-wlan-st-10security-ie wpaAC-wlan-st-10service-template enable2. 配置信息display current-configuration# version 5.00, 0001# sysname AC# domain default enable cams# port-security enable# dot1x authentication-method eap# vlan 1#vlan 2#radius scheme h3c server-type extended primary authentication 8.1.1.4 primary accounting 8.1.1.4 key authentication h3c key accounting h3c user-name-format without-domain accounting-on enabledomain cams authentication default radius-scheme h3c authorization default radius-scheme h3c accounting default radius-scheme h3c access-limit disable state active#wlan service-template 10 crypto ssid joe_dot1x bind WLAN-ESS 10 authentication-method open-system cipher-suite tkip security-ie wpa service-template enable#wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54#interface NULL0#interface LoopBack0#interface Vlan-interface1 ip address 20.1.1.200 255.255.255.0#interface Vlan-interface2 ip address 8.1.1.1 255.255.255.0#interface GigabitEthernet1/0/1#interface GigabitEthernet1/0/2 port access vlan 2#interface M-Ethernet1/0/1#interface WLAN-ESS10 port-security port-mode userlogin-secure-ext port-security tx-key-type 11key undo dot1x multicast-trigger#wlan ap ap1 model WA2100 serial-id h3c000fe258e820 radio 1 type 11g channel 1 max-power 3 service-template 10 radio enable# dhcp enable# load xml-configuration#user-interface aux 0user-interface vty 0 4#return4.4.2 配置CAMSCAMS版本：2.10試用版（CAMS 詳細(xì)版本號(hào)：2.10-R0209）1. 接入設(shè)備配置在CAMS控制界面，點(diǎn)擊左側(cè)菜單樹(shù)中系統(tǒng)管理-系統(tǒng)配置的“接入設(shè)備配置”。進(jìn)入接入設(shè)備配置，選擇“修改”-“增加”后，進(jìn)入接入設(shè)備配置頁(yè)面。根據(jù)設(shè)備上的RADIUS屬性配置，對(duì)參數(shù)進(jìn)行設(shè)置，然后“返回”“立即生效”。 2. 服務(wù)配置在CAMS控制界面，左側(cè)菜單下，首先進(jìn)入“系統(tǒng)配置”、“證書(shū)認(rèn)證策略配置”安裝證書(shū)。然后進(jìn)入“服務(wù)管理”、“服務(wù)配置”，在服務(wù)配置列表中，選擇“增加”，添加服務(wù)名，在計(jì)費(fèi)策略中選中配置好的計(jì)費(fèi)策略（計(jì)費(fèi)策略配置方法，此處略），這里選擇不計(jì)費(fèi)。無(wú)線EAP認(rèn)證方式，CAMS中支持兩種：peap、tls。此處選擇peap，之后確定即可。3. 用戶配置在CAMS控制界面，左側(cè)菜單下，進(jìn)入用戶管理，帳號(hào)用戶，選擇“增加”輸入用戶名和密碼。此處需要注意將剛才配置的服務(wù)選上。 4.5 驗(yàn)證結(jié)果l 在未通過(guò)802.1x認(rèn)證的情況下使用PC1訪問(wèn)internet，PC不能訪問(wèn)Internet上的資源。l 在PC1上使用802.1x客戶端進(jìn)行認(rèn)證，PC1可以通過(guò)802.1x認(rèn)證成功，并且可以正常訪問(wèn)internet上的資源。需根據(jù)不同設(shè)置認(rèn)證方式的不同（peap、tls）對(duì)無(wú)線客戶端進(jìn)行相應(yīng)的配置。(1) 添加SSID。(2) 首先在無(wú)線網(wǎng)絡(luò)屬性中，添加SSID，并選擇相應(yīng)的加密方式、認(rèn)證方式。(3) 在