TSM通過與支持無線802.1X協(xié)議的交換機(jī)聯(lián)動(dòng)

1、文檔名稱文檔密級(jí)TSM通過與支持無線802.1X協(xié)議的交換機(jī)聯(lián)動(dòng)關(guān)于本章無線802.1X交換機(jī)接入控制方式是TSM通過與支持無線802.1X協(xié)議的交換機(jī)聯(lián)動(dòng)，實(shí)現(xiàn)無線終端的接入控制。背景信息根據(jù)實(shí)現(xiàn)方式不同，無線802.1X交換機(jī)接入控制有三種方式，如表1-1所示。無線802.1X交換機(jī)接入控制的三種方式類型說明要求基本的無線802.1X交換機(jī)接入控制終端用戶在認(rèn)證通過后，所有網(wǎng)絡(luò)資源都能訪問，不區(qū)分隔離域和認(rèn)證后域。無線802.1X交換機(jī)必須支持打開或關(guān)閉端口功能。基于動(dòng)態(tài)VLAN的無線802.1X交換機(jī)接入控制利用動(dòng)態(tài)VLAN，實(shí)現(xiàn)根據(jù)不同認(rèn)證結(jié)果控制終端用戶對(duì)隔離域和認(rèn)證后域的訪問。無線

2、802.1X交換機(jī)必須支持動(dòng)態(tài)下發(fā)VLAN功能?；趧?dòng)態(tài)ACL的無線802.1X交換機(jī)接入控制利用動(dòng)態(tài)ACL，實(shí)現(xiàn)根據(jù)不同認(rèn)證結(jié)果控制終端用戶對(duì)隔離域和認(rèn)證后域的訪問。無線802.1X交換機(jī)必須支持動(dòng)態(tài)下發(fā)ACL功能。1.1 TSM與無線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過程TSM與無線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過程，以便管理員了解兩者之間的交互過程及在出現(xiàn)問題時(shí)排查故障。1.2 客戶需要解決的問題介紹客戶在無線終端主機(jī)接入控制需要解決的問題。1.3 解決問題的思路利用TSM與無線802.1X交換機(jī)聯(lián)動(dòng)特性，可拒絕身份不合法無線終端接入網(wǎng)絡(luò)。1.4 配置步驟舉例說明如何配置TS

3、M與無線802.1X交換機(jī)聯(lián)動(dòng)，以便管理員拒絕身份不合法的無線終端接入公司網(wǎng)絡(luò)。1.5 驗(yàn)證配置結(jié)果在無線終端進(jìn)行身份認(rèn)證，檢查認(rèn)證通過后是否能夠訪問無線網(wǎng)絡(luò)。TSM與無線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過程TSM與無線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過程，以便管理員了解兩者之間的交互過程及在出現(xiàn)問題時(shí)排查故障。TSM與無線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過程如圖1-1所示。TSM與無線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過程a) 客戶需要解決的問題介紹客戶在無線終端主機(jī)接入控制需要解決的問題。X企業(yè)市場(chǎng)部安排在一樓辦公。一樓部署了供無線終端接入的無線網(wǎng)絡(luò)。員工使用便攜式計(jì)

4、算機(jī)通過無線方式接入公司網(wǎng)絡(luò)進(jìn)行辦公。一樓屬于開放辦公場(chǎng)所，無線網(wǎng)絡(luò)沒有開啟身份認(rèn)證功能，非公司員工攜帶便攜式計(jì)算機(jī)可輕易接入公司網(wǎng)絡(luò)，存在泄密風(fēng)險(xiǎn)。管理員希望找到一種方法拒絕身份不合法的無線終端接入公司網(wǎng)絡(luò)。b) 解決問題的思路利用TSM與無線802.1X交換機(jī)聯(lián)動(dòng)特性，可拒絕身份不合法無線終端接入網(wǎng)絡(luò)。要拒絕身份不合法無線終端接入網(wǎng)絡(luò)，首先要識(shí)別終端用戶的身份，根據(jù)身份認(rèn)證結(jié)果決定是否允許接入網(wǎng)絡(luò)。如果交換機(jī)支持無線802.1X協(xié)議，則建議管理員采用TSM與無線802.1X交換機(jī)聯(lián)動(dòng)，對(duì)無線終端實(shí)施接入控制。在終端用戶處于未認(rèn)證狀態(tài)時(shí)，無線802.1X交換機(jī)只放行無線終端的認(rèn)證報(bào)文，其他類

5、型的報(bào)文則會(huì)被無線802.1X交換機(jī)丟棄，無線通道處于關(guān)閉狀態(tài)。如果終端用戶需要接入網(wǎng)絡(luò)，必須先輸入用戶名和密碼校驗(yàn)自己的身份。如果終端用戶屬于合法用戶，則TSM通知無線802.1X交換機(jī)打開無線通道，允許終端用戶接入網(wǎng)絡(luò)。如果終端用戶的身份不合法，則TSM通知無線802.1X交換機(jī)關(guān)閉無線通道，只放行無線終端的認(rèn)證報(bào)文，禁止終端用戶接入網(wǎng)絡(luò)，從而達(dá)到拒絕身份不合法的終端用戶接入公司網(wǎng)絡(luò)的目的。c) 配置步驟舉例說明如何配置TSM與無線802.1X交換機(jī)聯(lián)動(dòng)，以便管理員拒絕身份不合法的無線終端接入公司網(wǎng)絡(luò)。背景信息組網(wǎng)如圖1-2所示。TSM與無線802.1X交換機(jī)聯(lián)動(dòng)組網(wǎng)TSM管理器和TSM控

6、制器均已經(jīng)部署完成，TSM版本為V100R002C07SPC200，TSM控制器IP地址為10.10.10.10。接入控制設(shè)備采用H3C WA2220E-AG，屬于胖AP（具有AP和AC功能），軟件版本為5.20，IP地址為192.168.5.21。無線終端由H3C WA2220E-AG接入公司網(wǎng)絡(luò)。網(wǎng)關(guān)地址為192.168.5.1。配置的目的是通過TSM與H3C WA2220E-AG聯(lián)動(dòng)，以便控制無線終端接入公司網(wǎng)絡(luò)，保證只有身份合法的終端用戶才能接入公司網(wǎng)絡(luò)。操作步驟配置H3C WA2220E-AG。1. 啟用端口安全，并配置802.1X的認(rèn)證方式為EAP。 AP port-securit

7、y enable AP dot1x authentication-method eap2. 配置RADIUS方案。 AP radius scheme ias AP-radius-ias server-type extended AP-radius-ias primary authentication 10.10.10.10 AP-radius-ias primary accounting 10.10.10.10 AP-radius-ias key authentication 123456 AP-radius-ias key accounting 123456 AP-radius-ias us

8、er-name-format without-domain AP-radius-ias timer realtime-accounting 3 AP-radius-ias undo stop-accounting-buffer enable AP-radius-ias accounting-on enable 3. 配置認(rèn)證域的AAA方案。配置涉及認(rèn)證和計(jì)費(fèi)兩個(gè)過程，在域中需要配置認(rèn)證和計(jì)費(fèi)方案。 AP-radius-ias domain ias AP-isp-ias authentication lan-access radius-scheme ias AP-isp-ias authoriz

9、ation lan-access radius-scheme ias AP-isp- ias accounting lan-access radius-scheme ias 4. 把配置的認(rèn)證域ias設(shè)置為系統(tǒng)缺省域。 AP-isp-ias domain default enable ias5. 配置無線接口，802.1X的認(rèn)證方式為EAP(對(duì)應(yīng)的端口安全認(rèn)證方式為userlogin-secure-ext)。 AP interface WLAN-BSS 2 AP-WLAN-BSS2 port-security port-mode userlogin-secure-ext AP-WLAN-BSS

10、2 port-security tx-key-type 11key AP-WLAN-BSS2 undo dot1x handshake AP-WLAN-BSS2 undo dot1x multicast-trigger 6. 配置無線服務(wù)模板。 AP-wlan-rp-rp wlan service-template 2 crypto AP-wlan-st-2 ssid h3c-dot1x-aes AP-wlan-st-2 authentication-method open-system AP-wlan-st-2 cipher-suite tkip AP-wlan-st-2 security-

11、ie wpa AP-wlan-st-2 service-template enable 7. 在射頻口綁定無線服務(wù)模板和無線接口。 AP interface WLAN-Radio 1/0/1 AP-WLAN-Radio1/0/1 service-template 2 interface WLAN-BSS 2 AP-WLAN-Radio1/0/1 quit 8. 配置VLAN虛接口。 AP interface Vlan-interface1 AP-Vlan-interface1 ip address 192.168.5.21 255.255.255.0 9. 配置缺省路由。 AP-Vlan-in

12、terface1 ip route-static 0.0.0.0 0.0.0.0 192.168.5.1 詳細(xì)的配置腳本請(qǐng)參見“WA2220E_AG.zip”。配置TSM管理器。1. 登錄TSM管理器，選擇“接入控制 > 接入控制配置 > 802.1x交換機(jī) > 交換機(jī)組”，單擊“增加”一個(gè)交換機(jī)組。根據(jù)交換機(jī)的配置，認(rèn)證密鑰和計(jì)費(fèi)密鑰都是123456。以開關(guān)無線通道方式控制無線終端接入網(wǎng)絡(luò)，則交換機(jī)類型可設(shè)置為任意一個(gè)選項(xiàng)。2. 單擊“確定”，進(jìn)入“交換機(jī)列表”，單擊“增加”，把H3C WA2220E-AG添加到列表中。3. 單擊“確定”。4. 單擊“確定”，選擇“標(biāo)準(zhǔn)80

13、2.1X無線網(wǎng)絡(luò)”，把無線網(wǎng)絡(luò)的SSID加入列表中。方便無法安裝TSM代理的無線終端，包括智能設(shè)備、Windows操作系統(tǒng)自帶的802.1X客戶端以及其他支持標(biāo)準(zhǔn)協(xié)議的第三方802.1X客戶端接入無線網(wǎng)絡(luò)。以開關(guān)無線通道方式控制無線終端接入網(wǎng)絡(luò)，通過認(rèn)證后允許訪問所有的網(wǎng)絡(luò)資源，管理員無須配置認(rèn)證前域、隔離域和認(rèn)證后域。配置TSM代理。1. 生成TSM代理安裝程序。在生成TSM代理安裝程序時(shí)，依次選中“啟用802.1X”、“啟用安全認(rèn)證”、“啟用無線802.1X協(xié)議”和“標(biāo)準(zhǔn)協(xié)議”。詳細(xì)的操作步驟請(qǐng)參見Secoway TSM 產(chǎn)品文檔中的“安裝 > 部署TSM代理 > 生成TSM代理安裝程序”。2. 在無線終端安裝TSM代理，安裝完成后重新啟動(dòng)無線終端。詳細(xì)的操作步驟請(qǐng)參見Secoway TSM 產(chǎn)品文檔中的“安裝 > TSM代理安裝