TSM通過(guò)與支持無(wú)線802.1X協(xié)議的交換機(jī)聯(lián)動(dòng)

文檔名稱文檔密級(jí)TIME\@"yyyy-M-d"2013-3-21華為保密信息,未經(jīng)授權(quán)禁止擴(kuò)散第頁(yè)TSM通過(guò)與支持無(wú)線802.1X協(xié)議的交換機(jī)聯(lián)動(dòng)關(guān)于本章無(wú)線802.1X交換機(jī)接入控制方式是TSM通過(guò)與支持無(wú)線802.1X協(xié)議的交換機(jī)聯(lián)動(dòng)，實(shí)現(xiàn)無(wú)線終端的接入控制。背景信息根據(jù)實(shí)現(xiàn)方式不同，無(wú)線802.1X交換機(jī)接入控制有三種方式，如\o""表1-1所示。類型說(shuō)明要求基本的無(wú)線802.1X交換機(jī)接入控制終端用戶在認(rèn)證通過(guò)后，所有網(wǎng)絡(luò)資源都能訪問(wèn)，不區(qū)分隔離域和認(rèn)證后域。無(wú)線802.1X交換機(jī)必須支持打開或關(guān)閉端口功能?；趧?dòng)態(tài)VLAN的無(wú)線802.1X交換機(jī)接入控制利用動(dòng)態(tài)VLAN，實(shí)現(xiàn)根據(jù)不同認(rèn)證結(jié)果控制終端用戶對(duì)隔離域和認(rèn)證后域的訪問(wèn)。無(wú)線802.1X交換機(jī)必須支持動(dòng)態(tài)下發(fā)VLAN功能。基于動(dòng)態(tài)ACL的無(wú)線802.1X交換機(jī)接入控制利用動(dòng)態(tài)ACL，實(shí)現(xiàn)根據(jù)不同認(rèn)證結(jié)果控制終端用戶對(duì)隔離域和認(rèn)證后域的訪問(wèn)。無(wú)線802.1X交換機(jī)必須支持動(dòng)態(tài)下發(fā)ACL功能。\o""1.1TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過(guò)程\o""TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過(guò)程，以便管理員了解兩者之間的交互過(guò)程及在出現(xiàn)問(wèn)題時(shí)排查故障。\o""1.2客戶需要解決的問(wèn)題\o""介紹客戶在無(wú)線終端主機(jī)接入控制需要解決的問(wèn)題。\o""1.3解決問(wèn)題的思路\o""利用TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)特性，可拒絕身份不合法無(wú)線終端接入網(wǎng)絡(luò)。\o""1.4配置步驟\o""舉例說(shuō)明如何配置TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)，以便管理員拒絕身份不合法的無(wú)線終端接入公司網(wǎng)絡(luò)。\o""1.5驗(yàn)證配置結(jié)果\o""在無(wú)線終端進(jìn)行身份認(rèn)證，檢查認(rèn)證通過(guò)后是否能夠訪問(wèn)無(wú)線網(wǎng)絡(luò)。TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過(guò)程TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過(guò)程，以便管理員了解兩者之間的交互過(guò)程及在出現(xiàn)問(wèn)題時(shí)排查故障。TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)作接入控制的交互過(guò)程如\o""圖1-1所示。客戶需要解決的問(wèn)題介紹客戶在無(wú)線終端主機(jī)接入控制需要解決的問(wèn)題。X企業(yè)市場(chǎng)部安排在一樓辦公。一樓部署了供無(wú)線終端接入的無(wú)線網(wǎng)絡(luò)。員工使用便攜式計(jì)算機(jī)通過(guò)無(wú)線方式接入公司網(wǎng)絡(luò)進(jìn)行辦公。一樓屬于開放辦公場(chǎng)所，無(wú)線網(wǎng)絡(luò)沒(méi)有開啟身份認(rèn)證功能，非公司員工攜帶便攜式計(jì)算機(jī)可輕易接入公司網(wǎng)絡(luò)，存在泄密風(fēng)險(xiǎn)。管理員希望找到一種方法拒絕身份不合法的無(wú)線終端接入公司網(wǎng)絡(luò)。解決問(wèn)題的思路利用TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)特性，可拒絕身份不合法無(wú)線終端接入網(wǎng)絡(luò)。要拒絕身份不合法無(wú)線終端接入網(wǎng)絡(luò)，首先要識(shí)別終端用戶的身份，根據(jù)身份認(rèn)證結(jié)果決定是否允許接入網(wǎng)絡(luò)。如果交換機(jī)支持無(wú)線802.1X協(xié)議，則建議管理員采用TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)，對(duì)無(wú)線終端實(shí)施接入控制。在終端用戶處于未認(rèn)證狀態(tài)時(shí)，無(wú)線802.1X交換機(jī)只放行無(wú)線終端的認(rèn)證報(bào)文，其他類型的報(bào)文則會(huì)被無(wú)線802.1X交換機(jī)丟棄，無(wú)線通道處于關(guān)閉狀態(tài)。如果終端用戶需要接入網(wǎng)絡(luò)，必須先輸入用戶名和密碼校驗(yàn)自己的身份。如果終端用戶屬于合法用戶，則TSM通知無(wú)線802.1X交換機(jī)打開無(wú)線通道，允許終端用戶接入網(wǎng)絡(luò)。如果終端用戶的身份不合法，則TSM通知無(wú)線802.1X交換機(jī)關(guān)閉無(wú)線通道，只放行無(wú)線終端的認(rèn)證報(bào)文，禁止終端用戶接入網(wǎng)絡(luò)，從而達(dá)到拒絕身份不合法的終端用戶接入公司網(wǎng)絡(luò)的目的。配置步驟舉例說(shuō)明如何配置TSM與無(wú)線802.1X交換機(jī)聯(lián)動(dòng)，以便管理員拒絕身份不合法的無(wú)線終端接入公司網(wǎng)絡(luò)。背景信息組網(wǎng)如\o""圖1-2所示。TSM管理器和TSM控制器均已經(jīng)部署完成，TSM版本為V100R002C07SPC200，TSM控制器IP地址為10.10.10.10。接入控制設(shè)備采用H3CWA2220E-AG，屬于胖AP（具有AP和AC功能），軟件版本為5.20，IP地址為192.168.5.21。無(wú)線終端由H3CWA2220E-AG接入公司網(wǎng)絡(luò)。網(wǎng)關(guān)地址為192.168.5.1。配置的目的是通過(guò)TSM與H3CWA2220E-AG聯(lián)動(dòng)，以便控制無(wú)線終端接入公司網(wǎng)絡(luò)，保證只有身份合法的終端用戶才能接入公司網(wǎng)絡(luò)。操作步驟配置H3CWA2220E-AG。啟用端口安全，并配置802.1X的認(rèn)證方式為EAP。配置RADIUS方案。配置認(rèn)證域的AAA方案。配置涉及認(rèn)證和計(jì)費(fèi)兩個(gè)過(guò)程，在域中需要配置認(rèn)證和計(jì)費(fèi)方案。把配置的認(rèn)證域ias設(shè)置為系統(tǒng)缺省域。配置無(wú)線接口，802.1X的認(rèn)證方式為EAP(對(duì)應(yīng)的端口安全認(rèn)證方式為userlogin-secure-ext)。配置無(wú)線服務(wù)模板。在射頻口綁定無(wú)線服務(wù)模板和無(wú)線接口。配置VLAN虛接口。配置缺省路由。詳細(xì)的配置腳本請(qǐng)參見“WA2220E_AG.zip”。配置TSM管理器。登錄TSM管理器，選擇“接入控制>接入控制配置>802.1x交換機(jī)>交換機(jī)組”，單擊“增加”一個(gè)交換機(jī)組。根據(jù)交換機(jī)的配置，認(rèn)證密鑰和計(jì)費(fèi)密鑰都是123456。以開關(guān)無(wú)線通道方式控制無(wú)線終端接入網(wǎng)絡(luò)，則交換機(jī)類型可設(shè)置為任意一個(gè)選項(xiàng)。單擊“確定”，進(jìn)入“交換機(jī)列表”，單擊“增加”，把H3CWA2220E-AG添加到列表中。單擊“確定”。單擊“確定”，選擇“標(biāo)準(zhǔn)802.1X無(wú)線網(wǎng)絡(luò)”，把無(wú)線網(wǎng)絡(luò)的SSID加入列表中。方便無(wú)法安裝TSM代理的無(wú)線終端，包括智能設(shè)備、Windows操作系統(tǒng)自帶的802.1X客戶端以及其他支持標(biāo)準(zhǔn)協(xié)議的第三方802.1X客戶端接入無(wú)線網(wǎng)絡(luò)。以開關(guān)無(wú)線通道方式控制無(wú)線終端接入網(wǎng)絡(luò)，通過(guò)認(rèn)證后允許訪問(wèn)所有的網(wǎng)絡(luò)資源，管理員無(wú)須配置認(rèn)證前域、隔離域和認(rèn)證后域。配置TSM代理。生成TSM代理安裝程序。在生成TSM代理安裝程序時(shí)，依次選中“啟用802.1X”、“啟用安全認(rèn)證”、“啟用無(wú)線802.1X協(xié)議”和“標(biāo)準(zhǔn)協(xié)議”。詳細(xì)的操作步驟請(qǐng)參見《SecowayTSM產(chǎn)品文檔》中的“安裝>部署TSM代理>生成TSM代理安裝程序”。在無(wú)線終端安裝TSM代理，安裝完成后重新啟動(dòng)無(wú)線終端。詳細(xì)的操作步驟請(qǐng)參見《SecowayTSM產(chǎn)品文檔》中的“安裝>TSM代理安裝指南>安裝TSM代理”。結(jié)束驗(yàn)證配置結(jié)果在無(wú)線終端進(jìn)