02-H3C WX系列AC Fit AP 802.1x無線認證和CAMS配合典型配置舉例.doc

H3C WX系列AC+Fit AP 802.1x無線認證和CAMS配合典型配置舉例關(guān)鍵詞：802.1x、RADIUS、EAPoL縮略語：縮略語英文全名中文解釋AAAAuthentication Authorization Accounting認證、授權(quán)和計費CAMSComprehensive Access Management System綜合訪問管理服務器EAPExtensible Authentication Protocol可擴展認證協(xié)議EAPoLExtensible Authentication Protocol over LAN局域網(wǎng)上的可擴展認證協(xié)議RADIUSRemote Authentication Dial-In User Service遠程認證撥號用戶服務II目 錄1 特性簡介12 應用場合13 注意事項14 IEEE 802.1x遠程認證配置舉例14.1 組網(wǎng)需求14.2 配置思路24.3 使用版本24.4 配置步驟34.4.1 配置AC34.4.2 配置CAMS54.5 驗證結(jié)果75 相關(guān)資料95.1 相關(guān)協(xié)議和標準95.2 其它相關(guān)資料101 特性簡介IEEE 802.1x定義了基于端口的網(wǎng)絡接入控制協(xié)議（port based network access control），該協(xié)議適用于接入設備與接入端口間點到點的連接方式，通過開關(guān)端口的狀態(tài)來實現(xiàn)對報文轉(zhuǎn)發(fā)的控制。2 應用場合802.1x協(xié)議僅僅提供了一種用戶接入認證的手段，并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實現(xiàn)，這種簡化適用于無線局域網(wǎng)的接入認證、點對點物理或邏輯端口的接入認證，但在可運營、可管理的寬帶IP城域網(wǎng)中作為一種認證方式具有極大的局限性。3 注意事項在配置過程中，請注意以下幾點：l 本配置舉例設置的是無線接口上的802.1x認證。l 在配置RADIUS時，primary authentication、primary accounting、server-type、key一定要配置正確，并且和RADIUS服務器一致。值得注意的是如果使用的是CAMS服務器一定要把server-type設置成extended，這樣CAMS上一些私有設置才會被WX5002識別。l 在配置域時要把RADIUS方案和域關(guān)聯(lián)起來。l 在全局下使用dot1x authentication-method來指定Dot1x的認證方法，在使用Windows和網(wǎng)卡所帶的客戶端登陸無線網(wǎng)絡時，dot1x認證的方式僅為EAP方式。4 IEEE 802.1x遠程認證配置舉例4.1 組網(wǎng)需求本配置舉例中的AC使用的是WX5002無線控制器，AP使用的是WA2100無線局域網(wǎng)接入點。隨著網(wǎng)絡應用的廣泛普及，公司越來越多核心業(yè)務會依托網(wǎng)絡平臺，但由于傳統(tǒng)共享網(wǎng)絡的特點，局域網(wǎng)網(wǎng)絡的安全問題日趨明顯，本配置案例可以實現(xiàn)在網(wǎng)絡的接入層對非法用戶進行控制，既可緩解安全問題，又能節(jié)省寶貴的帶寬。本配置舉例通過在WX5002的WLAN-ESS 10端口上啟用802.1x認證來達到對接入點Client進行控制的目的。圖4-1 802.1x遠程認證組網(wǎng)圖 4.2 配置思路配置遠程802.1x認證，需要配置以下內(nèi)容：l 創(chuàng)建dot1x認證時使用的RADIUS方案。l 創(chuàng)建dot1x認證時使用的域，并在域中引用RADIUS方案作為AAA的認證方案。l 在系統(tǒng)視圖下開啟全局dot1x認證。l 在需要認證的端口下使能端口dot1x。4.3 使用版本display versionH3C Comware Platform SoftwareComware Software, Version 5.00, 0001Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C WX5002-128 uptime is 0 week, 2 days, 17 hours, 3 minutes CPU type: BCM MIPS 1250 700MHz 512M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Version: A Logic Version: 1.0 Basic BootROM Version: 1.13 Extend BootROM Version: 1.14 SLOT 1CON (Hardware)A, (Driver)1.0, (Cpld)1.0 SLOT 1GE1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0 SLOT 1GE1/0/2 (Hardware)A, (Driver)1.0, (Cpld)1.0 SLOT 1M-E1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0.4.4 配置步驟4.4.1 配置AC1. 主要配置步驟(1) 創(chuàng)建RADIUS方案ACradius scheme h3c AC-radius-h3cprimary authentication 8.1.1.4AC-radius-h3cprimary accounting 8.1.1.4AC-radius-h3ckey authentication h3cAC-radius-h3ckey accounting h3cAC-radius-h3cserver-type extendedAC-radius-h3cuser-name-format without-domain(2) 創(chuàng)建domain域ACdomain camsAC-isp-camsauthentication lan-access radius-scheme h3cAC-isp-camsauthorization lan-access radius-scheme h3cAC-isp-camsaccounting lan-access radius-scheme h3c(3) 全局使能802.1xACport-security enable(4) 配置dot1x ACdot1x authentication-method eap(5) 在WLAN-ESS 10 上使能dot1xACinterface WLAN-ESS 10 AC-WLAN-ESS10port-security port-mode userlogin-secure-extAC-WLAN-ESS10port-security tx-key-type 11key(6) 無線服務集設置ACwlan service-template 10AC-wlan-st-10ssid joe_dot1xAC-wlan-st-10bind WLAN-ESS 10AC-wlan-st-10authentication-method open-systemAC-wlan-st-10cipher-suite tkipAC-wlan-st-10security-ie wpaAC-wlan-st-10service-template enable2. 配置信息display current-configuration# version 5.00, 0001# sysname AC# domain default enable cams# port-security enable# dot1x authentication-method eap# vlan 1#vlan 2#radius scheme h3c server-type extended primary authentication 8.1.1.4 primary accounting 8.1.1.4 key authentication h3c key accounting h3c user-name-format without-domain accounting-on enabledomain cams authentication default radius-scheme h3c authorization default radius-scheme h3c accounting default radius-scheme h3c access-limit disable state active#wlan service-template 10 crypto ssid joe_dot1x bind WLAN-ESS 10 authentication-method open-system cipher-suite tkip security-ie wpa service-template enable#wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54#interface NULL0#interface LoopBack0#interface Vlan-interface1 ip address 20.1.1.200 255.255.255.0#interface Vlan-interface2 ip address 8.1.1.1 255.255.255.0#interface GigabitEthernet1/0/1#interface GigabitEthernet1/0/2 port access vlan 2#interface M-Ethernet1/0/1#interface WLAN-ESS10 port-security port-mode userlogin-secure-ext port-security tx-key-type 11key undo dot1x multicast-trigger#wlan ap ap1 model WA2100 serial-id h3c000fe258e820 radio 1 type 11g channel 1 max-power 3 service-template 10 radio enable# dhcp enable# load xml-configuration#user-interface aux 0user-interface vty 0 4#return4.4.2 配置CAMSCAMS版本：2.10試用版（CAMS 詳細版本號：2.10-R0209）1. 接入設備配置在CAMS控制界面，點擊左側(cè)菜單樹中系統(tǒng)管理-系統(tǒng)配置的“接入設備配置”。進入接入設備配置，選擇“修改”-“增加”后，進入接入設備配置頁面。根據(jù)設備上的RADIUS屬性配置，對參數(shù)進行設置，然后“返回”“立即生效”。 2. 服務配置在CAMS控制界面，左側(cè)菜單下，首先進入“系統(tǒng)配置”、“證書認證策略配置”安裝證書。然后進入“服務管理”、“服務配置”，在服務配置列表中，選擇“增加”，添加服務名，在計費策略中選中配置好的計費策略（計費策略配置方法，此處略），這里選擇不計費。無線EAP認證方式，CAMS中支持兩種：peap、tls。此處選擇peap，之后確定即可。3. 用戶配置在CAMS控制界面，左側(cè)菜單下，進入用戶管理，帳號用戶，選擇“增加”輸入用戶名和密碼。此處需要注意將剛才配置的服務選上。 4.5 驗證結(jié)果l 在未通過802.1x認證的情況下使用PC1訪問internet，PC不能訪問Internet上的資源。l 在PC1上使用802.1x客戶端進行認證，PC1可以通過802.1x認證成功，并且可以正常訪問internet上的資源。需根據(jù)不同設置認證方式的不同（peap、tls）對無線客戶端進行相應的配置。(1) 添加SSID。(2) 首先在無線網(wǎng)絡屬性中，添加SSID，并選擇相應的加密方式、認證方式。(3) 在