欢迎来到冰点文库! | 帮助中心 分享价值,成长自我!
冰点文库

热门搜索:

上传文档
冰点文库
上传文档 加入VIP,免费下载
全部分类
  • 临时分类>
  • IT计算机>
  • 经管营销>
  • 医药卫生>
  • 自然科学>
  • 农林牧渔>
  • 人文社科>
  • 工程科技>
  • PPT模板>
  • 求职职场>
  • 解决方案>
  • 总结汇报>
  • 首页
  • 专题
  • 公告
  • 加入VIP,免费下载
    • ImageVerifierCode 换一换
    首页 冰点文库 > 资源分类 > DOCX文档下载
    分享到微信 分享到微博 分享到QQ空间

    无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx

    • 资源ID:14429239       资源大小:119.76KB        全文页数:15页
    • 资源格式: DOCX        下载积分:3金币
    快捷下载 游客一键下载
    账号登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录 QQ登录
    二维码
    微信扫一扫登录
    下载资源需要3金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP,免费下载
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    1、下载资料失败解决办法   
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx

    1、无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例1 简介本文档介绍了无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置案例。2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解802.1X特性。3 配置举例3.1 组网需求如图1所示,在无线网络环境中部署了RADIUS服务器,现要求使用RADIUS服务

    2、器对无线客户端进行802.1X认证,并对认证通过的客户端下发授权VLAN 300。图1 授权VLAN下发典型配置组网图3.2 配置注意事项 开启无线侧的端口安全功能时,请确保该端口的802.1X功能或MAC地址认证功能处于关闭状态。 关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下线。 # 关闭802.1X的组播触发功能,以节省无线的通信带宽。 RADIUS服务器授权下发的VLAN必须是AC设备上已经配置的VLAN,否则802.1X无法认证成功。 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。3.3 配置步骤3.3.1 AC的配置(1

    3、) 配置AC的接口# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。 system-viewAC vlan 100AC-vlan100 quit AC interface vlan-interface 100AC-Vlan-interface100 ip address 125.100.1.4 24AC-Vlan-interface100 quit# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN。AC vlan 200AC-vlan200 quit # 创建VLAN 300作为Client接入的业务VLAN

    4、,且RADIUS服务器会下发VLAN 300作为授权VLAN。AC vlan 300 AC-vlan300 quit# 配置VLAN 300的接口IP地址为125.30.1.4/24。AC interface vlan-interface 300AC-Vlan-interface300 ip address 125.30.1.4 24AC-Vlan-interface300 quit# 将与Switch相连的接口GigabitEthernet1/0/1的链路类型配置为Trunk,配置PVID为100,禁止VLAN 1通过,允许VLAN 100和VLAN 300通过。AC interface g

    5、igabitethernet 1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 port trunk pvid vlan 100 AC-GigabitEthernet1/0/1 undo port trunk permit vlan 1AC-GigabitEthernet1/0/1 port trunk permit vlan 100 300AC-GigabitEthernet1/0/1 quit(2) 配置802.1X认证# 全局模式下使能端口安全。AC port-security enable#

    6、 选择802.1X认证方式为EAP。AC dot1x authentication-method eap(3) 配置认证策略# 创建RADIUS方案office并进入其视图。AC radius scheme office# 配置RADIUS方案服务类型为扩展型。AC-radius-office server-type extended# 设置主认证RADIUS服务器的IP地址8.125.1.1。AC-radius-office primary authentication 8.125.1.1# 设置主计费RADIUS服务器的IP地址8.125.1.1。AC-radius-office prim

    7、ary accounting 8.125.1.1# 设置系统与认证RADIUS服务器交互报文时的共享密钥为123456。AC-radius-office key authentication 123456# 设置系统与计费RADIUS服务器交互报文时的共享密钥为123456。AC-radius-office key accounting 123456# 认证时用户名不携带域。AC-radius-office user-name-format without-domain# 设置设备发送RADIUS报文时使用的源IP地址125.100.1.4。AC-radius-radius nas-ip 12

    8、5.100.1.4 AC-radius-radius quit(4) 配置认证域# 创建office域并进入其视图。AC domain office# 为lan-access用户配置认证方案为RADIUS方案,方案名为office。AC-isp-office authentication lan-access radius-scheme office# 为lan-access用户配置授权方案为RADIUS方案,方案名为office。AC-isp-office authorization lan-access radius-scheme office# 为lan-access用户配置计费为non

    9、e,不计费。AC-isp-office accounting lan-access none AC-isp-office quit (5) 配置无线接口# 创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。AC interface wlan-ess 1AC-WLAN-ESS1 port link-type hybrid# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。 AC-WLAN-ESS1 undo port hybrid vlan 1 AC-WLAN-ESS1 port hybrid vlan 200 untagg

    10、ed AC-WLAN-ESS1 port hybrid pvid vlan 200 # 在Hybrid端口上使能MAC VLAN功能。AC-WLAN-ESS1 mac-vlan enable# 在WLAN-ESS1口上配置端口安全,安全模式为userlogin-secure-ext。AC-WLAN-ESS1 port-security port-mode userlogin-secure-ext# 在接口WLAN-ESS1下使能11key类型的密钥协商功能。AC-WLAN-ESS1 port-security tx-key-type 11key# 关闭在线用户握手功能。AC-WLAN-ESS1

    11、 undo dot1x handshake# 关闭802.1X的组播触发功能。AC-WLAN-ESS1 undo dot1x multicast-trigger# 在WLAN-ESS1端口上指定802.1X认证的强制认证域为office。AC-WLAN-ESS1 dot1x mandatory-domain officeAC-WLAN-ESS1 quit(6) 配置无线服务# 创建crypto类型的服务模板1。AC wlan service-template 1 crypto# 设置当前服务模板的SSID为service。AC-wlan-st-1 ssid service# 将WLAN-ESS

    12、1接口绑定到服务模板1。AC-wlan-st-1 bind wlan-ess 1# 配置加密套件为CCMP。AC-wlan-st-1 cipher-suite ccmp# 配置安全信息元素为RSN。AC-wlan-st-1 security-ie rsn# 启用无线服务。AC-wlan-st-1 service-template enable AC-wlan-st-1 quit(7) 配置射频接口并绑定服务模板# 创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN。AC wlan ap officeap model WA2620E-AGN# 设置AP的序列号为210

    13、23529G007C000020。AC-wlan-ap-officeap serial-id 21023529G007C000020# 进入radio 2射频视图。AC-wlan-ap-officeap radio 2 # 将在AC上配置的服务模板1与射频2进行关联。AC-wlan-ap-officeap-radio-2 service-template 1# 使能AP的radio 2。AC-wlan-ap-officeap-radio-2 radio enable AC-wlan-ap-officeap-radio-2 quitAC-wlan-ap-officeap quit# 将AC的默认

    14、路由指向交换机,地址为125.100.1.1AC ip route-static 0.0.0.0 0.0.0.0 125.100.1.13.3.2 Switch的配置# 创建VLAN 2、VLAN 100和VLAN 300,其中VLAN 2用于连接RADIUS服务器,VLAN 100用于转发AC和AP间LWAPP隧道内的流量,VLAN 300为无线用户接入的VLAN。 system-viewSwitch vlan 2Switch-vlan2 quitSwitch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quit# 配置S

    15、witch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,配置PVID为100,禁止VLAN 1通过,允许VLAN 2、100和300通过。Switch interface gigabitethernet 1/0/1 Switch-GigabitEthernet1/0/1 port link-type trunk Switch-GigabitEthernet1/0/1 undo port trunk permit vlan 1Switch-GigabitEthernet1/0/1 port trunk permit vlan 2 100 300 Switch-Gig

    16、abitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并加入VLAN 100。Switch interface gigabitethernet 1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitEthernet1/0/2 port access vlan 100# 配置Switch与AP相连的GigabitEthernet

    17、1/0/2接口使能PoE功能。Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit# 配置Switch与RADIUS服务器相连的GigabitEthernet1/0/3接口属性为Access,并允许VLAN 2通过。Switch interface gigabitethernet 1/0/3Switch-GigabitEthernet1/0/3 port link-type accessSwitch-GigabitEthernet1/0/3 port access vlan 2Switch-GigabitE

    18、thernet1/0/3 quit# 配置VLAN 2的接口地址为8.125.1.2/16,用于连接RADIUS服务器。Switch interface vlan-interface 2Switch-Vlan-interface2 ip address 8.125.1.2 16Switch-Vlan-interface2 quit# 配置VLAN 100的接口地址为125.100.1.1/24Switch interface vlan-interface 100Switch-Vlan-interface100 ip address 125.100.1.1 24Switch-Vlan-inter

    19、face100 quit# 配置VLAN 300的接口地址为125.30.1.1/24Switch interface vlan-interface 300Switch-Vlan-interface300 ip address 125.30.1.1 24Switch-Vlan-interface300 quit# 配置Switch使能DHCP服务。Switch dhcp enable# 创建名为vlan100的DHCP地址池,配置地址池范围为125.100.1.0125.100.1.250,网关地址为125.100.1.1,为AP分配IP地址。Switch dhcp server ip-poo

    20、l vlan100 extendedSwitch-dhcp-pool-vlan100 network ip range 125.100.1.0 125.100.1.250Switch-dhcp-pool-vlan100 network mask 255.255.255.0Switch-dhcp-pool-vlan100 gateway-list 125.100.1.1Switch-dhcp-pool-vlan100 quit# 创建名为vlan300的DHCP地址池,配置地址池范围为125.30.1.0125.30.1.250,网关地址为125.30.1.1,为Client分配IP地址。Swi

    21、tch dhcp server ip-pool vlan300 extendedSwitch-dhcp-pool-vlan300 network ip range 125.30.1.0 125.30.1.250Switch-dhcp-pool-vlan300 network mask 255.255.255.0Switch-dhcp-pool-vlan300 gateway-list 125.30.1.1Switch-dhcp-pool-vlan300 quit3.3.3 RADIUS服务器配置下面以iMC作为RADIUS服务为例(使用iMC版本为:iMC PLAT 7.0(E0202)、iM

    22、C UAM 7.0(E0202)),说明RADIUS服务器的配置。# 增加接入设备。登录进入iMC管理平台,选择“用户”页签,单击导航树中的接入策略管理/接入设备管理/接入设备配置菜单项,单击“增加”按钮,进入“增加接入设备”页面。 设置与AC交互报文时使用的认证、计费共享密钥为“123456”; 设置认证及计费的端口号分别为“1812”和“1813”; 选择业务类型为“LAN接入业务”; 选择接入设备类型为“H3C(General)”; 选择手工增加接入设备,添加IP地址为125.100.1.4的接入设备; 其它参数采用缺省值,并单击按钮完成操作。图2 增加接入设备# 配置接入策略。选择“用

    23、户”页签,单击导航树中的用户/接入策略管理/接入策略管理菜单项,单击“增加”按钮进入“增加接入策略页面”,创建一条接入策略。 接入策略名输入“802.1x”。 证书认证选择“EAP证书认证”。 证书认证类型选择“EAP-PEAP认证”。 认证证书子类型选择“MS-CHAPV2认证”。 下发VLAN输入授权下发的VLAN“300”。 其它参数采用缺省值,并单击按钮完成操作。图3 配置接入策略# 增加接入服务配置。选择“用户”页签,单击导航树中的接入策略管理/接入服务管理菜单项,单击“增加”按钮,创建一条接入服务。 服务名输入“802.1x”。 缺省接入策略选择之前创建的策略“802.1x”。 其

    24、它参数采用缺省值,并单击按钮完成操作。图4 配置接入服务# 增加用户配置。选择“用户”页签,单击导航树中的接入用户管理/接入用户菜单项,单击“增加”按钮,进入“增加接入用户”界面,增加一个接入用户。 单击“增加用户”。 用户姓名输入“lw”。 证件号码输入“000”。 其它参数采用缺省值,并单击按钮完成操作。图5 增加用户配置# 增加接入用户配置。选择“用户”页签,单击导航树中的接入用户管理/接入用户菜单项,单击“增加”按钮,增加一个接入用户。 单击“选择”,在页面中选择之前创建的用户“lw”。 账号名输入“lw”。 密码与密码确认输入“123456”。 选择服务名“802.1x”。 其它参数

    25、采用缺省值,并单击按钮完成操作。图6 增加接入用户配置3.4 验证配置(1) Client通过802.1X认证上线后,执行display connection命令,查看802.1X用户上线后的基本信息。观察上线信息的Index,本例中Index值为15。 display connectionIndex=15 ,Username=lwofficeMAC=00-24-01-EB-FA-EEIP=N/AIPv6=N/AOnline=00h02m34sTotal 1 connection(s) matched.(2) 通过执行display connection命令得到Client的Index为15,

    26、执行display connection ucibindex 15命令,得到Client通过802.1X认证后的详细信息。如阴影部分显示,授权VLAN为300。RADIUS服务器下发授权VLAN成功。 display connection ucibindex 15Index=15 , Username=lwofficeMAC=00-24-01-EB-FA-EEIP=N/AIPv6=N/AAccess=8021X ,AuthMethod=EAPPort Type=Wireless-802.11,Port Name=WLAN-DBSS1:0Initial VLAN=200, Authorizati

    27、on VLAN=300ACL Group=DisableUser Profile=N/ACAR=DisableTraffic Statistic: InputOctets =11348 OutputOctets =7785 InputGigawords=0 OutputGigawords=0Priority=DisableSessionTimeout=N/A, Terminate-Action=N/AStart=2013-11-20 16:57:38 ,Current=2013-11-20 16:58:33 ,Online=00h00m55sTotal 1 connection matched.


    注意事项

    本文(无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例.docx)为本站会员主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    copyright@ 2008-2023 冰点文库 网站版权所有

    经营许可证编号:鄂ICP备19020893号-2


    收起
    在线客服
    意见反馈
    返回顶部
    展开
    QQ交谈
    返回顶部