一:测试需求
XX企业目前要求使用
Aruba设备进行无线网络的稳定覆盖以及安全性的保障。
为了保证安全性的要求
,XX企业要求Aruba设备建立两个无线SSID,一个SSID叫CA,用户初始连接到CA进行证书申请(用户处于vlan 710),没有访问其它网络的权限。另一个SSID叫Employee,是正常的业务SSID,要求用户连接时使用证书认证,并且能够对认证成功后的用户进行正确的授权。
二:测试拓扑
测试设备:
思科CISCO 7609
Aruba 6000-400
无线控制器
思科Catalyst 3750-24PS 24口POE交换机
Aruba AP 105/125
Windows Server 2003 Enterprise (AD+DNS+IIS+CA)
Cisco ACS 4.2
三:测试内容
1:
释放两个SSID,一个叫CA,另一个叫Employee。
2:CA SSID
需要隐藏, 只有手动添加SSID才能接入,无线用户不需要认证即可接入进行证书申请。
Employee
SSID
无线用的认证采用802.1x基于Cisco ACS Server进行认证(ACS Server和CA进行集成),并且能够将用户授权到特定的vlan。
3:
为了保证安全性,
不允许用户随意更改IP地址,只能通过DHCP下发的地址访问业务。如果用户随意更改IP地址,用户将不能访问任何地址。
为了防止无线用户私设DHCP服务器影响网络的正常工作,要求所有无线用户不能作为DHCP Server。(拒绝用户发往任何UDP 68的的报文)
四:测试步骤
1:POE
交换机的配置
2:ACS Server
的配置(AD+DNS+IIS+CA+ACS的配置由于篇幅关系,此处省略)
3:Aruba AC
的配置
4:
安全性配置
5:
客户端测试
1:3750 POE
交换机的配置
|
1:
接口配置
配置上连接口为trunk接口
将连接AP的接口划分到vlan 96
|
|
2:DHCP Server
的配置(为AP分配地址,无线用户的地址使用Windows DHCP分配)
(cisco3750SW) (config) #ip dhcp pool vlan96
(cisco3750SW) (config-dhcp)#network 172.16.22.0 255.255.255.0
(cisco3750SW) (config-dhcp)#default-router 172.16.22.1
(cisco3750SW) (config-dhcp)#option 43 ip 100.100.6.188
(cisco3750SW) (config-dhcp)#exit
(cisco3750SW) (config) #service dhcp
|
2:Cisco ACS Server
的配置;
|
以上是图例:集成商在实际配置中
添加100.100.6.188做为AAA Client的IP地址。
Key
是123456789
Authenticate
使用Radius(IETF)
Submit+Apply
完成Aruba AC作为客户端的配置。
|
3:Aruba AC
上的无线的配置
|
配置802.1x基于CA的SSID
“
Employee
”
(Aruba6000AC1) (config) #aaa authentication-server radius ht-radius
(Aruba6000AC1) (RADIUS Server "ht-radius") #host 100.100.100.116
(Aruba6000AC1) (RADIUS Server "ht-radius") #key 123456789
(Aruba6000AC1) (RADIUS Server "ht-radius") #enable
(Aruba6000AC1) (RADIUS Server "ht-radius") #exit
(Aruba6000AC1) (config) #aaa server-group ht-dot1x-server-group
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #auth-server ht-radius
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #set role condition role value-of
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #exit
(Aruba6000AC1) (config) #aaa authentication dot1x ht-dot1x-aaa-auth-profile
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination eap-type eap-tls
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination inner-eap-type eap-mschapv2
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") # exit
(Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #dot1x-server-group ht-dot1x-server-group
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #authentication-dot1x ht-dot1x-aaa-auth-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit
(Aruba6000AC1) (config) #wlan ssid-profile ht-dot1x-ssid-profile
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid Employee
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #opmode wpa-tkip
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit
(Aruba6000AC1) (config) #wlan virtual-ap ht-dot1x-vap-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile ht-dot1x-aaa-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ht-dot1x-ssid-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 703-704,710,900-902,905
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit
(Aruba6000AC1) (config) #ap-group default
(Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap ht-dot1x-vap-profile
(Aruba6000AC1) (AP group "ht-dot1x") #exit
|
在AC上导入CA服务器的根证书并在aaa profile下调用root CA。
配置申请证书的SSID
“
CA
”
(Aruba6000AC1) (config) #aaa profile aaa
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit
(Aruba6000AC1) (config) #wlan ssid-profile ssid
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid CA
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #
hide-ssid //隐藏SSID
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit
(Aruba6000AC1) (config) #wlan virtual-ap open-vap
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile aaa
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ssid
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 710
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit
(Aruba6000AC1) (config) #ap-group default
(Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap open-vap
(Aruba6000AC1) (AP group "ht-dot1x") #exit
五:安全性配置
随意更改IP地址的防护
|
(Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") # enforce-dhcp
//
只能使用DHCP下发的IP地址
|
私设DHCP服务器的防护
|
(Aruba6000AC1) (config) #
ip access-list session nodhcp
(Aruba6000AC1) (config-access-list) #
user any udp 68 deny
//
拒绝无线用户发往任何UDP 68的报文,调用到用户的角色下
user-role guest
access-list session nodhcp
access-list session http-acl
access-list session https-acl
access-list session dhcp-acl
access-list session icmp-acl
access-list session dns-acl
access-list session v6-http-acl
access-list session v6-https-acl
access-list session v6-dhcp-acl
access-list session v6-icmp-acl
access-list session v6-dns-acl
|
六:客户端测试
客户端要求
1)支持WPA/WPA2的无线网卡;
2)完成证书的安装和EAP-TLS等配置
在以太网卡的连接属性中选择“Authentication→Enable IEEE 802.1x authentication for this network”,EAP type选为“智能卡或其它证书”,勾选“Authenticate as computer when computer information is available”,然后再点Properties,在EAP属性窗口中选择“Validate server certificate”,同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA,这里为ca,Authentication Method选成“Secure password (EAP-MSCHAP v2)”。再点Configure按钮确保“Automatically use my Windows logon name and password (and domain if any)”选项已被选中;
以上是图例:
选择XX企业内部的CA Server。
七:测试结果
1:
用户可以通过CA认证成功,并能进行正确的vlan授权。(第一次将无线网卡的认证配置完成后之后零配置)
2:
用户不能手动随更改IP地址。(类似于IP Source Guard技术)
3:
用户私设DHCP Server后,其它用户不会从其获取地址。(因为我们已经拒绝了无线端客户的DHCPoffer报文)
备注:限于篇幅,服务器的安装与配置以及一些细节方面的内容本文省略,详见附件,如有问题也可留言,希望能与大家一起讨论。