锐捷服务器无线认证配置,【WLAN从入门到精通之对接案例】配置802.1X认证示例_Web（锐捷SAM服务器）...

原标题：【WLAN从入门到精通之对接案例】配置802.1X认证示例_Web(锐捷SAM服务器)

802.1X认证简介

802.1X认证是网络接入控制方案(NAC)中的一种，它是基于端口对用户的网络访问权限进行控制的认证方法，通过802.1X认证能够实现保护企业内网安全性的目的。

802.1X认证安全性较高，但是需要客户终端安装802.1X客户端，网络部署不灵活。相较而言，NAC中的MAC认证方式不需要安装客户端，但是需要在认证服务器上登记MAC地址，管理复杂，而Portal认证方式同样不需要客户端并且部署灵活，但是安全性不高。所以，802.1X认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。

AC和锐捷SAM对接时，802.1X认证支持PAP、CHAP和EAP三种认证方式，本举例以EAP认证方式为例，PAP和CHAP认证方式的配置与之类似，但是PAP和CHAP认证方式下，终端需要安装锐捷认证客户端，通过输入正确的用户名和密码后，才能正常访问WLAN网络。

对于设备侧配置，如果您只需查阅802.1X认证相关的配置方法，请直接参见步骤5配置AC设备的读写团体名和步骤6配置WLAN业务。

如果您只需查阅锐捷SAM服务器侧的配置方法，请直接参见步骤8配置锐捷SAM服务器。

举例适用的产品和版本

表1-1 举例适用的产品和版本

产品

版本

华为AC

V200R007C10及之后版本

锐捷SAM

ENTERPRISE_3.9(p1)

业务需求

用户接入WLAN网络，使用802.1X客户端进行认证，输入正确的用户名和密码后可以无线上网。且在覆盖区域内移动发生漫游时，不影响用户的业务使用。

组网需求

AC组网方式：旁挂二层组网。

DHCP部署方式：AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址。

业务数据转发方式：直接转发。

WLAN认证方式：WPA-WPA2+802.1X+AES。

图1-1 配置802.1X认证组网图

数据规划

表1-2 AC数据规划

配置项

数据

管理VLAN

VLAN100

业务VLAN

VLAN101

AC的源接口

VLANIF100：10.23.100.1/24

DHCP服务器

AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址

AP的IP地址池

10.23.100.2～10.23.100.254/24

STA的IP地址池

10.23.101.2～10.23.101.254/24

RADIUS认证参数

RADIUS服务器模板名称：wlan-net

IP地址：10.23.103.1

认证端口号：1812

共享密钥：huawei@123

认证方案：wlan-net

802.1X接入模板

名称：wlan-net

认证方式：EAP

认证模板

名称：wlan-net

引用模板和认证方案：802.1X接入模板wlan-net、RADIUS服务器模板wlan-net、认证方案wlan-net

读写团体名

名称：Huawei123

AP组

名称：ap-group1

引用模板：VAP模板wlan-net、域管理模板default

域管理模板

名称：default

国家码：中国

SSID模板

名称：wlan-net

SSID名称：wlan-net

安全模板

名称：wlan-net

安全策略：WPA-WPA2+802.1X+AES

VAP模板

名称：wlan-net

转发模式：直接转发

业务VLAN：VLAN101

引用模板：SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net

表1-3 锐捷SAM数据规划

配置项

数据

设备信息

设备IP地址：10.23.102.2

设备类型：无线交换机

具体型号：其他厂家设备

设备Key：huawei@123

读写Community：Huawei123

接入控制

名称：dot1x

允许重复登录次数：0

允许的接入方式：有线1X接入、无线1X接入、智能终端1X接入

用户模板

名称：dot1x

套餐

名称：dot1x

重复登录次数限制：不启用

计费策略：不计费

规则：服务为dot1x，接入控制为dot1x

用户组

名称：dot1x

默认用户模板：dot1x

默认套餐：dot1x

用户

账号：huawei

密码：huawei123

用户组：dot1x

用户模板：dot1x

套餐：dot1x

配置思路

配置AP、AC和周边网络设备之间实现网络互通。

使用快速配置，配置AC系统参数。

使用快速配置，配置AP在AC上线。

配置AC设备的读写团体名。

使用快速配置在AC上配置WLAN相关业务。在配置安全策略时，选择802.1X和RADIUS认证，配置RADIUS服务器参数。

配置锐捷SAM服务器。

配置注意事项

建议在与AP直连的设备接口上配置端口隔离，如果不配置端口隔离，尤其是业务数据转发方式采用直接转发时，可能会在VLAN内形成大量不必要的广播报文，导致网络阻塞，影响用户体验。

AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。

操作步骤

步骤 1 配置周边设备

# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

system-view

[HUAWEI] sysname SwitchA

[SwitchA] vlan batch 100 101

[SwitchA] interface gigabitethernet0/0/1

[SwitchA-GigabitEthernet0/0/1] portlink-type trunk

[SwitchA-GigabitEthernet0/0/1] porttrunk pvid vlan 100

[SwitchA-GigabitEthernet0/0/1] porttrunk allow-pass vlan 100 101

[SwitchA-GigabitEthernet0/0/1] port-isolateenable

[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet0/0/2

[SwitchA-GigabitEthernet0/0/2] portlink-type trunk

[SwitchA-GigabitEthernet0/0/2] porttrunk allow-pass vlan 100 101

[SwitchA-GigabitEthernet0/0/2] quit

# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，创建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳为Router的缺省路由。

system-view

[HUAWEI] sysname SwitchB

[SwitchB] vlan batch 100 to 104

[SwitchB] interface gigabitethernet0/0/1

[SwitchB-GigabitEthernet0/0/1] portlink-type trunk

[SwitchB-GigabitEthernet0/0/1] porttrunk allow-pass vlan 100 101

[SwitchB-GigabitEthernet0/0/1] quit

[SwitchB] interface gigabitethernet0/0/2

[SwitchB-GigabitEthernet0/0/2] portlink-type trunk

[SwitchB-GigabitEthernet0/0/2] porttrunk allow-pass vlan 100 102

[SwitchB-GigabitEthernet0/0/2] quit

[SwitchB] interface gigabitethernet0/0/3

[SwitchB-GigabitEthernet0/0/3] portlink-type trunk

[SwitchB-GigabitEthernet0/0/3] porttrunk pvid vlan 103

[SwitchB-GigabitEthernet0/0/3] porttrunk allow-pass vlan 103

[SwitchB-GigabitEthernet0/0/3] quit

[SwitchB] interface gigabitethernet0/0/4

[SwitchB-GigabitEthernet0/0/4] portlink-type trunk

[SwitchB-GigabitEthernet0/0/4] porttrunk pvid vlan 104

[SwitchB-GigabitEthernet0/0/4] porttrunk allow-pass vlan 104

[SwitchB-GigabitEthernet0/0/4] quit

[SwitchB] interface vlanif 102

[SwitchB-Vlanif102] ip address10.23.102.1 24

[SwitchB-Vlanif102] quit

[SwitchB] interface vlanif 103

[SwitchB-Vlanif103] ip address10.23.103.2 24

[SwitchB-Vlanif103] quit

[SwitchB] interface vlanif 104

[SwitchB-Vlanif104] ip address10.23.104.1 24

[SwitchB-Vlanif104] quit

[SwitchB] ip route-static 0.0.0.00.0.0.0 10.23.104.2

# 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

system-view

[Huawei] sysname Router

[Router] interface gigabitethernet 0/0/1

[Router-GigabitEthernet0/0/1] ip address10.23.104.2 24

[Router-GigabitEthernet0/0/1] quit

[Router] ip route-static 10.23.101.0 2410.23.104.1

步骤 2 配置DHCP服务器为STA分配IP地址

# 在SwitchB上配置VLANIF101接口为STA提供IP地址。

[SwitchB] dhcp enable

[SwitchB] interface vlanif 101

[SwitchB-Vlanif101] ip address10.23.101.1 24

[SwitchB-Vlanif101] dhcp selectinterface

[SwitchB-Vlanif101] quit

步骤 3 配置AC系统参数

1. 配置AC基本参数。

# 单击“配置 > 配置向导 > AC”，进入“AC基本配置”页面。

# “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。

# 单击页面下方的“下一步”，进入“端口配置”页面。

2. 配置端口。

# 选择接口“GigabitEthernet0/0/1”，展开“批量修改”，选择“接口类型”为“Trunk”，将“GigabitEthernet0/0/1”加入VLAN100(管理VLAN)和VLAN102。

说明

如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。

# 单击“确定”，完成以太网接口的配置。

# 单击“下一步”，进入“网络互联配置”页面。

3. 配置网络互联。

# 单击“接口配置”下的“新建”，进入“新建接口配置”页面。

# 配置接口VLANIF100的IP地址为10.23.100.1/24，“DHCP状态”为“ON”，“DHCP类型”为“接口地址池”。

说明

DNS服务器地址请根据实际需要配置。

# 单击“确定”，完成VLANIF100接口地址池的配置。

# 以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。

# 单击“静态路由表”下的“新建”，进入“新建静态路由表”页面。

# 配置“目的IP地址”为“10.23.103.0”，“子网掩码”为“24(255.255.255.0)”，“下一跳”为“10.23.102.1”。

# 单击“确定”，完成静态路由表的配置。

# 单击“下一步”。

# 单击“下一步”，进入“AC源地址”页面。

4. 配置AC源地址。

# “AC源地址”选择“VLANIF”，单击选择按钮，选择“Vlanif100”。

# 单击“下一步”，进入“配置确认”页面。

5. 配置确认。

# 确认配置，单击“完成并继续AP上线配置”。

步骤 4 配置AP上线

1. 配置AP上线。

# 单击“批量导入”，进入“批量导入”页面。单击

# 在AP模板文件中填写AP信息，示例如下。如需添加多个AP，可以参照该示例在AP模板文件中填写多条AP信息。

AP MAC地址：60de-4476-e360

AP SN：210235419610CB002287

AP名称：area_1

AP组：ap-group1

说明

当选择“AP认证方式”为“MAC认证”时，AP MAC地址为必填项，AP SN可不填。

当选择“AP认证方式”为“SN认证”时，AP SN为必填项，AP MAC地址可不填。

建议使用网络规划工具WLAN Planner将规划好的射频ID、AP信道、频宽、功率导出成.csv格式的表格，将表格中的这些信息填写到AP文件模板中，经度和纬度请根据实际情况配置。

# 单击“导入AP文件”后的，选择填写后的模板文件，单击“导入”。

# 导入完成后，页面显示导入结果信息，单击“确定”，完成添加。

# 单击“下一步”，进入“AP分组”页面。

# AP模板文件中已添加AP组信息，直接单击“下一步”，进入“配置确认”页面。

2. 配置确认。

# 确认配置，单击“完成并继续无线业务配置”。

步骤 5 配置AC设备的读写团体名

# 依次单击“维护 > AC维护 > SNMP > 团体/组管理”，进入“团体/组管理”页面。

# 在“团体”区域单击“新建”，在弹出的“新建团体”页面中配置“团体名”为“Huawei123”，“访问模式”为“读写”，单击“确定”。

步骤 6 配置WLAN业务

1. # 单击“新建”，进入“基本信息”页面。

2. # 配置SSID名称、转发模式、业务VLAN ID等信息。

3. # 单击“下一步”，进入“安全认证”页面。

4. # 配置“安全配置”为802.1x认证，并配置外置Radius服务器的相关参数。

5. # 单击“下一步”，进入“接入控制”页面。

6. # 选择“绑定AP组”为“ap-group1”。

7. # 单击“完成”。

步骤 7 配置AP的信道和功率

1. 关闭射频的信道和功率自动调优功能。

说明

射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。

# 选择“配置 > AP配置 > AP组配置 > AP组”。

# 在AP组列表中单击AP组名称“ap-group1”，选择“射频管理 > 射频0 > 2G射频模板 > RRM模板”，进入“RRM模板”界面。

# 关闭信道自动调优和功率自动调优功能。

# 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

2. 手动配置AP的信道和功率。

# 选择“配置 > AP配置 > AP配置 > AP信息”，进入“AP列表”页面。

# 单击需要配置信道和功率的AP ID，进入“AP个性化配置”页面。

# 单击“射频管理”前的，显示当前射频管理下的模板。

# 单击“射频0”，进入“射频0配置(2.4G)”页面。在“射频0配置(2.4G)”页面设置信道为带宽20MHz信道6，发送功率为127dBm。“射频1”页面设置信道带宽20MHz信道149与“射频0”设置步骤类似，此处不再赘述。

# 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

步骤 8 配置锐捷SAM服务器

1. 登录锐捷SAM服务器。

# 在浏览器中输入锐捷SAM服务器的访问地址，地址格式为http://serverip:8080/sam/，其中serverip是锐捷SAM服务器的IP地址。

# 在登录页面中，输入用户名和密码进行登录。缺省情况下，用户名为admin，密码为111。

2. 添加AC设备，使锐捷SAM可以和AC联动。

# 依次选择“系统管理 > 设备管理”，单击“添加”，进入“添加设备”页面。

# 配置“设备IP地址”为AC的IP地址“10.23.102.2”，“设备类型”为“无线交换机”，“具体型号”为“其他厂家设备”，“设备Key”为“huawei@123”，“读写Community”为“Huawei123”，其余参数使用缺省配置即可。

说明

“设备Key”和“读写Community”需要分别和AC上配置的RADIUS共享密钥和读写团体名一致。

# 单击“保存”，在弹出的对话框中单击“确定”。

3. 添加接入控制。

# 依次选择“接入控制管理 > 接入控制管理”，单击“添加”，进入“添加接入控制”页面。

# 在“接入控制基本信息”页签中配置“接入控制名”为“dot1x”，“允许重复登录次数”为“0”，其余参数使用缺省配置即可。

说明

本例中配置“允许重复登录次数”为“0”表示不限制用户登录次数，实际配置请根据需要调整。

# 在“用户信息校验”页签中选择“允许的接入方式”为“有线1X接入”、“无线1X接入”和“智能终端1X接入”，其中，“有线1X接入”用于test-aaa测试，其余参数使用缺省配置即可。

# 单击“保存”，在弹出的对话框中单击“确定”。

4. 配置用户模板并添加套餐。

# 依次选择“用户管理 > 用户模板管理”，单击“添加用户模板”，进入“添加用户模板”页面。

# 配置“模板名称”为“dot1x”，其余参数使用缺省配置即可，单击“保存”。

# 在创建的“dot1x”用户模板页面单击，然后单击“添加套餐”。

# 在“添加套餐”页面配置“套餐”为“dot1x”，不启用“重复登录次数限制”，“计费策略”选择“不计费”，其余参数使用缺省配置即可。

# 单击“保存”，返回“dot1x”用户模板页面。

# 单击“dot1x”用户模板右侧的，然后单击“修改规则”。

# 在“修改规则”页面修改“服务”为“dot1x”，“接入控制”为“dot1x”，其余参数使用缺省配置即可。

# 单击“保存”，返回“dot1x”用户模板页面，检查配置是否正确。

5. 配置用户组。

# 依次选择“用户管理 > 用户组管理”，进入“用户组管理”页面。

# 在“添加用户组”区域配置“用户组名”为“dot1x”，“默认用户模板”为“dot1x”，“默认套餐”为“dot1x”，其余参数使用缺省配置即可。

# 单击“保存”，在弹出的对话框中单击“确定”。

6. 开户。

# 依次选择“用户管理 > 用户管理”，单击“开户”，进入“开户”页面。

# 在“基本信息”区域配置“用户名”为“huawei”，密码为“huawei123”，“用户组”为“dot1x”，“用户模板”为“dot1x”，“套餐”为“dot1x”，其余参数使用缺省配置即可。

# 单击“保存”，在弹出的对话框中单击“确定”。

步骤 9 在AC上测试用户是否能够通过RADIUS认证

# 单击“诊断 > 诊断工具 > AAATest”，进入“AAA Test”页面。

# 配置RADIUS服务器模板、认证方式、用户名和密码。

# 单击“开始”。

步骤 10 检查配置结果

完成配置后，用户可通过无线终端搜索到SSID为wlan-net的无线网络。

用户关联到无线网络上后，无线PC能够被分配相应的IP地址。

在STA上使用802.1X客户端进行认证，输入正确的用户名和密码后，STA认证成功，正常访问WLAN网络。需要根据设置的认证方式PEAP对客户端进行相应的配置。

− Windows XP系统下的配置

i. 首先在无线网络属性中，添加SSID为wlan-net，并选择认证方式为WPA2，加密使用的算法AES。

ii. 在“验证”选项卡中，选择EAP类型为PEAP，单击“属性”，去掉验证服务器证书选项(此处不验证服务器证书)，单击“配置”，去掉自动使用Windows登录名和密码选项，然后单击“确定”。

− Windows 7系统下的配置

i.进入管理无线网络页面，单击“添加”，选择手动创建网络配置文件，添加SSID为wlan-net，并选择认证方式为WPA2-企业，加密使用的算法AES，单击“下一步”。

ii.单击“更改连接设置”，进入“无线网络属性”界面，选择“安全”页签，单击“设置”，取消勾选“验证服务器证书”(此处不验证服务器证书)，单击“配置”，取消勾选“自动使用Windows登录名和密码”，单击“确定”。

iii.单击“确定”，返回“无线网络属性”界面，单击“高级设置”，在“高级设置”界面，勾选“指定身份验证模式”，并选择身份验证模式为“用户身份验证”，单击“确定”。

iv.认证通过后，在AC上选择“监控 > 用户”，可以看到员工的在线信息。

----结束

联系我们

责任编辑：