Aruba Controller 基于802.1x实现证书认证

一:测试需求

   XX企业目前要求使用 Aruba设备进行无线网络的稳定覆盖以及安全性的保障。
为了保证安全性的要求 ,XX企业要求Aruba设备建立两个无线SSID,一个SSID叫CA,用户初始连接到CA进行证书申请(用户处于vlan 710),没有访问其它网络的权限。另一个SSID叫Employee,是正常的业务SSID,要求用户连接时使用证书认证,并且能够对认证成功后的用户进行正确的授权。
:测试拓扑
 

测试设备:
思科CISCO 7609
Aruba 6000-400 无线控制器
    思科Catalyst 3750-24PS 24口POE交换机
    Aruba AP 105/125
    Windows Server 2003 Enterprise (AD+DNS+IIS+CA)
    Cisco ACS 4.2
 
:测试内容
    1: 释放两个SSID,一个叫CA,另一个叫Employee。
   2:CA SSID 需要隐藏, 只有手动添加SSID才能接入,无线用户不需要认证即可接入进行证书申请。
Employee SSID 无线用的认证采用802.1x基于Cisco ACS Server进行认证(ACS Server和CA进行集成),并且能够将用户授权到特定的vlan。
   3: 为了保证安全性,
不允许用户随意更改IP地址,只能通过DHCP下发的地址访问业务。如果用户随意更改IP地址,用户将不能访问任何地址。
为了防止无线用户私设DHCP服务器影响网络的正常工作,要求所有无线用户不能作为DHCP Server。(拒绝用户发往任何UDP 68的的报文)
:测试步骤
1:POE 交换机的配置
2:ACS Server 的配置(AD+DNS+IIS+CA+ACS的配置由于篇幅关系,此处省略)
3:Aruba AC 的配置
4: 安全性配置
5: 客户端测试
    1:3750 POE 交换机的配置

1: 接口配置
   配置上连接口为trunk接口
   将连接AP的接口划分到vlan 96

2:DHCP Server 的配置(为AP分配地址,无线用户的地址使用Windows DHCP分配)
(cisco3750SW) (config) #ip dhcp pool vlan96
(cisco3750SW) (config-dhcp)#network 172.16.22.0 255.255.255.0
(cisco3750SW) (config-dhcp)#default-router 172.16.22.1
(cisco3750SW) (config-dhcp)#option 43 ip 100.100.6.188
(cisco3750SW) (config-dhcp)#exit      
(cisco3750SW) (config) #service dhcp

    2:Cisco ACS Server 的配置;

以上是图例:集成商在实际配置中
添加100.100.6.188做为AAA Client的IP地址。
Key 123456789
Authenticate 使用Radius(IETF)
Submit+Apply 完成Aruba AC作为客户端的配置。
 

3:Aruba AC 上的无线的配置

配置802.1x基于CA的SSID Employee
(Aruba6000AC1) (config) #aaa authentication-server radius ht-radius
(Aruba6000AC1) (RADIUS Server "ht-radius") #host 100.100.100.116
(Aruba6000AC1) (RADIUS Server "ht-radius") #key 123456789
(Aruba6000AC1) (RADIUS Server "ht-radius") #enable
(Aruba6000AC1) (RADIUS Server "ht-radius") #exit
 
(Aruba6000AC1) (config) #aaa server-group ht-dot1x-server-group
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #auth-server ht-radius
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #set role condition role value-of
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #exit
 
(Aruba6000AC1) (config) #aaa authentication dot1x ht-dot1x-aaa-auth-profile
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination eap-type eap-tls
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination inner-eap-type eap-mschapv2
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") # exit
 
(Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #dot1x-server-group ht-dot1x-server-group
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #authentication-dot1x ht-dot1x-aaa-auth-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit
 
(Aruba6000AC1) (config) #wlan ssid-profile ht-dot1x-ssid-profile
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid Employee
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #opmode wpa-tkip
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit
 
(Aruba6000AC1) (config) #wlan virtual-ap  ht-dot1x-vap-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile ht-dot1x-aaa-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ht-dot1x-ssid-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 703-704,710,900-902,905                   
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit
 
(Aruba6000AC1) (config) #ap-group default
(Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap ht-dot1x-vap-profile
(Aruba6000AC1) (AP group "ht-dot1x") #exit
 

AC上导入CA服务器的根证书并在aaa profile下调用root CA。

 

 
配置申请证书的SSID CA
 
(Aruba6000AC1) (config) #aaa profile aaa
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit
 
(Aruba6000AC1) (config) #wlan ssid-profile ssid
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid CA
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") # hide-ssid                //隐藏SSID
 (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit
 
(Aruba6000AC1) (config) #wlan virtual-ap  open-vap
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile aaa
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ssid
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 710                 
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit
 
(Aruba6000AC1) (config) #ap-group default
(Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap open-vap
(Aruba6000AC1) (AP group "ht-dot1x") #exit
:安全性配置
随意更改IP地址的防护

(Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") # enforce-dhcp  
// 只能使用DHCP下发的IP地址

私设DHCP服务器的防护
 

(Aruba6000AC1) (config) # ip access-list session nodhcp
(Aruba6000AC1) (config-access-list) # user any udp 68 deny
                 // 拒绝无线用户发往任何UDP 68的报文,调用到用户的角色下
user-role guest
 access-list session nodhcp
 access-list session http-acl
 access-list session https-acl
 access-list session dhcp-acl
 access-list session icmp-acl
 access-list session dns-acl
 access-list session v6-http-acl
 access-list session v6-https-acl
 access-list session v6-dhcp-acl
 access-list session v6-icmp-acl
 access-list session v6-dns-acl

:客户端测试
 
客户端要求
1)支持WPA/WPA2的无线网卡;
2)完成证书的安装和EAP-TLS等配置
 
在以太网卡的连接属性中选择“Authentication→Enable IEEE 802.1x authentication for this network”,EAP type选为“智能卡或其它证书”,勾选“Authenticate as computer when computer information is available”,然后再点Properties,在EAP属性窗口中选择“Validate server certificate”,同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA,这里为ca,Authentication Method选成“Secure password (EAP-MSCHAP v2)”。再点Configure按钮确保“Automatically use my Windows logon name and password (and domain if any)”选项已被选中;
 

 

以上是图例:
选择XX企业内部的CA Server。
 
:测试结果
1: 用户可以通过CA认证成功,并能进行正确的vlan授权。(第一次将无线网卡的认证配置完成后之后零配置)
2: 用户不能手动随更改IP地址。(类似于IP Source Guard技术)
3: 用户私设DHCP Server后,其它用户不会从其获取地址。(因为我们已经拒绝了无线端客户的DHCPoffer报文)
 
备注:限于篇幅,服务器的安装与配置以及一些细节方面的内容本文省略,详见附件,如有问题也可留言,希望能与大家一起讨论。

 

你可能感兴趣的:(802.1x实现证书认证,EAP-TLS)