华为 WLAN802.1x动态下发vlan配置（AC篇）

华为WLAN 802.1x+AD+NPS+DHCP动态下发VLAN配置

作者：闫欢

                 Q  Q：253408824

一、准备工作

1.AD Windows Server 2008 R2服务器：创建域帐号和组

硬件需求：

内存：2G以上

硬盘：20G以上

CPU：1.4GHz(X64架构)

2.NPS：通过NPS做访问策略

3.DHCP：验证通过后分配ip地址

4.网络设备:华为ACU或SPU板卡及AP

二、需求

1、拓扑图

2、基于802.1x动态下发vlan配置：

下面两个用户使用笔记本移动办公都要获取自己所保留网段的IP

用户huan.yan通过802.1x认证后获取172.16.222.0/24的地址

          用户obama通过802.1x认证后获取172.16.223.0/24的地址

三、配置网络设备

1、配置核心交换机（华为S7712有线侧）

sysnameCore-Switch                更改主机名

vlan batch 31 32 222 223           批量创建vlan

int vlan 32                        创建管理vlan 32虚拟接口

ip address 172.16.32.254 24        配置管理vlan 32 网关地址

int vlan 31                        创建服务器vlan 31虚拟接口

ip address 172.16.31.254 24        配置服务器vlan 31 网关地址

int vlan 222                       创建业务vlan 222虚拟接口

ip address 172.16.222.254 24       配置业务vlan 222 网关地址

dhcp select relay                  

dhcp relay server-ip 172.16.31.66  

配置DHCP中继服务器为172.16.31.66

int vlan 223                       创建业务vlan 223虚拟接口

ip address 172.16.223.254 24       配置业务vlan 223 网关地址

dhcp select relay                

dhcp relay server-ip 172.16.31.66  

配置DHCP中继服务器为172.16.31.66

开启DHCP服务

dhcp enable

G10/0/1端口配置

interface G10/0/1

description To Windows Server 2008

portlink-type access

portdefault vlan 31

XG8/0/0接口配置（连接无线侧SPU板卡）

interface XGigabitEthernet8/0/0

description To SPU-XG0/0/1

portlink-type trunk

porttrunk allow-pass all

2、配置7712无线侧（AC）

sysname 802.1x AC               更改主机名

vlan batch 32 222to 223        批量创建VLAN 32 222和223

int Vlan 32                     创建管理VLAN 32虚拟接口

ip address 172.16.32.25324

配置管理IP为172.16.32.254/24

配置上联口XG0/0/1

interface XGigabitEthernet0/0/1

description To S7712-XG8/0/0

port link-type trunk

porttrunk allow-pass all

创建radius模版

radius-server template test.com

      radius-servershared-key simple test.com

      radius-serverauthentication 172.16.31.66 1812

radius-server accounting 172.16.31.66 1813

radius-server retransmit 2

undoradius-server user-name domain-included

配置aaa

aaa

authentication-scheme test.com          

authentication-mode radius

authorization-scheme test.com

accounting-scheme test.com

accounting-mode radius

domain test.com

authentication-scheme test.com

accounting-scheme test.com

authorization-scheme test.com

radius-server  test.com

创建ESS模板

interface Wlan-Ess1

description RENREN

undo port hybrid vlan 1

porthybrid untagged vlan 222 223

dot1x-authentication enable

dot1xauthentication-method eap

force-domain test.com

配置无线的加密方式

security-profile name RENREN id 1

security-policy wpa2

配置无线服务模板

service-set name RENREN id 12

max-user-number 25

wlan-ess 12

 ssidRENREN

association-timeout 15

traffic-profile id 3

security-profile id 12

service-vlan 223

配置RADIO模板（2.4G及5G）

radio-profile name 2.4G id 0

radio-type 80211gn

channel-mode fixed

power-mode fixed

sta-access-limit signal-strength enable

sta-access-limit signal-strength threshold -65

beacon-interval 200

wmm-profile id 1

 undocalibrate enable

80211n guard-interval-mode short

radio-profile name 5G id 2

radio-type 80211an

channel-mode fixed

power-mode fixed

sta-access-limit signal-strength enable

sta-access-limit signal-strength threshold -65

beacon-interval 200

wmm-profile id 1

 undocalibrate enable

80211n guard-interval-mode short

配置默认域

domain test.com

开启DHCP服务

dhcp enable

配置默认路由

ip route 0.0.0.0 0.0.0.0 172.16.32.254

网络设备全部配置完毕

一、更改客户端配置，开启802.1x认证服务

1、Win7客户端配置，需要开启Wired AutoConfig（WLAN的）

运行输入services.msc

找到Wired AutoConfig 服务，改为自动，并启动，确定

打开网络和共享中心

找到无线网络连接，打开网卡属性→身份验证

如果电脑已经加入域test.com，则需要做以下配置，即会自动用现已登录域帐号去认证

若客户端没有加入test.com域，或属于其他域，则需要做以下配置，输入域帐号密码即可以连接

2、WinXP客户端配置，需要开启Wired Auto Config及Wireless ZeroConfiguration服务

设置自动启动

找到无线网络连接，右击属性

（1）如果电脑已经加入域test.com，无需作配置，会自动使用登陆账号认证

（2）若客户端没有加入test.com域，或属于其他域，则需要做以下配置，输入域帐号密码即可以连接