华为WLAN 802.1x+AD+NPS+DHCP动态下发VLAN配置
作者:闫欢
Q Q:253408824
一、准备工作
1.AD Windows Server 2008 R2服务器:创建域帐号和组
硬件需求:
内存:2G以上
硬盘:20G以上
CPU:1.4GHz(X64架构)
2.NPS:通过NPS做访问策略
3.DHCP:验证通过后分配ip地址
4.网络设备:华为ACU或SPU板卡及AP
二、需求
1、拓扑图
2、基于802.1x动态下发vlan配置:
下面两个用户使用笔记本移动办公都要获取自己所保留网段的IP
用户huan.yan通过802.1x认证后获取172.16.222.0/24的地址
用户obama通过802.1x认证后获取172.16.223.0/24的地址
三、配置网络设备
1、配置核心交换机(华为S7712有线侧)
sysnameCore-Switch 更改主机名
vlan batch 31 32 222 223 批量创建vlan
int vlan 32 创建管理vlan 32虚拟接口
ip address 172.16.32.254 24 配置管理vlan 32 网关地址
int vlan 31 创建服务器vlan 31虚拟接口
ip address 172.16.31.254 24 配置服务器vlan 31 网关地址
int vlan 222 创建业务vlan 222虚拟接口
ip address 172.16.222.254 24 配置业务vlan 222 网关地址
dhcp select relay
dhcp relay server-ip 172.16.31.66
配置DHCP中继服务器为172.16.31.66
int vlan 223 创建业务vlan 223虚拟接口
ip address 172.16.223.254 24 配置业务vlan 223 网关地址
dhcp select relay
dhcp relay server-ip 172.16.31.66
配置DHCP中继服务器为172.16.31.66
开启DHCP服务
dhcp enable
G10/0/1端口配置
interface G10/0/1
description To Windows Server 2008
portlink-type access
portdefault vlan 31
XG8/0/0接口配置(连接无线侧SPU板卡)
interface XGigabitEthernet8/0/0
description To SPU-XG0/0/1
portlink-type trunk
porttrunk allow-pass all
2、配置7712无线侧(AC)
sysname 802.1x AC 更改主机名
vlan batch 32 222to 223 批量创建VLAN 32 222和223
int Vlan 32 创建管理VLAN 32虚拟接口
ip address 172.16.32.25324
配置管理IP为172.16.32.254/24
配置上联口XG0/0/1
interface XGigabitEthernet0/0/1
description To S7712-XG8/0/0
port link-type trunk
porttrunk allow-pass all
创建radius模版
radius-server template test.com
radius-servershared-key simple test.com
radius-serverauthentication 172.16.31.66 1812
radius-server accounting 172.16.31.66 1813
radius-server retransmit 2
undoradius-server user-name domain-included
配置aaa
aaa
authentication-scheme test.com
authentication-mode radius
authorization-scheme test.com
accounting-scheme test.com
accounting-mode radius
domain test.com
authentication-scheme test.com
accounting-scheme test.com
authorization-scheme test.com
radius-server test.com
创建ESS模板
interface Wlan-Ess1
description RENREN
undo port hybrid vlan 1
porthybrid untagged vlan 222 223
dot1x-authentication enable
dot1xauthentication-method eap
force-domain test.com
配置无线的加密方式
security-profile name RENREN id 1
security-policy wpa2
配置无线服务模板
service-set name RENREN id 12
max-user-number 25
wlan-ess 12
ssidRENREN
association-timeout 15
traffic-profile id 3
security-profile id 12
service-vlan 223
配置RADIO模板(2.4G及5G)
radio-profile name 2.4G id 0
radio-type 80211gn
channel-mode fixed
power-mode fixed
sta-access-limit signal-strength enable
sta-access-limit signal-strength threshold -65
beacon-interval 200
wmm-profile id 1
undocalibrate enable
80211n guard-interval-mode short
radio-profile name 5G id 2
radio-type 80211an
channel-mode fixed
power-mode fixed
sta-access-limit signal-strength enable
sta-access-limit signal-strength threshold -65
beacon-interval 200
wmm-profile id 1
undocalibrate enable
80211n guard-interval-mode short
配置默认域
domain test.com
开启DHCP服务
dhcp enable
配置默认路由
ip route 0.0.0.0 0.0.0.0 172.16.32.254
网络设备全部配置完毕
一、更改客户端配置,开启802.1x认证服务
1、Win7客户端配置,需要开启Wired AutoConfig(WLAN的)
运行输入services.msc
找到Wired AutoConfig 服务,改为自动,并启动,确定
打开网络和共享中心
找到无线网络连接,打开网卡属性→身份验证
如果电脑已经加入域test.com,则需要做以下配置,即会自动用现已登录域帐号去认证
若客户端没有加入test.com域,或属于其他域,则需要做以下配置,输入域帐号密码即可以连接
2、WinXP客户端配置,需要开启Wired Auto Config及Wireless ZeroConfiguration服务
设置自动启动
找到无线网络连接,右击属性
(1)如果电脑已经加入域test.com,无需作配置,会自动使用登陆账号认证
(2)若客户端没有加入test.com域,或属于其他域,则需要做以下配置,输入域帐号密码即可以连接