【交换机在江湖】交换机与CiscoISE服务器对接典型案例(四)

华为悦读汇 · 2017-01-11· 阅读量 1


配置通过802.1X认证控制无线终端访问网络

(V200R009C00及之后版本)


无线802.1x认证简介

802.1x认证是网络接入控制方案(NAC)中的一种,是一种基于端口的网络接入控制协议,通过它能够实现保护企业内网的安全性的目的。

802.1x认证安全性较高,但是却需要客户终端安装802.1x客户端,网络部署不灵活。相较而言,NAC中的MAC认证方式不需要安装客户端,但是需要在认证服务器上登记MAC地址,管理复杂;而Portal认证方式同样不需要客户端并且部署灵活,但是安全性不高。

所以,802.1x认证一般适用于新建网络、用户集中并且信息安全要求严格的场景。


配置注意事项

  • 举例中的认证&授权服务器以思科公司2.0.0.306版本的Cisco Identity Services Engine(ISE)为例。

  • 隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。直接转发模式下,管理VLAN和业务VLAN建议也不要配置为同一VLAN。

  • 数据转发方式为直接转发时,建议在直接连接AP的设备接口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。

  • 配置管理VLAN和业务VLAN:

    -  隧道转发模式下,业务报文会封装在CAPWAP数据隧道中进行传输,发送给AC,然后由AC再转发到上层网络或AP,所以只要配置AC与AP间的网络加入管理VLAN和业务VLAN,AC与上层网络间的网络加入业务VLAN,就能正常传输业务报文和管理报文。

    -  直接转发模式下,业务报文不会进行CAPWAP封装,而是直接转发给上层网络或AP,所以需要配置AC与AP间的网络加入管理VLAN,AP与上层网络间的网络加入业务VLAN,才能正常传输业务报文和管理报文。

  • 纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。

    -  业务数据转发方式采用直接转发时,建议在直连AP的交换机接口上配置组播报文抑制。

    -  业务数据转发方式采用隧道转发时,建议在AC的流量模板下配置组播报文抑制。

    配置方法请参见《配置指南-WLAN-AC配置-WLAN QoS配置》中的“如何配置组播报文抑制,减小大量低速组播报文对无线网络造成的冲击”。

  • 适用的产品和版本如下表所示。

举例适用的产品和版本

软件版本

产品形态

配套AP形态和版本

V200R010C00

S5720HI,S7700,S9700

说明

对于S7700,建议使用S7712、S7710或S7706,不建议使用S7703。

对于S9700,建议使用S9712或S9706,不建议使用S9703。

V200R007C10:

AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110SN-GN,AP7110DN-AGN,AP5010SN-GN,AP5010DN-AGN,AP3010DN-AGN,AP5030DN,AP5130DN,AP7030DE,AP2010DN,AP8130DN,AP8030DN,AP9330DN,AP4030DN,AP4130DN,AP3030DN,AP2030DN,AP9131DN,AP9132DN,AP5030DN-S,AP3010DN-V2,AP4030DN-E,AD9430DN-24,AD9430DN-12,R230D,R240D,AP6050DN,AP6150DN,AP7050DE,AP7050DN-E,AP4030TN,AP4050DN-E,AP4050DN-HD,AP430-E,R250D,R250D-E,AP2050DN,AP2050DN-S,AP2050DN-E,AP1010SN,AP8130DN-W

V200R007C00:

AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110SN-GN,AP7110DN-AGN,AP5010SN-GN,AP5010DN-AGN,AP3010DN-AGN,AP5030DN,AP5130DN,AP7030DE,AP2010DN,AP8130DN,AP8030DN,AP9330DN,AP4030DN,AP4130DN,AP3030DN,AP2030DN,AP9131DN,AP9132DN,AP5030DN-S,AP3010DN-V2,AP4030DN-E,AD9430DN-24,AD9430DN-12,R230D,R240D,AP6050DN,AP6150DN,AP7050DE,AP7050DN-E,AP4030TN,AP4050DN-E,AP4050DN-HD,AP430-E

V200R006C20:

AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110SN-GN,AP7110DN-AGN,AP5010SN-GN,AP5010DN-AGN,AP3010DN-AGN,AP5030DN,AP5130DN,AP7030DE,AP2010DN,AP8130DN,AP8030DN,AP9330DN,AP4030DN,AP4130DN,AP3030DN,AP2030DN,AP9131DN,AP9132DN,AP5030DN-S,AP3010DN-V2,AP4030DN-E,AD9430DN-24,AD9430DN-12,R230D,R240D

V200R006C10:

AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110SN-GN,AP7110DN-AGN,AP5010SN-GN,AP5010DN-AGN,AP3010DN-AGN,AP5030DN,AP5130DN,AP7030DE,AP2010DN,AP8130DN,AP8030DN,AP9330DN,AP4030DN,AP4130DN,AP3030DN,AP2030DN,AP5030DN-S,AP3010DN-V2

V200R009C00

S5720HI,S7700,S9700

说明

对于S7700,建议使用S7712或S7706,不建议使用S7703。

对于S9700,建议使用S9712或S9706,不建议使用S9703。

V200R007C00:

AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110SN-GN,AP7110DN-AGN,AP5010SN-GN,AP5010DN-AGN,AP3010DN-AGN,AP5030DN,AP5130DN,AP7030DE,AP2010DN,AP8130DN,AP8030DN,AP9330DN,AP4030DN,AP4130DN,AP3030DN,AP2030DN,AP9131DN,AP9132DN,AP5030DN-S,AP3010DN-V2,AP4030DN-E,AD9430DN-24,AD9430DN-12,R230D,R240D,AP6050DN,AP6150DN,AP7050DE,AP7050DN-E,AP4030TN,AP4050DN-E,AP4050DN-HD,AP430-E

V200R006C20:

AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110SN-GN,AP7110DN-AGN,AP5010SN-GN,AP5010DN-AGN,AP3010DN-AGN,AP5030DN,AP5130DN,AP7030DE,AP2010DN,AP8130DN,AP8030DN,AP9330DN,AP4030DN,AP4130DN,AP3030DN,AP2030DN,AP9131DN,AP9132DN,AP5030DN-S,AP3010DN-V2,AP4030DN-E,AD9430DN-24,AD9430DN-12,R230D,R240D

V200R006C10:

AP6010SN-GN,AP6010DN-AGN,AP6310SN-GN,AP6510DN-AGN,AP6610DN-AGN,AP7110SN-GN,AP7110DN-AGN,AP5010SN-GN,AP5010DN-AGN,AP3010DN-AGN,AP5030DN,AP5130DN,AP7030DE,AP2010DN,AP8130DN,AP8030DN,AP9330DN,AP4030DN,AP4130DN,AP3030DN,AP2030DN,AP5030DN-S,AP3010DN-V2

 

组网需求

如图所示,某企业AC连接出口网关Router和RADIUS服务器,并通过接入交换机SwitchA与AP连接。通过WLAN部署,提供SSID为wlan-net的无线网络方便员工随时随地接入。同时,网关Router作为DHCP服务器为无线用户提供10.23.101.0/24网段的IP地址,AC上对用户进行集中控制和管理。

由于无线网络开放性的特点,如果无线网络不采取适当的安全策略,企业信息就存在安全风险。为了满足企业对信息的高安全性需求,采用WPA2的安全策略,并使用802.1X认证,通过RADIUS服务器认证无线用户的身份,使用更为安全的AES加密方式。为了支持多种802.1X的认证协议,将AC配置为EAP中继模式。

配置802.1X认证组网图

 

数据规划

数据规划表

配置项

数据

管理VLAN

VLAN100

业务VLAN

VLAN101

AC的源接口

VLANIF100:10.23.100.1/24

SwitchA VLAN

VLAN100

DHCP服务器

  • AC为AP分配地址:10.23.100.2~10.23.100.254/24

  • Router为STA分配地址:10.23.101.2~10.23.101.254/24

  • DNS服务器地址:8.8.8.8

AP的网关

VLANIF100:10.23.100.1/24

STA的网关

VLANIF101:10.23.101.1/24

RADIUS认证参数

  • RADIUS服务器模板名称:radius_huawei

  • IP地址:10.23.103.1

  • 认证端口号:1812

  • 共享密钥:huawei@123

  • 认证方案:radius_huawei

  • AAA域:huawei.com

802.1X接入模板

  • 名称:wlan-dot1x

  • 认证方式:EAP

认证模板

  • 名称:wlan-authentication

  • 引用模板:802.1X接入模板wlan-dot1x

  • 用户强制域:huawei.com

AP组

  • 名称:ap-group1

  • 引用模板:VAP模板wlan-vap、域管理模板domain1

域管理模板

  • 名称:domain1

  • 国家码:CN

SSID模板

  • 名称:wlan-ssid

  • SSID名称:wlan-net

安全模板

  • 名称:wlan-security

  • 安全策略:WPA2-802.1X-AES

VAP模板

  • 名称:wlan-vap

  • 转发模式:隧道转发

  • 业务VLAN:VLAN101

  • 引用模板:SSID模板wlan-ssid、安全模板wlan-security、认证模板wlan-authentication

 

ISE服务器数据规划表

配置项

数据

部门

R&D department

接入用户

帐号:A-123

密码:Huawei123

AC的IP地址

AC:10.23.100.1

RADIUS认证密钥

123456

 

配置思路

1.  在设备上配置AP、AC和上层网络互通。

2.  在设备上配置AC给AP分配IP地址,Router给STA分配IP地址。

3.  在设备上配置RADIUS认证参数。

4.  在设备上配置802.1X接入模板,管理802.1X接入控制参数。

5.  在设备上配置认证模板,绑定802.1X接入模板,并配置用户强制域。

6.  在设备上配置AP上线。

7.  在设备上配置WLAN业务参数,其中,安全策略配置为WPA2-802.1X-AES,VAP模板下绑定安全模板和认证模板,对访问WLAN网络的STA进行接入控制。

8.  在ISE服务器上配置认证设备信息、用户信息和802.1X认证功能,实现设备接入、用户接入、基于用户的MAC身份信息进行802.1X认证。


配置文件

SwitchA的配置文件


sysname SwitchA 

vlan batch 100 

interface GigabitEthernet0/0/1 
 port link-type trunk 
 port trunk pvid vlan 100 
 port trunk allow-pass vlan 100 

interface GigabitEthernet0/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 100 

return

Router的配置文件


sysname Router 

vlan batch 102 

dhcp enable 

ip pool sta 
 gateway-list 10.23.101.1 
 network 10.23.101.0 mask 255.255.255.0 
 dns-list 8.8.8.8 

interface Vlanif102 
 ip address 10.23.102.1 255.255.255.0 
 dhcp select global 

interface GigabitEthernet2/0/0 
 port link-type trunk 
 port trunk allow-pass vlan 102 

ip route-static 10.23.101.0 255.255.255.0 10.23.102.2 

return

AC的配置文件


sysname AC 

vlan batch 100 to 103 

authentication-profile name wlan-authentication 
 dot1x-access-profile wlan-dot1x 
 access-domain huawei.com dot1x force 

dhcp enable 

radius-server template radius_huawei 
 radius-server shared-key cipher %^%#*7d1;XNof/|Q0
sP!,W51DIYPx}`AARBdJ'0B^$%^%# 
 radius-server authentication 10.23.103.1 1812 weight 80 

aaa 
 authentication-scheme radius_huawei 
  authentication-mode radius 
 domain huawei.com 
  authentication-scheme radius_huawei 
  radius-server radius_huawei 

interface Vlanif100 
 ip address 10.23.100.1 255.255.255.0 
 dhcp select interface 

interface Vlanif101 
 ip address 10.23.101.1 255.255.255.0 
 dhcp select relay 
 dhcp relay server-ip 10.23.102.1 

interface Vlanif102 
 ip address 10.23.102.2 255.255.255.0 

interface Vlanif103 
 ip address 10.23.103.2 255.255.255.0 

interface GigabitEthernet1/0/1 
 port link-type trunk 
 port trunk allow-pass vlan 100 

interface GigabitEthernet1/0/2 
 port link-type trunk 
 port trunk allow-pass vlan 102 

interface GigabitEthernet1/0/3 
 port link-type trunk 
 port trunk pvid vlan 103 
 port trunk allow-pass vlan 103 

ip route-static 0.0.0.0 0.0.0.0 10.23.102.1 

capwap source interface vlanif100 

wlan 
 security-profile name wlan-security 
  security wpa2 dot1x aes 
 ssid-profile name wlan-ssid 
  ssid wlan-net 
 vap-profile name wlan-vap 
  forward-mode tunnel 
  service-vlan vlan-id 101 
  ssid-profile wlan-ssid 
  security-profile wlan-security 
  authentication-profile wlan-authentication 
 regulatory-domain-profile name domain1 
 ap-group name ap-group1 
  regulatory-domain-profile domain1 
  radio 0 
   vap-profile wlan-vap wlan 1 
  radio 1 
   vap-profile wlan-vap wlan 1 
 ap-id 0 type-id 19 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042 
  ap-name area_1 
  ap-group ap-group1 

dot1x-access-profile name wlan-dot1x 

return


配置步骤

1、点击左下角阅读原文查看。

2、在电脑上下载。

 

如何在电脑上下载本案例配置文件?

步骤一:在百度中搜索“交换机案例


步骤二:进入“
【汇总贴】【交换机在江湖】

步骤三:在目录中找到本案例,下载附件即可。

 

进入公众号后回复S,查看更多交换机相关内容。

 查看原文    文章为作者独立观点,不代表豆芽派文章网立场
广告位
华为悦读汇的最新文章
【交换机在江湖】QoS专题-第5期-QoS实现之队列调度与报文丢弃

前面的专题里面介绍了通过优先级映射或者MQC对报文进行分类和标记,那么分类之后要做什么呢?那就是根据分类结果对报文进行流量控制处理。拥塞管理和拥塞避免就是两种流

【强强对接|Cisco篇】NGFW以策略方式与ASA建立IPSec隧道

获取更多相关资讯,请关注后回复“书架”。

【关知汇】65个AR路由器常用配置视频大放送

这么多常见配置视频,关关真是大方,堪称视界盛宴!——天津某代理商工程师评价当然了,看视频还是PC爽一些,请点击“阅读原文”查看视频。

你还在问哪些功能需要License?直接用License查询工具啊!

点击“阅读原文”,即可抢先体验。

【交换机在江湖对接专题】配置设备对接NLB服务器群集示例(通过多端口ARP方法)

多端口ARP简介NLB是微软在Windows Server上开发的多服务器群集负载均衡特性。交换机与NLB服务器群集相连时,NLB服务器要求交换机能够将目的IP地址是NLB服务器群集IP地

【eDesk黑洞】你可能用了假设备?!

我可能用了假设备?!不然为什么设备版本评估那么难?!为什么批量打补丁耗时那么长?!快来试试eDesk版本评估吧!eDesk版本评估,设备软件版本状况全掌握!想了解更多eDesk相关信息,请

【交换机在江湖对接案例】配置单台设备对接NLB服务器群集示例(通过物理链路环回方法)

往期链接:【交换机在江湖对接专题】配置设备对接NLB服务器群集示例(通过多端口ARP方法)设备通过物理链路环回方法对接NLB服务器群集简介NLB是微软在Windows Server上开发

【强强对接|Cisco篇】NGFW以模板方式与ASA建立IPSec隧道

好案例抢先看:NGFW以模板方式与ASA建立IPSec隧道。

【交换机在江湖对接案例】配置VRRP备份组对接NLB服务器群集示例(通过物理链路环回方法)

设备通过物理链路环回方法对接NLB服务器群集简介NLB是微软在Windows Server上开发的多服务器群集负载均衡特性。交换机与NLB服务器群集相连时,NLB服务器要求交换机能够

ConnectingtheARtotheCisco2900ThroughthePRATrunk

1 OverviewA PRA trunk is a digital circuit trunk and uses an E1interface on the PBX to connect to the remote device through an E1 trunk line.The PRA