配置WPA+802.1X认证示例
组网需求
如图1所示,现有网络中AC连接上层网络中的Radius服务器,并通过接入交换机连接管理AP。
若在无线网络中采取简单的安全策略,并不能完全保证无线网络的安全,无线网络中的加密数据还是存在被破解的风险。企业希望利用Radius服务器在无线网络中配置802.1X认证,完全保证无线网络安全。
图1 配置WPA+802.1X认证组网图
配置思路
采用如下的思路在Router上进行配置。
配置802.1X认证。
1. 在系统视图下开启全局80
2.1X认证。
2. 配置802.1X认证时使用的RADIUS方案。
3. 创建802.1X认证时使用的域,并在域中引用RADIUS方案作为AAA的认证方案。
配置AC。
1. 配置Switch和AC,实现AP和AC互通。
2. 配置AC的基本功能,包括配置AC运营商标识和ID、AC与AP之间通信的源接口,实现AC作为DHCP Server功能。
3. 配置AP上线的认证方式,并把AP加入AP域中,实现AP正常工作。
4. 配置VAP,下发WLAN业务,实现STA访问WLAN网络功能。
其中配置VAP,需要:
a. 配置WLAN-ESS接口,并在服务集下绑定该接口,实现无线侧报文到达AC后能够送至WLAN业务处理模块功能。
b. 配置AP对应的射频模板,并在射频下绑定该模板,实现STA与AP之间的无线通信参数配置。
c. 配置AP对应的安全模板,配置安全策略为WPA+802.1X+PEAP+CCMP。
d. 配置AP对应的服务集,并在服务集下配置数据直接转发模式,绑定安全模板、流量模板,实现STA接入网络安全策略及QoS控制。
e. 配置VAP并下发,实现STA访问WLAN网络功能。
说明:
·请确保RADIUS服务器地址、端口号、共享密钥配置正确,并且和RADIUS服务器保持一致。
·建议采用CCMP加密方式,TKIP和WEP加密机制都是使用RC4算法,安全性较低。·采用802.1X方式时,设备共支持WPA+802.1X+PEAP+TKIP,WPA+802.1X+PEAP+CCMP,WPA2+802.1X+PEAP+TKIP,WPA2+802.1X+PEAP+CCMP,WPA+802.1X+TLS+TKIP,WPA+802.1X+TLS+CCMP,WPA2+802.1X+TLS+TKIP和WPA2+802.1X+TLS+CCMP八种方式。可
以通过执行命令{ wpa | wpa2 } authentication-method dot1x { peap | tls } encryption-method { tkip | ccmp },修改为对应的认证或加密方式。
·在无线网络中,当采用windows客户端进行802.1X时,只能采用EAP模式,需执行命令dot1x authentication-methodeap配置无线用户的认证方式为EAP认证。
操作步骤
1. 配置接入交换机
# 使接入交换机透传所有的业务VLAN,由交换机给AP管理报文打tag。业务VLAN是VLAN 101,管理VLAN是VLAN 800
说明:
需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。
端口隔离功能未开启时,建议从接入交换机到AC之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1,防止引起报文冲突,占用端口资源。
[Quidway] vlan batch 101 800
[Quidway] l2protocol-tunnel user-defined-protocol eap protocol-mac 0180-c200-0003 group-mac 0100-5e00-0012
[Quidway] interface Ethernet 0/0/1
[Quidway-Ethernet0/0/1] port link-type trunk
[Quidway-Ethernet0/0/1] port trunk pvidvlan 800
[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 101 800
[Quidway-Ethernet0/0/1] l2protocol-tunnel user-defined-protocol eap enable
[Quidway-Ethernet0/0/1] bpdu enable
[Quidway-Ethernet0/0/1] port-isolate enable
[Quidway-Ethernet0/0/1] quit
[Quidway] interface GigabitEthernet 0/0/1
[Quidway-GigabitEthernet0/0/1] port link-type trunk
[Quidway-GigabitEthernet0/0/1] port trunk allow-pass vlan 101 800
[Quidway-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol eap enable [Quidway-GigabitEthernet0/0/1] bpdu enable
[Quidway-GigabitEthernet0/0/1] quit
说明:
802.1x+数据直接转发的组网情况下,需要在AC与AP之间配置二层协议透明传输,配置方法如下:
·框式交换机设备:只需要在接口视图下执行命令bpdu bridge enable。
·盒式交换机设备:全局视图下执行命令l2protocol-tunnel user-defined-protocol protocol-name protocol-mac protocol-mac group-mac group-mac;并且接口视图下执行命令l2protocol-tunnel user-defined-protocol protocol-name enable和命令bpdu enable。
2. 配置AC有线侧,将流量引入AC无线侧
说明:
AC6605中有线侧与无线侧相连的端口分别为XGE 0/0/27和XGE 0/0/1。
根据实际组网情况在AC上行口配置业务VLAN透传,和上行网络设备互通。
[Quidway] sysname AC-LSW
[AC-LSW] vlan batch 101 800
[AC-LSW] interface GigabitEthernet 0/0/1
[AC-LSW-GigabitEthernet0/0/1] port link-type trunk
[AC-LSW-GigabitEthernet0/0/1] port trunk allow-pass vlan 101 800
[AC-LSW-GigabitEthernet0/0/1] quit
[AC-LSW] interface xGigabitEthernet 0/0/27
[AC-LSW-XGigabitEthernet0/0/27] port link-type trunk
[AC-LSW-XGigabitEthernet0/0/27] port trunk allow-pass vlan 101 800
[AC-LSW-XGigabitEthernet0/0/27] quit
3. 配置AC
a. 配置AC无线侧连接有线侧的接口,使能AC的DHCP服务器功能
b.
c. [Quidway] sysname AC
d. [AC] vlan batch 101 800
e. [AC] dhcp enable
f. [AC] interface Vlanif 800
g. [AC-Vlanif800] ip address 172.1.1.1 24
h. [AC-Vlanif800] dhcp select interface
i. [AC-Vlanif800] quit
j. [AC] interface Vlanif 101
k. [AC-Vlanif101] ip address 128.1.1.1 24
l. [AC-Vlanif101] dhcp select interface
m. [AC-Vlanif101] quit
n. [AC] interface XGigabitEthernet 0/0/1
o. [AC-XGigabitEthernet0/0/1] port link-type trunk
p. [AC-XGigabitEthernet0/0/1] port trunk allow-pass vlan 101 800
q. [AC-XGigabitEthernet0/0/1] quit
r. 配置RADIUS服务器模板与AAA方案,并配置域信息。
说明:
请确保AC与RADIUS服务器的Shared-key相同。
[AC] radius-server template radius_huawei
[AC-radius-radius_huawei] radius-server authentication 192.168.0.2 1812
[AC-radius-radius_huawei] radius-server shared-key simple huawei
[AC-radius-radius_huawei] quit
[AC] aaa
[AC-aaa] authentication-scheme radius_huawei
[AC-aaa-authen-radius_huawei] authentication-mode radius
[AC-aaa-authen-radius_huawei] quit
[AC-aaa] domain https://www.doczj.com/doc/e411620269.html,
[https://www.doczj.com/doc/e411620269.html,] authentication-scheme radius_huawei
[https://www.doczj.com/doc/e411620269.html,] radius-server radius_huawei
[https://www.doczj.com/doc/e411620269.html,] quit
[AC-aaa] quit
说明:
配置了域https://www.doczj.com/doc/e411620269.html,后,认证用户名后面需要加上域名。
s. 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test@https://www.doczj.com/doc/e411620269.html,,用户密码123456)
t. [AC] test-aaatest@https://www.doczj.com/doc/e411620269.html, 123456 radius-template radius_huawei
u. Info: Account test succeed.
v. 配置AC的全局参数
# 配置AC全局参数(运营商标识、ID、国家码)和AC的源接口。
[AC] wlan ac-global ac id 1 carrier id other
[AC] wlan ac-global country-code cn
[AC] wlan
[AC-wlan-view] wlan ac source interface Vlanif 800
w. 配置AP并上线
# 配置AP的认证方式为mac认证。
[AC-wlan-view] ap-auth-mode mac-auth
# 查询AP的设备类型
[AC-wlan-view] display ap-type all
All AP types information:
------------------------------------------------------------------------------
ID Type
------------------------------------------------------------------------------
0 WA601
1 WA631
6 WA603SN
7 WA603DN
8 WA633SN
11 WA603DE
12 WA653DE
14 WA653SN
17 AP6010SN-GN
19 AP6010DN-AGN
21 AP6310SN-GN
23 AP6510DN-AGN
25 AP6610DN-AGN
------------------------------------------------------------------------------
Total number: 13
# 根据查询到的AP设备类型ID(WA603SN type-id为6),离线添加AP
[AC-wlan-view] ap id 1 type-id 6 mac 286E-D42B-0CE5
[AC-wlan-ap-1] quit
# 查看AP的上线状态。
[AC-wlan-view] display ap all
All AP information(Normal-2, UnNormal-0):
------------------------------------------------------------------------
AP AP AP Profile Region AP
ID Type MAC ID ID State
------------------------------------------------------------------------
1 WA603SN 286E-D42B-0CE5 0 0 normal
------------------------------------------------------------------------
Total number: 1
# 将AP加入指定域。
[AC-wlan-view] ap-region id 101
[AC-wlan-ap-region-101] quit
[AC-wlan-view] ap id 1
[AC-wlan-ap-1] region-id 101
[AC-wlan-ap-1] quit
[AC-wlan-view] quit
x. 配置WLAN-ESS虚接口
y. [AC] interface Wlan-Ess 0
z. [AC-Wlan-Ess0] dhcp enable
aa. [AC-Wlan-Ess0] port link-type hybrid
bb. [AC-Wlan-Ess0] port hybrid untagged vlan 101
cc. [AC-Wlan-Ess0] dot1x-authentication enable
dd. [AC-Wlan-Ess0] dot1x authentication-method eap
ee. [AC-Wlan-Ess0] force-domain https://www.doczj.com/doc/e411620269.html,
ff. [AC-Wlan-Ess0] permit-domain https://www.doczj.com/doc/e411620269.html,
gg. [AC-Wlan-Ess0] quit
hh. 配置AP的各项参数
# 配置射频。
[AC] wlan
[AC-wlan-view] wmm-profile name huawei-ap
[AC-wlan-wmm-prof-huawei-ap] quit
[AC-wlan-view] radio-profile name huawei-ap
[AC-wlan-radio-prof-huawei-ap] wmm-profile name huawei-ap
[AC-wlan-radio-prof-huawei-ap] radio-type 80211gn
Warning: Modify the Radio type may cause some parameters of Radio resume defaul t value, are you sure to continue?[Y/N]:y
[AC-wlan-radio-prof-huawei-ap] quit
[AC-wlan-view] ap 1 radio 0
[AC-wlan-radio-1/0] radio-profile name huawei-ap
Warning: Modify the Radio type may cause some parameters of Radio resume defaul t value, are you sure to continue?[Y/N]: y
[AC-wlan-radio-1/0] quit
# 配置安全模板。
[AC-wlan-view] security-profile name huawei-ap
[AC-wlan-sec-prof-huawei-ap] security-policy wpa
[AC-wlan-sec-prof-huawei-ap] wpa authentication-method dot1x peap encryption-method ccmp [AC-wlan-sec-prof-huawei-ap] quit
# 配置流量模板。
[AC-wlan-view] traffic-profile name huawei-ap
[AC-wlan-traffic-huawei-ap] quit
# 配置AP的服务集。
[AC-wlan-view] service-set name huawei
[AC-wlan-service-set-huawei] ssidhuawei
[AC-wlan-service-set-huawei] wlan-ess 0
[AC-wlan-service-set-huawei] service-vlan 101
[AC-wlan-service-set-huawei] security-profile name huawei-ap
[AC-wlan-service-set-huawei] traffic-profile name huawei-ap
[AC-wlan-service-set-huawei] forward-mode direct-forward
[AC-wlan-service-set-huawei] quit
ii. 配置AP对应的VAP并下发配置
jj. [AC-wlan-view] ap 1 radio 0
kk. [AC-wlan-radio-1/0] service-set name huawei
ll. [AC-wlan-radio-1/0] quit
mm. [AC-wlan-view] commit ap 1
nn. Warning: Committing configuration may cause service interruption,continue?[Y/N
oo. ] y
pp. [AC-wlan-view] quit
4. 业务测试
·完成配置后,用户可通过无线PC搜索到huawei的无线网络。
·用户关联到无线网络上后,无线PC能够被分配相应的IP地址。用户需要输入认证用户名和密码。
·在STA上使用802.1x客户端进行认证,输入正确的用户名和密码后,STA认证成功,正常访问internet上的资源。需要根据设置的认证方式(peap)对客户端进行相应的配置。§ WINDOWS XP系统下的配置。
a. 首先在无线网络属性中,添加SSID,并选择相应的加密方式、认证方式。
图2 认证和加密方式配置
b. 在验证对话框中,选择EAP类型为PEAP,点击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用Windows登录名和密码选项,然后点击“确定”。
图3 PEAP认证方式配置
§ WINDOWS 7系统下的配置
a. 进入“管理无线网络”页面,点击“添加”,选择“手动创建网络配置文件”,添加SSID,并选择相应的加密方式、认证方式,点击“下一步”,完成配置。
图4 认证和加密方式配置
b. 扫描SSID,查找刚建立好的网络,并双击,在安全对话框中,选择EAP类型为PEAP,点击“设置”,去掉验证服务器证书选项(此处不验证服务器证书),点击“配置”,去掉自动使用Windows登录名和密码选项,然后点击“确定”。
图5 认证和加密方式配置
配置文件
·接入交换机的配置文件
·#
· vlan batch 101 800
·#
· l2protocol-tunnel user-defined-protocol eap protocol-mac 0180-C200-0003 group-m ·ac 0100-5e00-0012
·#
·interface Ethernet0/0/1
· port link-type trunk
· port trunk pvidvlan 800
· port trunk allow-pass vlan 101 800
· l2protocol-tunnel user-defined-protocol eap enable · port-isolate enable group 1
·#
·interface GigabitEthernet0/0/1
· port link-type trunk
· port trunk allow-pass vlan 101 800
· l2protocol-tunnel user-defined-protocol eap enable #
·AC有线侧的配置文件
·#
· sysname AC-LSW
·#
· vlan batch 101 800
·#
·interface GigabitEthernet0/0/1
· port link-type trunk
· port trunk allow-pass vlan 101 800
·#
·interface XGigabitEthernet0/0/27
· port link-type trunk
· port trunk allow-pass vlan 101 800
#
·AC无线侧的配置文件
·#
· sysname AC
·#
· vlan batch 101 800
·#
· dhcp enable
·#
· wlan ac-global carrier id other ac id 1
·#
·radius-server template radius_huawei
· radius-server authentication 10.1.1.5 1812
· radius-server accounting 10.1.1.5 1813
·#
·aaa
· authentication-schemeradius_huawei ·authentication-mode radius
· accounting-schemeradius_huawei
·accounting-mode radius
·domain https://www.doczj.com/doc/e411620269.html,
·authentication-schemeradius_huawei
·accounting-schemeradius_huawei
·radius-serverradius_huawei
·#
·interface Vlanif101
· ip address 128.1.1.1 255.255.255.0
· dhcp select interface
·#
·interface Vlanif800
· ip address 172.1.1.1 255.255.255.0
· dhcp select interface
·#
·interface WLAN-ESS0
· port hybrid untagged vlan 101
· dot1x-authentication enable
· dot1x authentication-method eap
· permit-domain https://www.doczj.com/doc/e411620269.html,
· force-domain https://www.doczj.com/doc/e411620269.html,
· dhcp enable
·#
·interface XGigabitEthernet0/0/1
· port link-type trunk
· port trunk allow-pass vlan 101 800
·#
·wlan
· wlan ac source interface vlanif800
· ap-region id 101
· ap-auth-mode mac-auth
· ap id 1 type-id 6 mac 286E-D42B-0CE5 sn AB34002078
·region-id 101
· wmm-profile name huawei-ap id 0
· traffic-profile name huawei-ap id 0
· security-profile name huawei-ap id 0
·security-policywpa
·wpa authentication-method dot1x peap encryption-method ccmp · service-set name huawei id 0
·wlan-ess 0
·ssidhuawei
·traffic-profile id 0
·security-profile id 0
·service-vlan 101
· radio-profile name huawei-ap id 0 ·wmm-profile id 0
·ap 1 radio 0
·radio-profile id 0
·service-set id 0 wlan 1
·#
return