当前位置：文档之家› ac6605

ac6605

配置WPA+802.1X认证示例

组网需求

如图1所示，现有网络中AC连接上层网络中的Radius服务器，并通过接入交换机连接管理AP。

若在无线网络中采取简单的安全策略，并不能完全保证无线网络的安全，无线网络中的加密数据还是存在被破解的风险。企业希望利用Radius服务器在无线网络中配置802.1X认证，完全保证无线网络安全。

图1 配置WPA+802.1X认证组网图

配置思路

采用如下的思路在Router上进行配置。

配置802.1X认证。

1. 在系统视图下开启全局80

2.1X认证。

2. 配置802.1X认证时使用的RADIUS方案。

3. 创建802.1X认证时使用的域，并在域中引用RADIUS方案作为AAA的认证方案。

配置AC。

1. 配置Switch和AC，实现AP和AC互通。

2. 配置AC的基本功能，包括配置AC运营商标识和ID、AC与AP之间通信的源接口，实现AC作为DHCP Server功能。

3. 配置AP上线的认证方式，并把AP加入AP域中，实现AP正常工作。

4. 配置VAP，下发WLAN业务，实现STA访问WLAN网络功能。

其中配置VAP，需要：

a. 配置WLAN-ESS接口，并在服务集下绑定该接口，实现无线侧报文到达AC后能够送至WLAN业务处理模块功能。

b. 配置AP对应的射频模板，并在射频下绑定该模板，实现STA与AP之间的无线通信参数配置。

c. 配置AP对应的安全模板，配置安全策略为WPA+802.1X+PEAP+CCMP。

d. 配置AP对应的服务集，并在服务集下配置数据直接转发模式，绑定安全模板、流量模板，实现STA接入网络安全策略及QoS控制。

e. 配置VAP并下发，实现STA访问WLAN网络功能。

说明：

·请确保RADIUS服务器地址、端口号、共享密钥配置正确，并且和RADIUS服务器保持一致。

·建议采用CCMP加密方式，TKIP和WEP加密机制都是使用RC4算法，安全性较低。·采用802.1X方式时，设备共支持WPA+802.1X+PEAP+TKIP，WPA+802.1X+PEAP+CCMP，WPA2+802.1X+PEAP+TKIP，WPA2+802.1X+PEAP+CCMP，WPA+802.1X+TLS+TKIP，WPA+802.1X+TLS+CCMP，WPA2+802.1X+TLS+TKIP和WPA2+802.1X+TLS+CCMP八种方式。可

以通过执行命令{ wpa | wpa2 } authentication-method dot1x { peap | tls } encryption-method { tkip | ccmp }，修改为对应的认证或加密方式。

·在无线网络中，当采用windows客户端进行802.1X时，只能采用EAP模式，需执行命令dot1x authentication-methodeap配置无线用户的认证方式为EAP认证。

操作步骤

1. 配置接入交换机

# 使接入交换机透传所有的业务VLAN，由交换机给AP管理报文打tag。业务VLAN是VLAN 101，管理VLAN是VLAN 800

说明：

需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离，如果不配置端口隔离，可能会在VLAN内存在不必要的广播报文，或者导致不同AP间的WLAN用户二层互通的问题。

端口隔离功能未开启时，建议从接入交换机到AC之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1，防止引起报文冲突，占用端口资源。

system-view

[Quidway] vlan batch 101 800

[Quidway] l2protocol-tunnel user-defined-protocol eap protocol-mac 0180-c200-0003 group-mac 0100-5e00-0012

[Quidway] interface Ethernet 0/0/1

[Quidway-Ethernet0/0/1] port link-type trunk

[Quidway-Ethernet0/0/1] port trunk pvidvlan 800

[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 101 800

[Quidway-Ethernet0/0/1] l2protocol-tunnel user-defined-protocol eap enable

[Quidway-Ethernet0/0/1] bpdu enable

[Quidway-Ethernet0/0/1] port-isolate enable

[Quidway-Ethernet0/0/1] quit

[Quidway] interface GigabitEthernet 0/0/1

[Quidway-GigabitEthernet0/0/1] port link-type trunk

[Quidway-GigabitEthernet0/0/1] port trunk allow-pass vlan 101 800

[Quidway-GigabitEthernet0/0/1] l2protocol-tunnel user-defined-protocol eap enable [Quidway-GigabitEthernet0/0/1] bpdu enable

[Quidway-GigabitEthernet0/0/1] quit

说明：

802.1x+数据直接转发的组网情况下，需要在AC与AP之间配置二层协议透明传输，配置方法如下：

·框式交换机设备：只需要在接口视图下执行命令bpdu bridge enable。

·盒式交换机设备：全局视图下执行命令l2protocol-tunnel user-defined-protocol protocol-name protocol-mac protocol-mac group-mac group-mac；并且接口视图下执行命令l2protocol-tunnel user-defined-protocol protocol-name enable和命令bpdu enable。

2. 配置AC有线侧，将流量引入AC无线侧

说明：

AC6605中有线侧与无线侧相连的端口分别为XGE 0/0/27和XGE 0/0/1。

根据实际组网情况在AC上行口配置业务VLAN透传，和上行网络设备互通。system-view

[Quidway] sysname AC-LSW

[AC-LSW] vlan batch 101 800

[AC-LSW] interface GigabitEthernet 0/0/1

[AC-LSW-GigabitEthernet0/0/1] port link-type trunk

[AC-LSW-GigabitEthernet0/0/1] port trunk allow-pass vlan 101 800

[AC-LSW-GigabitEthernet0/0/1] quit

[AC-LSW] interface xGigabitEthernet 0/0/27

[AC-LSW-XGigabitEthernet0/0/27] port link-type trunk

[AC-LSW-XGigabitEthernet0/0/27] port trunk allow-pass vlan 101 800

[AC-LSW-XGigabitEthernet0/0/27] quit

3. 配置AC

a. 配置AC无线侧连接有线侧的接口，使能AC的DHCP服务器功能

b. system-view

c. [Quidway] sysname AC

d. [AC] vlan batch 101 800

e. [AC] dhcp enable

f. [AC] interface Vlanif 800

g. [AC-Vlanif800] ip address 172.1.1.1 24

h. [AC-Vlanif800] dhcp select interface

i. [AC-Vlanif800] quit

j. [AC] interface Vlanif 101

k. [AC-Vlanif101] ip address 128.1.1.1 24

l. [AC-Vlanif101] dhcp select interface

m. [AC-Vlanif101] quit

n. [AC] interface XGigabitEthernet 0/0/1

o. [AC-XGigabitEthernet0/0/1] port link-type trunk

p. [AC-XGigabitEthernet0/0/1] port trunk allow-pass vlan 101 800

q. [AC-XGigabitEthernet0/0/1] quit

r. 配置RADIUS服务器模板与AAA方案，并配置域信息。

说明：

请确保AC与RADIUS服务器的Shared-key相同。

[AC] radius-server template radius_huawei

[AC-radius-radius_huawei] radius-server authentication 192.168.0.2 1812

[AC-radius-radius_huawei] radius-server shared-key simple huawei

[AC-radius-radius_huawei] quit

[AC] aaa

[AC-aaa] authentication-scheme radius_huawei

[AC-aaa-authen-radius_huawei] authentication-mode radius

[AC-aaa-authen-radius_huawei] quit

[AC-aaa] domain https://www.doczj.com/doc/e411620269.html,

[https://www.doczj.com/doc/e411620269.html,] authentication-scheme radius_huawei

[https://www.doczj.com/doc/e411620269.html,] radius-server radius_huawei

[https://www.doczj.com/doc/e411620269.html,] quit

[AC-aaa] quit

说明：

配置了域https://www.doczj.com/doc/e411620269.html,后，认证用户名后面需要加上域名。

s. 测试用户是否能够通过RADIUS模板的认证。（已在RADIUS服务器上配置了测试用户test@https://www.doczj.com/doc/e411620269.html,，用户密码123456）

t. [AC] test-aaatest@https://www.doczj.com/doc/e411620269.html, 123456 radius-template radius_huawei

u. Info: Account test succeed.

v. 配置AC的全局参数

# 配置AC全局参数（运营商标识、ID、国家码）和AC的源接口。

[AC] wlan ac-global ac id 1 carrier id other

[AC] wlan ac-global country-code cn

[AC] wlan

[AC-wlan-view] wlan ac source interface Vlanif 800

w. 配置AP并上线

# 配置AP的认证方式为mac认证。

[AC-wlan-view] ap-auth-mode mac-auth

# 查询AP的设备类型

[AC-wlan-view] display ap-type all

All AP types information:

------------------------------------------------------------------------------

ID Type

------------------------------------------------------------------------------

0 WA601

1 WA631

6 WA603SN

7 WA603DN

8 WA633SN

11 WA603DE

12 WA653DE

14 WA653SN

17 AP6010SN-GN

19 AP6010DN-AGN

21 AP6310SN-GN

23 AP6510DN-AGN

25 AP6610DN-AGN

------------------------------------------------------------------------------

Total number: 13

# 根据查询到的AP设备类型ID（WA603SN type-id为6），离线添加AP

[AC-wlan-view] ap id 1 type-id 6 mac 286E-D42B-0CE5

[AC-wlan-ap-1] quit

# 查看AP的上线状态。

[AC-wlan-view] display ap all

All AP information(Normal-2, UnNormal-0):

------------------------------------------------------------------------

AP AP AP Profile Region AP

ID Type MAC ID ID State

------------------------------------------------------------------------

1 WA603SN 286E-D42B-0CE5 0 0 normal

------------------------------------------------------------------------

Total number: 1

# 将AP加入指定域。

[AC-wlan-view] ap-region id 101

[AC-wlan-ap-region-101] quit

[AC-wlan-view] ap id 1

[AC-wlan-ap-1] region-id 101

[AC-wlan-ap-1] quit

[AC-wlan-view] quit

x. 配置WLAN-ESS虚接口

y. [AC] interface Wlan-Ess 0

z. [AC-Wlan-Ess0] dhcp enable

aa. [AC-Wlan-Ess0] port link-type hybrid

bb. [AC-Wlan-Ess0] port hybrid untagged vlan 101

cc. [AC-Wlan-Ess0] dot1x-authentication enable

dd. [AC-Wlan-Ess0] dot1x authentication-method eap

ee. [AC-Wlan-Ess0] force-domain https://www.doczj.com/doc/e411620269.html,

ff. [AC-Wlan-Ess0] permit-domain https://www.doczj.com/doc/e411620269.html,

gg. [AC-Wlan-Ess0] quit

hh. 配置AP的各项参数

# 配置射频。

[AC] wlan

[AC-wlan-view] wmm-profile name huawei-ap

[AC-wlan-wmm-prof-huawei-ap] quit

[AC-wlan-view] radio-profile name huawei-ap

[AC-wlan-radio-prof-huawei-ap] wmm-profile name huawei-ap

[AC-wlan-radio-prof-huawei-ap] radio-type 80211gn

Warning: Modify the Radio type may cause some parameters of Radio resume defaul t value, are you sure to continue?[Y/N]:y

[AC-wlan-radio-prof-huawei-ap] quit

[AC-wlan-view] ap 1 radio 0

[AC-wlan-radio-1/0] radio-profile name huawei-ap

Warning: Modify the Radio type may cause some parameters of Radio resume defaul t value, are you sure to continue?[Y/N]: y

[AC-wlan-radio-1/0] quit

# 配置安全模板。

[AC-wlan-view] security-profile name huawei-ap

[AC-wlan-sec-prof-huawei-ap] security-policy wpa

[AC-wlan-sec-prof-huawei-ap] wpa authentication-method dot1x peap encryption-method ccmp [AC-wlan-sec-prof-huawei-ap] quit

# 配置流量模板。

[AC-wlan-view] traffic-profile name huawei-ap

[AC-wlan-traffic-huawei-ap] quit

# 配置AP的服务集。

[AC-wlan-view] service-set name huawei

[AC-wlan-service-set-huawei] ssidhuawei

[AC-wlan-service-set-huawei] wlan-ess 0

[AC-wlan-service-set-huawei] service-vlan 101

[AC-wlan-service-set-huawei] security-profile name huawei-ap

[AC-wlan-service-set-huawei] traffic-profile name huawei-ap

[AC-wlan-service-set-huawei] forward-mode direct-forward

[AC-wlan-service-set-huawei] quit

ii. 配置AP对应的VAP并下发配置

jj. [AC-wlan-view] ap 1 radio 0

kk. [AC-wlan-radio-1/0] service-set name huawei

ll. [AC-wlan-radio-1/0] quit

mm. [AC-wlan-view] commit ap 1

nn. Warning: Committing configuration may cause service interruption,continue?[Y/N

oo. ] y

pp. [AC-wlan-view] quit

4. 业务测试

·完成配置后，用户可通过无线PC搜索到huawei的无线网络。

·用户关联到无线网络上后，无线PC能够被分配相应的IP地址。用户需要输入认证用户名和密码。

·在STA上使用802.1x客户端进行认证，输入正确的用户名和密码后，STA认证成功，正常访问internet上的资源。需要根据设置的认证方式（peap）对客户端进行相应的配置。§ WINDOWS XP系统下的配置。

a. 首先在无线网络属性中，添加SSID，并选择相应的加密方式、认证方式。

图2 认证和加密方式配置

b. 在验证对话框中，选择EAP类型为PEAP，点击“属性”，去掉验证服务器证书选项（此处不验证服务器证书），点击“配置”，去掉自动使用Windows登录名和密码选项，然后点击“确定”。

图3 PEAP认证方式配置

§ WINDOWS 7系统下的配置

a. 进入“管理无线网络”页面，点击“添加”，选择“手动创建网络配置文件”，添加SSID，并选择相应的加密方式、认证方式，点击“下一步”，完成配置。

图4 认证和加密方式配置

b. 扫描SSID，查找刚建立好的网络，并双击，在安全对话框中，选择EAP类型为PEAP，点击“设置”，去掉验证服务器证书选项（此处不验证服务器证书），点击“配置”，去掉自动使用Windows登录名和密码选项，然后点击“确定”。

图5 认证和加密方式配置

配置文件

·接入交换机的配置文件

·#

· vlan batch 101 800

·#

· l2protocol-tunnel user-defined-protocol eap protocol-mac 0180-C200-0003 group-m ·ac 0100-5e00-0012

·#

·interface Ethernet0/0/1

· port link-type trunk

· port trunk pvidvlan 800

· port trunk allow-pass vlan 101 800

· l2protocol-tunnel user-defined-protocol eap enable · port-isolate enable group 1

·#

·interface GigabitEthernet0/0/1

· port link-type trunk

· port trunk allow-pass vlan 101 800

· l2protocol-tunnel user-defined-protocol eap enable #

·AC有线侧的配置文件

·#

· sysname AC-LSW

·#

· vlan batch 101 800

·#

·interface GigabitEthernet0/0/1

· port link-type trunk

· port trunk allow-pass vlan 101 800

·#

·interface XGigabitEthernet0/0/27

· port link-type trunk

· port trunk allow-pass vlan 101 800

·AC无线侧的配置文件

·#

· sysname AC

·#

· vlan batch 101 800

·#

· dhcp enable

·#

· wlan ac-global carrier id other ac id 1

·#

·radius-server template radius_huawei

· radius-server authentication 10.1.1.5 1812

· radius-server accounting 10.1.1.5 1813

·#

·aaa

· authentication-schemeradius_huawei ·authentication-mode radius

· accounting-schemeradius_huawei

·accounting-mode radius

·domain https://www.doczj.com/doc/e411620269.html,

·authentication-schemeradius_huawei

·accounting-schemeradius_huawei

·radius-serverradius_huawei

·#

·interface Vlanif101

· ip address 128.1.1.1 255.255.255.0

· dhcp select interface

·#

·interface Vlanif800

· ip address 172.1.1.1 255.255.255.0

· dhcp select interface

·#

·interface WLAN-ESS0

· port hybrid untagged vlan 101

· dot1x-authentication enable

· dot1x authentication-method eap

· permit-domain https://www.doczj.com/doc/e411620269.html,

· force-domain https://www.doczj.com/doc/e411620269.html,

· dhcp enable

·#

·interface XGigabitEthernet0/0/1

· port link-type trunk

· port trunk allow-pass vlan 101 800

·#

·wlan

· wlan ac source interface vlanif800

· ap-region id 101

· ap-auth-mode mac-auth

· ap id 1 type-id 6 mac 286E-D42B-0CE5 sn AB34002078

·region-id 101

· wmm-profile name huawei-ap id 0

· traffic-profile name huawei-ap id 0

· security-profile name huawei-ap id 0

·security-policywpa

·wpa authentication-method dot1x peap encryption-method ccmp · service-set name huawei id 0

·wlan-ess 0

·ssidhuawei

·traffic-profile id 0

·security-profile id 0

·service-vlan 101

· radio-profile name huawei-ap id 0 ·wmm-profile id 0

·ap 1 radio 0

·radio-profile id 0

·service-set id 0 wlan 1

·#

return