H3C WX系列无线控制器与Windows IAS配合实现用户.docx

h3c wx系列无线控制器与windows ias配合实现用户vlan属性的下发典型配置案例关键词：dot1x，vlan摘 要：本文介绍了h3c公司wx系列ac与windows ias配合实现用户vlan属性下发时必需的配置。缩略语：缩略语英文全名中文解释acaccess control无线控制器apaccess point无线接入点essextended service set扩展服务集wlanwireless local area network无线局域网ssidservice set identifier服务集识别码chapchallenge handshake authentication protocal质询握手验证协议iasinternet authentication server因特网认证服务器vlanvirtual local area network 虚拟局域网aaaauthentication, authorization and accounting认证、授权和计费radiusremote authentication dial-in user service远程认证拨号用户服务目 录1 特性简介. 11.1 特性介绍. 11.2 特性优点. 12 应用场合. 13 注意事项. 14 配置举例. 14.1 组网需求. 14.2 配置思路. 24.3 使用版本. 24.4 配置步骤. 24.5 注意事项. 115 相关资料. 125.1 相关协议和标准. 125.2 其它相关资料. 121 特性简介1.1 特性介绍dynamic vlan assignment是接入设备与radius服务器配合来对用户的接入端口所属的vlan进行控制，进而控制用户访问网络的权限。用户的认证之前属于一个vlan，用户不可以访问网络资源，对用户进行认证，认证通过后根据radius服务器报文中的属性把认证端口加入另外一个vlan，此时用户可以访问外部网络资源。1.2 特性优点网络管理员可以通过dynamic vlan assignment对用户接入端口所属的vlan进行控制，进而控制用户访问网络的权限，具有很强的灵活性和适应性。2 应用场合dynamic vlan assignment可以作为ead安全解决方案一个补充，从而实现对企业无线网络入口安全保护。3 注意事项(1) windows ias配置正确(2) 接入设备相关的dot1x、aaa配置正确4 配置举例4.1 组网需求本配置举例中的ap使用的是wa2200系列无线局域网接入点设备，ac使用的是wx6103系列无线控制器。radius server的ip地址为8.1.45.67/24。client和ap通过dhcp服务器获取ip地址。client没有通过802.1x认证前在vlan 10内，通过之后在vlan 100内。图4-1 vlan下发典型组网4.2 配置思路l 配置接入设备l 配置windows ias radius服务器4.3 使用版本 display versionh3c comware platform softwarecomware software, version 5.20, beta 2108copyright (c) 2004-2008 hangzhou h3c tech. co., ltd. all rights reserved.h3c wx6103 uptime is 1 week, 5 days, 2 hours, 46 minutesh3c wx6103 with 1 bcm mips 1125h 600mhz processor1024m bytes ddr261m bytes cfcard memoryconfig register points to cfcardhardware version is ver.ccpld version is 007backboard cpld version is 003basic bootrom version is 1.11extend bootrom version is 1.12slot 0ewpx1g24xa0 hardware version is naslot 1ewpx1wcmb0 hardware version is ver.c 4.4 配置步骤1. 配置信息： display current-configuration # version 5.20, beta 2108 # sysname ac#dhcp relay server-group 1 ip 8.1.45.100 #domain default enable radius# port-security enable # vlan 1#vlan 10#vlan 100#vlan 210 # radius scheme radiusprimary authentication 8.1.45.67primary accounting 8.1.45.67key authentication luqiangkey accounting luqiangnas-ip 8.1.61.3accounting-on enable # domain radiusauthentication lan-access radius-scheme radiusauthorization lan-access radius-scheme radiusaccounting lan-access radius-scheme radiusaccess-limit disablestate activeidle-cut disableself-service-url disable # wlan service-template 10 clearssid radiusbind wlan-ess 10service-template enable # interface vlan-interface1ip address 7.0.0.61 255.255.255.0dhcp select relaydhcp relay server-select 1#interface vlan-interface10ip address 10.1.1.1 255.255.255.0dhcp select relaydhcp relay server-select 1#interface vlan-interface100ip address 100.1.1.1 255.255.255.0dhcp select relaydhcp relay server-select 1# interface vlan-interface210ip address 8.1.61.3 255.255.255.0 # interface m-gigabitethernet1/0/0 # interface ten-gigabitethernet1/0/1port link-type trunkport trunk permit vlan 1 10 100 210# interface wlan-ess10 port link-type hybridundo port hybrid vlan 1port hybrid vlan 10 100 untaggedport hybrid pvid vlan 10 mac-vlan enable port-security port-mode userlogin-secure-ext # wlan ap wa2220x model wa2220x-agpserial-id 210235a29e007c000009radio 2channel 3max-power 6service-template 10radio enable 2. 主要配置步骤在dot1x接入端配置802.1x和认证。(1) 启用端口安全port-security，配置802.1x认证方式为chap。ac port-security enable ac dot1x authentication-method chap(2) 配置认证策略。# 创建radius方案radius并进入其视图。ac radius scheme radius# 设置主认证radius服务器的ip地址8.1.45.67。ac-radius-radius primary authentication 8.1.45.67# 设置主计费radius服务器的ip地址8.1.45.67。ac-radius-radius primary accounting 8.1.45.67# 设置系统与认证radius服务器交互报文时的共享密钥为radius。ac-radius-radius key authentication radius# 设置系统与计费radius服务器交互报文时的共享密钥为radius。ac-radius-radius key accounting radius# 设置设备发送radius报文时使用的源ip地址8.1.61.3。ac-radius-radius nas-ip 8.1.61.3# 使能accounting-on功能。ac-radius-radius accounting-on enableac-radius-radius quit (3) 配置认证域。# 创建radius域并进入其视图。ac domain radius# 为lan-access用户配置认证方案为radius方案，方案名为radius。ac-isp-radius authentication lan-access radius-scheme radius# 为lan-access用户配置授权方案为radius方案，方案名为radius。ac-isp-radius authorization lan-access radius-scheme radius# 为lan-access用户配置计费方案为radius方案，方案名为radius。ac-isp-radius accounting lan-access radius-scheme radiusac-isp-radius quit (4) 把配置的认证域radius设置为系统缺省域。ac domain default enable radius (5) 配置无线口，并在无线口启用端口安全（802.1x认证）。# 创建vlan 10。ac vlan 10ac-vlan10 quit # 创建wlan-ess10接口，并进入该视图。ac interface wlan-ess10# 设置端口的链路类型为hybird类型。ac-wlan-ess10 port link-type hybrid # 设置hybird端口的缺省vlan id为vlan 10。ac-wlan-ess10 port hybrid pvid vlan 10# 设置端口在转发vlan100的报文时将去掉vlan tag。ac-wlan-ess10 port hybrid vlan 100 untagged# 配置端口的安全模式为userlogin-secure-ext。ac-wlan-ess10 port-security port-mode userlogin-secure-ext # 使能端口的mac vlan功能。ac-wlan-ess10 mac-vlan enable(6) 配置无线服务模板。# 创建clear类型的服务模板10。ac wlan service-template 10 clear# 设置当前服务模板的ssid（服务模板的标识）为radius。ac-wlan-st-10 ssid radius# 将wlan-ess10接口绑定到服务模板10。ac-wlan-st-10 bind wlan-ess 10# 使能服务模板。ac-wlan-st-10 service-template enable(7) 配置ap模板并绑定无线服务模板# 创建ap管理模板，其名称为wa2220x，型号名称这里选择wa2220x-agp。ac wlan ap wa2220x model wa2220x-agp# 设置ap的序列号为210235a29e007c000009。ac-wlan-ap-wa2220x serial-id 210235a29e007c000009# 设置radio2的射频类型为802.11g。ac-wlan-ap-wa2220x radio 2# 设置射频的工作信道为3。ac-wlan-ap-wa2220x-radio-2 channel 3# 配置射频最大功率为6。ac-wlan-ap-wa2220x-radio-2 max-power 6# 将在ac上配置的clear类型的服务模板10与射频2进行关联。ac-wlan-ap-wa2220x-radio-2 service-template 10# 使能ap的radio 2。ac-wlan-ap-wa2220x-radio-2 radio enable(8) 配置vlan虚接口。# 创建vlan 210。ac vlan 210ac quit# 进入vlan210接口视图。ac interface vlan-interface 210# 配置ip地址为8.1.61.3，子网掩码255.255.255.0。ac-vlan-interface210 ip address 8.1.61.3 24 # 进入vlan1接口视图。 ac interface vlan-interface 1# 配置ip地址为7.0.0.61，子网掩码255.255.255.0。ac-vlan-interface1 ip address 7.0.0.61 24 # 配置接口工作在dhcp中继模式。ac-vlan-interface1 dhcp select relay# 配置vlan接口1与dhcp服务器组1的归属关系。ac-vlan-interface1 dhcp relay server-select 13. windows ias配置在windows ias上配置vlan下发，需要在用户使用的“远程访问策略”中添加三个属性：tunnel-type、tunnel-medium-type、tunnel-pvt-group-id。配置方法如下：(1) 进入internet验证服务的远程访问策略，双击选取用户所使用的访问策略，点击按钮，弹出“编辑拨入配置文件”窗口。(2) 在“编辑拨入配置文件”窗口中选取“高级”页签，点击按钮，弹出“添加属性”窗口。(3) 在“添加属性”中选取tunnel-type选项，双击tunnel-type，弹出“多值属性信息”对话框。(4) 在“多值属性信息”对话框中点击按钮，弹出“可枚举的属性信息”窗口。(5) 在“可枚举的属性信息”窗口中配置tunnel-type属性值。l 在“属性值”的下拉选项中选择virtual lans，然后单击按钮完成。l 在“属性值”的下拉选项中选择选择802，然后单击按钮完成。(6) 如上同样步骤添加tunnel-pvt-group-id属性，在“属性信息”窗口中配置tunnel-type属性值，我司字符串和十六进制格式均支持。l 设置输入属性值所用的格式为以字符串形式下发，下发的格式类型需要接入设备端支持。l 设置输入属性值所用的格式为以十六进制数的形式下发，下发的格式类型需要接入设备端支持。完后点击按钮，完成属性添加。(7) 完成属性添加后如下，点击按钮，然后确定完成。4. 验证结果使用display sessions查看dot1x用户，是否用户在线，是否在下发的vlan中。 display connection ucibindex 1059index=1059, username=testradiu