TSM通过与支持无线8021X协议的交换机联动

1、关于本章背景信息tsm通过与支持无线802.1x协议的交换机 联动无线802. ix交换机接入控制方式是tsm通过与支持无线802. ix协议的 交换机联动，实现无线终端的接入控制。根据实现方式不同，无线802.ix交换机接入控制有三种方式，如表1-1 所示。无线802. ix交换机接入控制的三种方式类型说明要求基木的无线802. ix交换机 接入控制终端用户在认证通过示， 所有网络资源都能访问， 不区分隔离域和认证后 域。无线802. ix交换机必须支 持打开或关闭端口功能。基于动态vlan的无线802. ix交换机接入控制利用动态vlan,实现根 据不同认证结果控制终端 用户对隔离域和认证

2、示域 的访问。无线802. ix交换机必须支 持动态下发vlan功能。基于动态acl的无线 802.ix交换机接入控制利用动态acl,实现根据 不同认证结果控制终端用 户对隔离域和认证后域的 访问。无线802. ix交换机必须支 持动态下发acl功能。1.1 tsm与无线802.ix交换机联动作接入控制的交互过程tsm与无线802.ix交换机联动作接入控制的交互过程，以便管理员了解 两者之间的交互过程及在岀现问题时排杳故障。1.2客户盂要解决的问题介绍客户在无线终端主机接入控制需要解决的问题。1.3解决问题的思路利用tsm与无线802.ix交换机联动特性，可拒绝身份不合法无线终端 接入网络。1

3、.4配置步骤举例说明如何配査tsm与无线802.ix交换机联动，以便管理员拒绝少 份不合法的无线终端接入公司网络。1.5验证配置结果在无线终端进行身份认证，检查认证通过后是否能够访问无线网络。tsm与无线802.1x交换机联动作接入控制的交互过 程tsm与无线802.ix交换机联动作接入控制的交互过程，以便管理员了解 两者之间的交互过程及在出现问题时排查故障。tsm与无线802.ix交换机联动作接入控制的交互过程如图1-1所示。tsm与无线802.ix交换机联动作接入控制的交互过程终端用户在tsm代理输入川户 ： 名口令进行认证|弹出选择无线网络的窗口，）11|户选择连接罚匸的无践网络:ic与

4、ap/acz间建立无线连接tsm代理与radius服务器建阿s通逍，保护认证过程客八端发送：身份验证参数&|寸规性检査结果骑讦口令崗有效件，以及合规柯检査结果:根抵合规性检査结果，通知 : i. ap/ac该终端进入隔离域佑域.通过tsm代理认证成功亍四次握协商pcbap之间的通信密钥，保护无线部分的通信.使川dhcp获取ip地址与tsm服务器通信，建立tls通道迎行上线操作,罟持ai服务器的通信°tsm代理通知用八射分认证的结果，以及前的隔离域/后域状态|a)客户需要解决的问题介绍客户在无线终端主机接入控制需要解决的问题。x企业市场部安排在一楼办公。一楼部署了供无线终端接入

5、的无线网络。 员工使用便携式计算机通过无线方式接入公司网络进行办公。一楼属于开放办公场所，无线网络没冇开启身份认证功能，非公司员工 携带便携式计算机可轻易接入公司网络，存在泄密风险。管理员希望找到一种方法拒绝身份不合法的无线终端接入公司网络。b) 解决问题的思路利用tsm与无线802.ix交换机联动特性，可拒绝身份不合法无线终端 接入网络。要拒绝身份不合法无线终端接入网络，首先要识别终端用八的身份，根 据身份认证结果决定是否允许接入网络。如果交换机支持无线802.ix协 议，则建议管理员采用tsm与无线802.ix交换机联动，对无线终端实 施接入控制。在终端用户处于未认证状态时，无线802.i

6、x交换机只放行无线终端的认 证报文，其他类型的报文则会被无线802.ix交换机丢弃，无线通道处于 关闭状态。如果终端用户需耍接入网络，必须先输入用户名和密码校验 白己的身份。如果终端用户属于合法用户，则tsm通知无线802.ix交换机打开无线 通道，允许终端用户接入网络。如果终端用户的身份不合法，则tsm通 知无线802.ix交换机关闭无线通道，只放行无线终端的认证报文，禁止 终端用八接入网络，从而达到拒绝身份不合法的终端用八接入公司网络 的目的。c)配置步骤举例说明如何配置tsm与无线802.ix交换机联动，以便管理员拒绝身 份不合法的无线终端接入公司网络。背景信息组网如图1-2所示。tsm

7、与无线802. ix交换机联动组网认证询域操作步骤配置 h3c wa2220e-agoi. 启用端口安全，并配置802.ix的认证方式为eap。a? port-security enableap dotlx authentication-method eap2. 配置radius方案。a? radius scheme iasa?-radius-ias servertype extendedtsm管理器和tsm控制器均已经部署完成，tsm版本为v100r002c07spc200, tsm 控制器 ip 地址为 10.10.10.10。接入控制设 备采用h3cwa2220e-ag,属于胖ap （貝

8、有ap和ac功能），软件版 本为 5.20, ip 地址为 192.16&5.21 o无线终端由h3c wa2220e-ag接入公同网络。网关地址为192.168.5.1。配置的fi的是通过tsm与h3c wa2220e-ag联动，以便控制无线终端 接入公司网络，保证只有身份合法的终端用户才能接入公司网络。a?-radius-iasa?-radius-ias a?-radius-ias ap-radius-ias a?-radius-ias a?-radius-ias a?-radius-ias a?-radius-iasprimary authentiuation 10.10.10.

9、10 primary accounting 10.10.10.10 key authentication 123456key accounting 123456 user-name-format without-domaintimer realtime-accounting 3 undo stop-accountingbu£fer enable accounting-on enable3. 配置认证域的aaa方案。配置涉及认证和计费两个过程，在域小需 要配置认证和计费方案。ap-radius-ias domain iasa?-isp-ias authentication lan-ac

10、cess radius-scheme ias ap-isp-ias authorization lan-access radius-scheme ias a?-isp- ias accounting lan-access radius-scheme ias4. 把配直的认证域ias设直为系统缺省域。a?-isp-ias domain default enable ias5. 配遇无线接口，802. ix的认证方式为eap（对应的端口安全认证方式 为 uscrlogin-sccurc-cxt） oa? interfaceap-wlan-bss2ap-wlan-bss2ap-wlan-bss2ap

11、-wlan-bss2wlan-bss 2port-security port-mode userlogin-secure-ext port-security tx-key-type 1lkey undo dotlx handshakeundo dotlx multicast-trigger6.配置无线服务模板。7. 在射频口绑定无线服务模板和无线接口。a? interface wlan-radio 1/0/1a?-wlan-radiol/0/1 service-template 2 interface wlan-bss 2a?-wlan-radiol/0/1 quit8. 配置vlan虚接口。

12、a? interface vlan-interfacela?-vlan-interfacel ip address 192.168.5 21 255 255 255 09. 配置缺省路由。详细的配置脚木请参见“wa2220e_ag.zip"。配置tsm管理器。1.登录tsm悖理器，选择“接入控制 > 接入控制配置> 802. lx交换 机 > 交换机组二单击“增加”一个交换机纟r。根据交换机的配置，认证密钥和计费密钥都是123456。以开关无线 通道方式控制无线终端接入网络，则交换机类型可设置为任意一个 选项。2.单击“确定”，进入“交换机列衣'，单击“增加

13、”，把h3c wa2220e-ag 添加到列表中。3.单击“确定二4.单击“确定二选择“标准802.ix无线网络”，把无线网络的ssid加入 列表中。ssid列表醸置标准802. ix客户端接入的无线网络ssidh3z-dotlx-aesd1确定方便无法安装tsm代理的无线终端，包括智能设备、windows操作 系统口带的802.ix客户端以及其他支持标准协议的第三方802.ix 客户端接入无线网络。以开关无线通道方式控制无线终端接入网络，通过认证麻允许访问 所有的网络资源，管理员无须配置认证前域、隔离域和认证后域。配置tsm代理。1.生成tsm代理安装程序。在生成tsm代理安装程序吋，依次选

14、中“启用802.1x"、“启用安全 认证"、“启用无线802.ix协议“和“标准协议”。j nj於tsm agent定制向导802. lx设置v启用802. ix协谏 启用安全认证：适用于8021x认证时服务器根据客户端17安全策略执行结果向交换机下发不同vlan id或acl， 以便向终端用戶开放不同的访问权限场杲17启用无线802. lx协议(window xp sp2以上操作系统)谙选择默认协议类型：介标准协议：适用于终端主机接入的交换机支持版本802. 1x 炸协议的场景c v2协议：适用于终端主机接入的交换机支持v2版本802. lx协 议的场員r huawei 3526：适用于终端主机接入的交换机为huawei quidway 3526的场昌<上一步g)|疋三步範园取消c) |详细的操作步骤请参见secoway tsm产品文档屮的“安装 > 部 署tsm代理 > 生成tsm代理安装程序”。2.在无线终端安装tsm代理，安装完成后重新启动无线终端。详细的操作