无线局域网应用技术项目12：智能无线网络的安全认证服务部署课件

1、智能无线网络的安全认证服务部署项目背景中锐公司无线网络使用WPA2加密方式部署，在网络运营一段时间后，公司发现无线用户数持续增加，但是新员工并未增长。网络管理员通过分析接入用户，发现增长的用户基本属于公司外部人员，这些用户的接入不仅影响员工接入带宽下降，还带来了安全隐患。项目背景为解决这个问题，该公司要求对当前无线网络进行接入认证的升级改造，把原有的密码认证升级为实名认证接入，即每位员工都有唯一的账号与密码，并且账号与员工个人属于一一对应的关系，这样可以避免员工将自己的账号密码泄露出去，同时又增加了网络安全性及满足公安部关于实名认证的要求。项目背景为确保该项目实施的可靠性，本项目已经在信息部内

2、部做了测试，接下来第一期拟将办公楼的研发部、销售部启用WEB实名认证，做小范围测试。项目需求分析无线采用WPA2密码认证接入方式仅适用于小型企业，所有客户端通过相同的密码接入，密码不具备用户辨识性。目前，业界大多采用比较成熟的802.1X技术解决员工通过分享、泄露等多种方式扩散公司无线密码的安全隐患，实现无线认证与员工个人信息绑定，做到实名认证，项目需求分析锐捷网络为大中型企业提供了统一身份认证系统RG-SMP，它在网络中部署一台认证服务器，所有用户接入均通过它进行身份识别，通过验证则允许接入网络。项目需求分析因此，本项目可以通过部署SMP实现无线用户上网的统一身份认证，解决该公司的无线网络接

3、入安全困扰，具体涉及以下几个工作任务：1、基础网络配置：2、配置接入设备的SMP认证参数3、SMP软件的安装4、SMP服务的配置与管理IEEE 802.1XIEEE802.IX定义了一种授权架构，采用基于端口的网络接入控制协议，该端口可以是物理端口，也可以是逻辑端口。用户/设备接入到LAN或WLAN时，其并不能访问各种业务系统，它将被要求通过802.1X认证。在认证通过之前，802.1X只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的端口；认证通过以后，正常的数据可以顺利地通过端口。因此，只有通过认证的用户/设备才能访问网络。802.IX架构8O2.IX架构既可以用于无线网络也可

4、用于有线网络，主要由3部分组成：客户端（supplicant）认证者（Authenticator）认证服务器（Authentication Server，AS）在无线局域网中，客户端为要求访问网络资源的无线终端，认证服务器一般是RADlUS服务。802.1X协议特点802.1X协议有如下特点：可以有效降低建网成本；实现对传统PPP认证架构的兼容；从而可以实现业务与认证的分离；可以根据不同的用户认证等级映射到不同的VLAN；支持交换端口和WLAN。Web认证Web认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身

5、份认证。未认证用户使用浏览器上网时，接入设备会强制浏览器访问特定站点，也就是Web认证服务器，通常称为Portal服务器。用户无需认证即可享受Portal服务器上的服务，比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时，就必须通过浏览器在Portal服务器上进行身份认证，只有认证通过后才可以使用网络资源。除了认证上的便利性之外，由于Portal服务器和用户的浏览器有界面交互，可以利用这个特性在Portal服务器界面放置一些广告、通知、业务链接等个性化的服务，因此具有很好的应用前景。RG-SMPRG-SMP中文名称是锐捷安全管理平台，可基于网络接入者的身份、接入主机

6、的健康性以及网络通信的安全性等多方面为用户构建一个全局的安全网络。该产品的主要功能和特点如下：（1）RG-SMP内置portal功能，可以直接通过RG-SMP进行认证界面弹出。（2）配置认证设备，可根据用户需求采用不同的认证方式，部署实施于多数局域网环境，实现对各方面的管理。（3）优化网络准入操作，提升客户体验。RG-SMP模块该软件分为以下几个模块：认证授权管理模块Tacacs+认证授权模块计算机保护模块应用安全域模块系统维护模块系统用户管理模块项目拓扑项目规划VLAN规划项目规划设备管理规划：项目规划端口互联规划项目规划IP规划项目规划WLAN规划项目规划AP组规划项目规划AP规划项目规划

7、SMP服务器规划项目规划802.1X安全规划任务1 二层交换机的配置1）远程登录功能（开启远程管理功能，方便后期维护）Switch (config)#hostname L2SW对Poe交换机进行命名L2SW(config)#username admin password Ruijie创建用户名和密码L2SW(config)#enable password Ruijie设置特权模式密码L2SW(config)#line vty 0 4进入虚线路L2SW(config-line)#login local采用本地用户认证L2SW(config-line)#exit退出任务1 二层交换机的配置2）默认

8、路由配置和VLAN配置（创建用户VLAN及AP vlan，并配置IP地址作为用户及AP的网关）L2SW (config)# VLAN 20创建VLAN20L2SW (config-vlan)#name User-Wire命名VLAN20为User-WireL2SW (config-vlan)#exit退出L2SW (config)# VLAN 99创建VLAN99L2SW (config-vlan)#name AP-Guanli命名VLAN99为AP-GuanliL2SW (config-vlan)#exit退出L2SW(config)# VLAN 100创建VLAN 100L2SW(conf

9、ig-vlan)#name SW-Guanli命名VLAN 100为SW-GuanliL2SW(config-vlan)#exit退出L2SW(config)#interface vlan 100进入VLAN100端口L2SW(config-if)#ip address 配置VLAN 100的IP地址L2SW(config-if)#description LINK-SW-GuanLi-对VLAN100端口进行描述L2SW(config-if)#exit退出L2SW(config)#ip route 54配置管理地址的网关任务1 二层交换机的配置3）接口模式配置（指定接口access vlan为

10、AP vlan）L2SW(config)#interface range GigabitEthernet 0/1-2进入端口G0/1和G0/2L2SW(config-if)#description Link-AP-端口描述为Link-AP-L2SW(config-if)#switch mode access将端口配置为access模式L2SW(config-if)#switch access vlan 99将端口配置属于AP的VLAN99L2SW(config-if)#exit退出L2SW(config)#interface range GigabitEthernet 0/11-15进入端口G

11、0/11到G0/15L2SW(config-if)#description LinkUser-Wire-端口描述为Link- User-Wire -L2SW(config-if)#switch mode access将端口配置为access模式L2SW(config-if)#switch access vlan 20将端口配置属于有线用户的VLAN20L2SW(config-if)#exit退出L2SW(config)#interface GigabitEthernet 0/24进入端口G0/24L2SW(config-if)#description Link-AC-端口描述为Link-AC-

12、L2SW(config-if)#switchport mode trunk将端口配置为Trunk模式L2SW(config-if)#switchport trunk allow vlan only 20,99,100对Trunk端口进行VLAN修剪L2SW(config-if)#end退出到特权模式L2SW#write保存配置任务1 二层交换机的配置任务验证：1）在L2SW上使用命令show vlan brief ，可以看到配置的vlan 已经处于active状态：L2SW#show vlan brief VLANNameStatusPorts- -20User-Wireactive99AP-

13、Guanliactive 100SW-Guanliactive任务2 三层交换机的配置1）远程登录功能（开启远程管理功能，方便后期维护）Switch #configure terminal从特权模式进入到全局模式Switch (config)#hostname L3SW对核心交换机进行命名L3SW(config)#username admin password Ruijie创建用户名和密码L3SW(config)#enable password Ruijie设置特权模式密码L3SW(config)#line vty 0 4进入虚线路L3SW(config-line)#login local采用

14、本地用户认证L3SW(config-line)#exit退出任务2 三层交换机的配置2）IP及VLAN配置（创建用户VLAN及AP vlan，并配置IP地址作为用户及AP的网关）L3SW (config)# VLAN 10创建VLAN 10L3SW(config-vlan)#name User-Wifi命名VLAN 10为User-WifiL3SW(config-vlan)#exit退出L3SW(config)# VLAN 20创建VLAN20L3SW(config-vlan)#name User-Wire命名VLAN 20为User-WireL3SW(config-vlan)#exit退出L

15、3SW(config)# VLAN 99创建VLAN 99L3SW(config-vlan)#name AP-Guanli命名VLAN99为AP-GuanliL3SW(config-vlan)#exit退出L3SW(config)# VLAN 100创建VLAN 100L3SW(config-vlan)#name SW-Guanli命名VLAN 100为SW-GuanliL3SW(config-vlan)#exit退出L3SW(config)# VLAN 101创建VLAN 101L3SW(config-vlan)#name SMP命名VLAN 101为SMPL3SW(config-vlan)

16、#exit退出L3SW(config)# VLAN 4000创建VLAN 4000L3SW(config-vlan)#name Link-AC-vlan4000-命名VLAN 4000为Link-AC-vlan4000-L3SW(config-vlan)#exit退出任务2 三层交换机的配置2）IP及VLAN配置（创建用户VLAN及AP vlan，并配置IP地址作为用户及AP的网关）L3SW(config-if-VLAN10)# description User-Wifi对无线用户的网关SVI接口描述为User-WifiL3SW(config-if-VLAN10)# ip address 54

17、 配置无线用户的网关SVI地址L3SW(config-if-VLAN10)#exit退出L3SW(config)#interface VLAN 20进入VLAN 20的SVI端口L3SW(config-if-VLAN20)# description User-Wire对有线用户的网关SVI接口描述为User-WireL3SW(config-if-VLAN20)# ip address 54 配置有线用户的网关SVI地址L3SW(config-if-VLAN20)#exit退出L3SW(config)# interface VLAN 99进入VLAN99的SVI端口L3SW(config-if-

18、VLAN99)#description AP-Guanli对AP的网关SVI端口描述为AP-GuanliL3SW(config-if-VLAN99)#ip address 54 配置AP管理地址的网关SVI地址L3SW(config-if-VLAN99)#exit退出L3SW(config)# interface VLAN 100进入VLAN 100的SVI端口L3SW(config-if-VLAN100)#description SW-Guanli命名VLAN 100为SW-GuanliL3SW(config-if-VLAN100)#ip address 54 配置Poe交换机的管理IP地址

19、L3SW(config-if-VLAN100)#exit退出L3SW(config)# interface VLAN 101进入VLAN 101的SVI端口L3SW(config-if-VLAN101)#description SMP命名VLAN 101为SMPL3SW(config-if-VLAN101)#ip address 54 配置SMP的管理IP地址L3SW(config-if-VLAN101)#exit退出L3SW(config)# interface VLAN 4000进入VLAN 4000的SVI端口L3SW(config-if-VLAN4000)#description Li

20、nk-AC-vlan4000-对SVI端口描述为Link-AC-vlan4000-L3SW(config-if-VLAN4000)# ip address 配置与AC互联VLAN的IP地址L3SW(config-if-VLAN4000)#exit退出任务2 三层交换机的配置3）DHCP配置（开启DHCP服务，为AP和无线用户自动分配IP地址）L3SW(config)#service dhcp开启DHCP功能，默认DHCP功能关闭L3SW(config)#ip dhcp pool AP-Guanli创建AP的DHCP地址池L3SW(dhcp-config)#option 138 ip 配置AP

21、option 138字段指向AC的Lo0L3SW(dhcp-config)#network 指定AP DHCP分发地址段L3SW(dhcp-config)#default-router 54指定AP的网关地址L3SW(dhcp-config)#exit退出L3SW(config)# ip dhcp pool User-Wifi创建无线用户的DHCP地址池L3SW(dhcp-config)# network 指定无线用户DHCP分发地址段L3SW(dhcp-config)#default-router 54指定无线用户的网关地址L3SW(dhcp-config)#exit退出L3SW(confi

22、g)# ip dhcp pool User-Wire创建有线用户的DHCP地址池L3SW(dhcp-config)# network 指定有线用户DHCP分发地址段L3SW(dhcp-config)#default-router 54指定有线用户的网关地址L3SW(dhcp-config)#exit退出任务2 三层交换机的配置4）接口模式配置和指向AClo0 的路由配置L3SW(config)#interface GigabitEthernet 0/1进入端口G0/1L3SW(config-if)#description Link-L2SW-对端口描述为Link-L2SW-L3SW(confi

23、g-if)# switchport mode trunk把端口配置为Trunk模式L3SW(config-if)# switchport trunk allowed vlan only 20,99,100Trunk端口VLAN修剪L3SW(config-if)#exit退出L3SW(config)#interface GigabitEthernet 0/10进入端口G0/10L3SW(config-if)#description Link-SMP-对端口描述为Link-SMP-L3SW(config-if)#switch mode access将端口配置为access模式L3SW(config

24、-if)# switchport access vlan 101将端口配置属于SMP的VLAN101L3SW(config-if)#exit退出L3SW(config)#interface GigabitEthernet 0/24进入端口G0/24L3SW(config-if)#description Link-AC-对端口描述为Link-AC-L3SW(config-if)#switchport mode trunk把端口配置为Trunk模式L3SW(config-if)#switchport trunk allowed vlan only 10,4000Trunk端口VLAN修剪L3SW(

25、config-if)#exit退出L3SW(config)#ip route 55 添加指向AC的Lo0明细路由L3SW(config)#end退出到特权模式L3SW#wr保存配置任务2 三层交换机的配置任务验证：1）将AP上电后接入到交换机上，在L3SW上使用show ip dhcp binding，可以看到两个AP获取到IP地址。L3SW#show ip dhcp binding Total number of clients: 2Expired clients: 0Running clients: 2IP address Hardware address Lease expiration

26、 Type 5869.6c0c.1ed8 000 days 23 hours 58 mins Automatic 5869.6c0c.1b90 000 days 23 hours 57 mins Automatic任务3 无线AC的基础配置1）远程登录功能和loopback0配置（开启远程管理功能，方便后期维护）Ruijie#configure terminal从特权模式进入到全局模式Ruijie (config)#hostname AC对AC进行命名AC(config)#username admin password Ruijie创建用户名和密码AC(config)#enable passw

27、ord Ruijie设置比特权模式密码AC(config)#line vty 0 4进入虚线路AC(config-line)#login local采用本地用户认证AC(config-line)#exit退出任务3 无线AC的基础配置2）vlan和IP配置(创建用户VLAN和互联VLAN，配置IP地址作为用户及AP的网关，同时创建loopback0接口，配置IP地址作为AC的CAPWAP隧道地址)AC(config)# VLAN 10创建VLAN 10AC(config-vlan)#name User-Wifi命名VLAN 10为User-WifiAC(config-vlan)#exit退出A

28、C(config)# VLAN 4000创建VLAN 4000AC(config-vlan)#name Link-AC-vlan4000-命名VLAN 4000为Link-AC-vlan4000-AC(config-vlan)#exit退出AC(config)#interface loopback0进入loopback0端口AC(config-if)#ip address 55配置loopback0端口IP地址AC(config-if)#description CAPWAP对loopback0端口进行描述AC(config-if)#exit退出AC(config)# interface VLA

29、N 4000进入VLAN 4000的SVI端口AC(config-if-VLAN4000)#description Link-AC-vlan4000-对SVI端口描述为Link-AC-vlan4000-AC(config-if-VLAN4000)# ip address 配置与核心互联VLAN的IP地址AC(config-if-VLAN4000)#exit退出任务3 无线AC的基础配置3）AC与交换机互联接口配置和默认路由配置（将接口配置为trunk模式并进行VLAN修剪，仅允许与核心互联网段通过，配置默认路由指向核心）AC(config)#interface gi0/1进入G0/1端口AC(

30、config-if)#switchport mode trunk配置G0/1端口为Trunk端口AC(config-if)#switchport trunk all vlan only 10,4000将不必要VLAN在Trunk口进行修剪AC(config-if)#description LinkL3SW -对G0/1口对端连接情况进行描述AC(config-if)#exit退出AC(config)#ip route 配置默认路由指向核心任务3 无线AC的基础配置任务验证：1）在AC上使用show ap-config summary，可以看到两个AP处于run状态。AC(config)#sho

31、 ap-config summary（省略部分内容）AP Name IP Address MACAddress Radio Radio Up/Off time State- - - - - - -5869.6c0c.1ed8 5869.6c0c.1ed8 1 E 0 100 1* 2 E 0 100 149* 00:01:05 Run5869.6c0c.1b90 5869.6c0c.1b90 1 E 0 100 1* 2 E 0 100 153* 00:01:08 Run任务4 无线AC的WLAN配置1）SSID配置（创建SSID信号，供用户连接使用）AC(config)# wlan-conf

32、ig 1 Zhongrui创建WLAN 1的SSID为ZhongruiAC(config-wlan)#exit退出任务4 无线AC的WLAN配置2）AP组的配置（在AP组中将关联SSID和VLAN）AC(config)#ap-group BGL进入ap-group的BGL组AC(config-ap-group)#interface-mapping 1 10配置wlan-id 1和无线用户VLAN10对应关系AC(config-ap-group)#exit退出任务4 无线AC的WLAN配置3）AP的配置（AP加入到AP组中，发射AP组关联的SSID，配置智分AP天线的工作模式，同时对AP的信道进

33、行调整）AC(config)# ap-config 5869.6c0c.1ed8进入AP配置模式AC(config-ap-config)# ap-group BGL将AP加入BGL 组AC(config-ap-config)#ap-name BGLAP720-1对AP进行命名AC(config-ap-config)# channel 1 radio 1对AP信道进行调整AC(config-ap-config)#exit退出AC(config)# ap-config 5869.6c0c.1b90进入AP配置模式AC(config-ap-config)# ap-group BGL将AP加入BGL组

34、AC(config-ap-config)#ap-name BGLAP720-2对AP进行命名 AC(config-ap-config)# channel 6 radio 1对AP信道进行调整AC(config-ap-config)#end退出AC#write保存配置任务4 无线AC的WLAN配置任务验证：1）在AC上show ap-config running查看AP配置；AC#show ap-config running（省略部分内容）ap-config BGL-AP720-1 ap-mac 5869.6c0c.1ed8 ap-group BGL channel 1 radio 1!ap-c

35、onfig BGL-AP720-2 ap-mac 5869.6c0c.1b90ap-group BGLchannel 6 radio 1!任务5 有线portal认证配置1）启用AAA认证配置L2SW(config)#aaa new-model 启用AAA认证功能L2SW(config)#aaa accounting network default start-stop group radius定义用户上线下线审计默认使用列表L2SW(config)#aaa authentication web-auth default group radius定义web认证默认使用列表L2SW(config

36、)#aaa accounting update开启记账更新L2SW(config)#aaa accounting update periodic 5定义记账更新间隔为5分钟，建议和radius设备上的参数保持一致任务5 有线portal认证配置2）radius服务器配置L2SW(config)#radius-server host Key Ruijie配置radius服务器ip和Key任务5 有线portal认证配置3）portal服务器配置L2SW(config)# web-auth portal Key Ruijie配置portal服务器密钥L2SW(config)# web-auth t

37、emplate eportalv2配置portal版本为V2 L2SW(config.tmplt.mac)# ip 配置portal服务器IPL2SW(config.tmplt.mac)# url :80/smp/commonauth配置重定向portal界面L2SW(config.tmplt.mac)#exit退出L2SW(config)# http redirect direct-site 54 arp必须开放有线用户网关arp，让有线客户端可以发起http请求任务5 有线portal认证配置4）SNMP管理参数配置L2SW(config)#snmp community Ruijie配置s

38、nmp的团体名为Ruijie任务5 有线portal认证配置5）启用WEB认证配置L2SW(config)#interface range gi0/11-15进入G0/11到G0/15端口L2SW(config-if)#we-auth enable eportalv2端口启用二代portal认证L2SW(config-if)#exit退出任务5 有线portal认证配置任务验证：1）在接入交换机上使用show running，确认已完成以下配置；L2SW#show run（省略部分内容）!http redirect direct-site 54 arp!web-auth template ep

39、ortalv2 ip url :80/smp/commonauth!web-auth portal Key Ruijie!aaa new-model!aaa accounting update periodic 5aaa accounting updateaaa accounting network default start-stop group radiusaaa authentication web-auth default group radius!任务5 有线portal认证配置radius-server host Key Ruijie!interface GigabitEthern

40、et 0/11 switchport access vlan 20 web-auth enable eportalv2!interface GigabitEthernet 0/12 switchport access vlan 20 web-auth enable eportalv2!interface GigabitEthernet 0/13 switchport access vlan 20 web-auth enable eportalv2!interface GigabitEthernet 0/14 switchport access vlan 20 web-auth enable e

41、portalv2!interface GigabitEthernet 0/15 switchport access vlan 20 web-auth enable eportalv2!任务6 无线portal认证配置1）启用AAA认证配置AC(config)#aaa new-model启用AAA认证功能AC(config)#aaa accounting network default start-stop group radius定义用户上线下线审计默认使用列表AC(config)#aaa authentication web-auth default group radius定义web认证默

42、认使用列表AC(config)#aaa accounting update开启记账更新AC(config)#aaa accounting update periodic 5定义记账更新间隔为5分钟，建议和radius设备上的参数保持一致任务6 无线portal认证配置2）radius服务器配置AC(config)#radius-server host Key Ruijie配置radius服务器ip和KeyAC(config)#ip radius source-interface vlan 4000AC使用vlan 4000 的IP地址和radius对接AC(config)#radius dyn

43、amic-authorization-extension enable配置AC支持radius扩展属性AC(config)#radius-server attribute 31 mac format ietf设置SMP的MAC格式为ietf任务6 无线portal认证配置3）portal服务器配置AC(config)# web-auth portal Key Ruijie配置portal服务器密钥AC(config)# web-auth template eportalv2配置portal版本为V2 AC(config.tmplt.mac)# ip 配置portal服务器IPAC(config

44、.tmplt.mac)# url :80/smp/commonauth配置重定向portal界面AC(config.tmplt.mac)#exit退出AC(config)# http redirect direct-site 设置为免认证网络资源,配置的IP不认证即可访问AC(config)# http redirect direct-arp 54必须开放无线用户网关arp，让无线客户端可以发起http请求任务6 无线portal认证配置4)SNMP管理参数配置AC(config)# snmp-server host traps version 2c Ruijie 设置snmp为v2版本,SNMP服务器指向portal地址,团体字(即认证用户名，需要与SMP设备模板配置一致)为RuijieAC(config)# snmp-server enable traps web-auth配置SNMP对web认证进行响应AC(config)# snmp-server community Ruijie rw配置SNMP团体字Ruijie权限为读写任务6 无线portal认证配置5）启用WEB认证配置AC(config)# wlansec 1 进入wlan安全配置模式AC(