无线局域网应用技术（微课版）（微课版）（第2版）项目13 智能无线网络的安全认证服务部署·

项目13智能无线网络的安全认证服务部署技能目标：掌握无线认证的配置操作完成无线网络的安全认证服务部署操作素质拓展目标：企业遵守国家或国际制定的网络信息安全法则，员工恪守公司规定，遵守国家法律法规遵循业务流程，分步骤实施与验证，直到完成整个项目学习目标项目背景Jan16公司无线网络使用WPA2加密方式部署，在网络运营一段时间后，公司发现无线用户数持续增加，但是新员工并未增长。网络管理员通过分析接入用户，发现增长的用户基本属于公司外部人员，这些用户的接入不仅影响员工接入带宽下降，还带来了安全隐患。项目背景为解决这个问题，该公司要求对当前无线网络进行接入认证的升级改造，把原有的密码认证升级为实名认证接入，即每位员工都有唯一的账号与密码，并且账号与员工个人属于一一对应的关系，这样可以避免员工将自己的账号密码泄露出去，同时又增加了网络安全性及满足公安部关于实名认证的要求。为确保该项目实施的可靠性，本项目已经在信息部内部做了测试，接下来第一期拟将办公楼的研发部、销售部启用WEB实名认证，做小范围测试。

AAA的基本概念

AAA是认证(Authentication)、授权(Authorization)和记账(Accounting)的1称，它提供了认证、授权、记账3种安全功能。(1)认证:验证用户的身份和可使用的网络服务。(2)授权:依据认证结果开放网络服务给用户。

AAA的基本概念

(3)记账:记录用户对各种网络服务的用量，并提供记账系统。AAA种协议来实现，为大部分设备支持基于远程身份认证拨号用户服务(RemoteAuthenticationDial-InUserService，RADIUS)协议或华为终端访问制器访问控制系统(HuaweiTerminalAccessControllerAccessControlSystem,HWTACACS)协议来实现。Web认证Web认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证。Web认证未认证用户使用浏览器上网时，接入设备会强制浏览器访问特定站点，也就是Web认证服务器，通常称为Portal服务器。用户无需认证即可享受Portal服务器上的服务，比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时，就必须通过浏览器在Portal服务器上进行身份认证，只有认证通过后才可以使用网络资源。Web认证除了认证上的便利性之外，由于Portal服务器和用户的浏览器有界面交互，可以利用这个特性在Portal服务器界面放置一些广告、通知、业务链接等个性化的服务，因此具有很好的应用前景。

本地认证

Web认证采用本地认证。AC内置了Web认证所需的Portal、AAA等功能，可以将AC作为AAA服务器，AC设备此时被称为本地AAA服务器。本地AAA服务器支持对用户进行认证和授权，不支持对用户进行记账。本地AAA服务器需要配置本地用户的用户名、密码、授权信息等。使用本地AAA服项目需求分析无线采用WPA2密码认证接入方式仅适用于小型企业，所有客户端通过相同的密码接入，密码不具备用户辨识性。要解决员工通过分享、泄露等多种方式扩散公司无线密码的安全隐患，实现无线认证与员工个人信息绑定，做到实名认证，目前，业界大多采用比较成熟的802.1X技术来解决。项目需求分析无线控制器内置web认证，相当于在网络中部署一台认证服务器，所有用户接入均通过它进行身份识别，通过验证则允许接入网络。基础网络配置：配置有线网络与无线网络，实现有线用户与无线用户的连通性；无线认证配置：在无线控制器上添加认证设备和用户信息，配置本地认证，实现网络的安全接入认证。项目规划设计项目拓扑项目规划设计1、VLAN规划VLAN-IDVLAN命名网段用途vlan10User-Wifi/24无线用户网段vlan99AP-Guanli/24AP管理网段vlan100SW-Guanli/24交换机管理网段vlan4000Link--AC-vlan4000--/24L3SW与AC互联网段项目规划设计2、设备管理规划3、端口互联规划设备类型型号设备命名console密码用户名密码无线接入点AP4050DNBGL-AP4050DN-1N/AN/AN/ABGL-AP4050DN-2N/AN/AN/A无线控制器AC6005ACHuawei@123adminHuawei@123接入交换机S3700L2SWHuawei@123adminHuawei@123核心交换机S5700L3SWHuawei@123adminHuawei@123本端设备本端端口端口配置对端设备对端端口BGL-AP4050DN-1G0/0/0N/AL2SWG0/0/1BGL-AP4050DN-2G0/0/0N/AL2SWG0/0/2L2SWG0/0/1trunkBGL-AP4050DN-1G0/0/0L2SWG0/0/2trunkBGL-AP4050DN-2G0/0/0L2SWG0/0/24trunkL3SWG0/0/1L3SWG0/0/1trunkL2SWG0/0/24L3SWG0/0/24trunkACG0/0/1ACG0/0/1trunkL2SWG0/0/24项目规划设计4、IP规划设备接口IP地址用途ACvlan4000/24与L3SW地址looback0/32CAPWAPL3SWVLAN1054/24无线用户网关-253DHCP分配VLAN9954/24AP管理地址网关-253DHCP分配vlan10054/24L2SW设备管理网关vlan4000/24与AC互联地址L2SWvlan100/24L2SW管理地址BGL-AP4050DN-1VLAN99DHCPAP管理地址BGL-AP4050DN-2VLAN99DHCPAP管理地址项目规划设计5、VAP规划6、AP组规划7、AP规划VAPVLANSSID加密方式是否广播vap10Jan16否是AP-GROUPVAPWLAN-IDRADIO-IDBGLvap10BGLvap11AP名称MAC地址AP-GROUP频率与信道功率BGL-AP4050DN-1c4b8-b469-3a40BGL2.4GHZ,1100%BGL-AP4050DN-2c4b8-b469-33e0BGL2.4GHZ,6100%项目规划设计8、数据规划：配置项数据AP组BGLSSID模板Jan16VAP模板vapPortal接入模板Jan16-access认证模板Jan16-portal认证方案Jan16-scheme任务1L2SW的配置任务描述公司接入交换机配置远程管理功能，创建VLAN,配置IP地址和指定接口accessvlan为APvlan并配置默认路由，完成L2SW的基础配置；任务1L2SW的配置1、配置远程登录和管理密码；<Quidway>system-view进入系统视图[Quidway]sysnameL2SW配置设备名称[L2SW]user-interfacevty04进入虚拟链路[L2SW-ui-vty0-4]protocolinboundtelnet配置协议为telnet[L2SW-ui-vty0-4]authentication-modeaaa配置认证模式为aaa[L2SW-ui-vty0-4]quit退出[L2SW]aaa进入aaa视图[L2SW-aaa]local-useradminpasswordirreversible-cipherHuawei@123创建admin用户并配置密码Huawei@123[L2SW-aaa]local-useradminservice-typetelnet配置用户类型为telnet用户[L2SW-aaa]local-useradminprivilegelevel15配置用户等级为15[L2SW-aaa]quit退出任务1L2SW的配置2、创建各部门使用的VLAN，配置设备的IP地址作为管理地址，并配置默认路由；[L2SW]vlan10创建VLAN10[L2SW-vlan10]nameUser-WifiVLAN命名为User-Wifi[L2SW-vlan10]quit退出[L2SW]vlan99创建VLAN99[L2SW-vlan99]nameAP-GuanliVLAN命名为AP-Guanli[L2SW-vlan99]quit退出[L2SW]vlan100创建VLAN100[L2SW-vlan100]nameSW-GuanliVLAN命名为SW-Guanli[L2SW-vlan100]quit退出[L2SW]interfacevlanif100进入vlanif100接口[L2SW-Vlanif100]ipaddress24配置IP地址[L2SW-Vlanif100]quit退出[L2SW]iproute-static54配置默认路由任务1L2SW的配置3、配置与L3SW、AP互联的接口；[L2SW]interfacerangeGigabitEthernet0/0/1toGigabitEthernet0/0/2进入G0/0/1-2接口视图[L2SW-port-group]portlink-typetrunk配置接口类型为trunk[L2SW-port-group]porttrunkallow-passvlan1099配置接口放行VLAN列表[L2SW-port-group]porttrunkpvidvlan99配置接口默认VLAN[L2SW-port-group]quit退出[L2SW]interfaceGigabitEthernet0/0/24进入G0/0/24接口视图[L2SW-GigabitEthernet0/0/24]portlink-typetrunk配置接口类型为trunk[L2SW-GigabitEthernet0/0/24]porttrunkallow-passvlan99100配置接口放行VLAN列表[L2SW-GigabitEthernet0/0/24]quit退出任务1L2SW的配置任务验证1、在L2SW上使用displayportvlan，查看接口信息，[L2SW]disportvlanPortLinkTypePVIDTrunkVLANList-------------------------------------------------------------------------------GigabitEthernet0/0/1trunk99199GigabitEthernet0/0/2trunk99199GigabitEthernet0/0/3desirable11-4094GigabitEthernet0/0/4desirable11-4094省略部分内容……GigabitEthernet0/0/23desirable11-4094GigabitEthernet0/0/24trunk11102099-100任务2L3SW的配置任务描述公司核心交换机配置远程管理功能，创建VLAN，配置DHCP服务，配置IP地址和接口模式并配置路由指向AC，完成L3SW的配置；任务2L3SW的配置1、配置远程登录和管理密码；<Quidway>system-view进入系统视图[Quidway]sysnameL3SW配置设备名称[L3SW]user-interfacevty04进入虚拟链路[L3SW-ui-vty0-4]protocolinboundtelnet配置协议为telnet[L3SW-ui-vty0-4]authentication-modeaaa配置认证模式为aaa[L3SW-ui-vty0-4]quit退出[L3SW]aaa进入aaa视图[L3SW-aaa]local-useradminpasswordirreversible-cipherHuawei@123创建admin用户并配置密码Huawei@123[L3SW-aaa]local-useradminservice-typetelnet配置用户类型为telnet用户[L3SW-aaa]local-useradminprivilegelevel15配置用户等级为15[L3SW-aaa]quit退出任务2L3SW的配置2、创建各部门使用的VLAN，配置设备的IP地址作为管理地址；[L3SW]vlan10创建vlan10[L3SW-vlan10]nameUser-WifiVLAN命名为User-Wifi[L3SW-vlan10]quit退出[L3SW]vlan99创建VLAN99[L3SW-vlan99]nameAP-GuanliVLAN命名为AP-Guanli[L3SW-vlan99]quit退出[L3SW]vlan100创建VLAN100[L3SW-vlan100]nameSW-GuanliVLAN命名为SW-Guanli[L3SW-vlan100]quit退出[L3SW]vlan4000创建vlan4000[L3SW-vlan4000]nameLink--AC-vlan4000--VLAN命名为Link--AC-vlan4000--[L3SW-vlan4000]quit退出任务2L3SW的配置2、创建各部门使用的VLAN，配置设备的IP地址作为管理地址；[L3SW]interfacevlanif10进入vlanif10接口[L3SW-Vlanif10]ipaddress5424配置IP地址[L3SW-Vlanif10]quit退出[L3SW]interfacevlanif99进入vlanif99接口[L3SW-Vlanif99]ipaddress5424配置IP地址[L3SW-Vlanif99]quit退出[L3SW]interfacevlanif100进入vlanif100接口[L3SW-Vlanif100]ipaddress5424配置IP地址[L3SW-Vlanif100]quit退出[L3SW]interfacevlanif4000进入vlanif4000接口[L3SW-Vlanif4000]ipaddress24配置IP地址[L3SW-Vlanif4000]quit退出任务2L3SW的配置3、开启DHCP服务功能，创建AP和用户的DHCP地址池；[L3SW]dhcpenable开启DHCP功能[L3SW]interfacevlanif10进入vlanif10接口[L3SW-Vlanif10]dhcpselectinterfaceDHCP选择接口配置[L3SW-Vlanif10]quit退出[L3SW]interfacevlanif99进入vlanif99接口[L3SW-Vlanif99]dhcpselectinterfaceDHCP选择接口配置[L3SW-Vlanif99]dhcpserveroption43sub-option3ascii配置DHCP分配的选项字段，用于AP与AC建立隧道[L3SW-Vlanif99]quit退出28任务2L3SW的配置4、配置连接接入交换机和AC的端口为Trunk,并配置端口放行VLAN列表，允许用户和设备互联的VLAN通过；[L3SW]interfaceGigabitEthernet0/0/1进入G0/0/1接口视图[L3SW-GigabitEthernet0/0/1]portlink-typetrunk配置接口类型为trunk[L3SW-GigabitEthernet0/0/1]porttrunkallow-passvlan99100配置接口放行VLAN列表[L3SW-GigabitEthernet0/0/1]quit退出[L3SW]intrangeGigabitEthernet0/0/24进入G0/0/24接口视图[L3SW-GigabitEthernet0/0/24]portlink-typetrunk配置接口类型为trunk[L3SW-GigabitEthernet0/0/24]porttrunkallow-passvlan104000配置接口放行VLAN列表[L3SW-GigabitEthernet0/0/24]quit退出[L3SW]iproute-static55添加指向AC的Lo0明细路由任务2L3SW的配置任务验证将AP上电后接入到交换机上，在L3SW上使用showipdhcpbinding，可以看到两个AP获取到IP地址。[L3SW]displayippoolinterfaceVlanif99usedPool-name:Vlanif99Pool-No:2Lease:1Days0Hours0MinutesDomain-name:-Option-code:43Option-subcode:3Option-type:asciiOption-value:DNS-server0:-NBNS-server0:-Netbios-type:-Position:InterfaceStatus:UnlockedGateway-0:54Network:Mask:VPNinstance:-------------------------------------------------------------------------------StartEndTotalUsedIdle(Expired)ConflictDisable-----------------------------------------------------------------------------542532251(0)00-----------------------------------------------------------------------------Networksection:-----------------------------------------------------------------------------IndexIPMACLeaseStatus-----------------------------------------------------------------------------25152c4b8-b469-33e05477Used25253c4b8-b469-3a409161Used-----------------------------------------------------------------------------任务3AC的基础配置任务描述公司AC上配置远程管理功能，创建VLAN并配置IP地址，开启DHCP并创建地址池,配置与交换机互联接口为TRUNK模式，配置默认路由，完成无线AC的基础配置。任务3AC的基础配置1、配置远程登录和管理密码；<AC6005>system-view进入系统视图[AC6005]sysnameAC配置设备名称[AC]user-interfacevty04进入虚拟链路[AC-ui-vty0-4]protocolinboundtelnet配置协议为telnet[AC-ui-vty0-4]authentication-modeaaa配置认证模式为aaa[AC-ui-vty0-4]quit退出[AC]aaa进入aaa视图[AC-aaa]local-useradminpasswordirreversible-cipherHuawei@123创建admin用户并配置密码Huawei@123[AC-aaa]local-useradminservice-typetelnet配置用户类型为telnet用户[AC-aaa]local-useradminprivilegelevel15配置用户等级为15[AC-aaa]quit退出任务3AC的基础配置2、配置创建各部门使用的VLAN，配置设备的IP地址；[AC]vlan10创建vlan10[AC-vlan10]nameUser-WifiVLAN命名为User-Wifi[AC-vlan10]quit退出[AC]vlan4000创建vlan4000[AC-vlan4000]nameLink--AC-vlan4000--VLAN命名为Link--AC-vlan4000--[AC-vlan4000]quit退出[AC]interfaceloopback0进入loopback0接口[AC-LoopBack0]ipaddress32配置IP地址[AC-LoopBack0]quit退出[AC]interfacevlanif4000进入vlanif4000接口[AC-Vlanif4000]ipaddress24配置IP地址[AC-Vlanif4000]quit退出[AC]capwapsourceinterfaceLoopBack0指定CAPWAP隧道源接口任务3AC的基础配置3、配置AC与交换机互联接口配置和默认路由；[AC]interfaceGigabitEthernet0/0/1进入G0/0/1接口视图[AC-GigabitEthernet0/0/1]portlink-typetrunk配置接口类型为trunk[AC-GigabitEthernet0/0/1]porttrunkallow-passvlan104000配置接口放行VLAN列表[AC-GigabitEthernet0/0/1]quit退出[AC]capwapsourceinterfaceLoopBack0指定CAPWAP隧道源接口[AC]iproute-static配置默认路由任务3AC的基础配置任务验证1、在AC上使用displayportvlan，查看接口VLAN信息，[AC]displayportvlanPortLinkTypePVIDTrunkVLANList-------------------------------------------------------------------------------GigabitEthernet0/0/1trunk11104000GigabitEthernet0/0/2hybrid1-GigabitEthernet0/0/3hybrid1-GigabitEthernet0/0/4hybrid1-GigabitEthernet0/0/5hybrid1-GigabitEthernet0/0/6hybrid1-GigabitEthernet0/0/7hybrid1-GigabitEthernet0/0/8hybrid1-

任务3AC的基础配置2、在AC上使用displayipinterfacebrief，查看IP信息，[AC]displayipinterfacebrief*down:administrativelydown^down:standby(l):loopback(s):spoofing(E):E-TrunkdownThenumberofinterfacethatisUPinPhysicalis5ThenumberofinterfacethatisDOWNinPhysicalis0ThenumberofinterfacethatisUPinProtocolis4ThenumberofinterfacethatisDOWNinProtocolis1

InterfaceIPAddress/MaskPhysicalProtocolLoopBack0/32upup(s)NULL0unassignedupup(s)Vlanif1/16upupVlanif4000/24upup任务4AC的WLAN配置任务描述公司AC上配置SSID，创建AP组将WLAN和VLAN进行映射，并在AC上注册AP，完成无线AC的WLAN配置；任务4AC的WLAN配置1、创建SSID文件并定义SSID；[AC]wlan进入WLAN视图[AC-wlan-view]ssid-profilenameJan16创建SSID配置文件[AC-wlan-ssid-prof-Jan16]ssidJan16定义SSID[AC-wlan-ssid-prof-Jan16]quit退出任务4AC的WLAN配置2、建VAP文件，关联对应的SSID文件服务VLAN；[AC-wlan-view]vap-profilenamevap创建VAP配置文件[AC-wlan-vap-prof-vap]service-vlanvlan-id10配置VAP关联VLAN[AC-wlan-vap-prof-vap]ssid-profileJan16配置VAP关联SSID文件[AC-wlan-vap-prof-vap]quit退出任务4AC的WLAN配置3、创建AP组，并将VAP文件绑定到对应的WLAN中；[AC-wlan-view]ap-groupnameBGL创建AP组BGL[AC-wlan-ap-group-BGL]vap-profilevapwlan1radio0绑定VAP到WLAN-ID1的2.4G射频卡0[AC-wlan-ap-group-BGL]vap-profilevapwlan1radio1绑定VAP到WLAN-ID1的5.8G射频卡1[AC-wlan-ap-group-BGL]quit退出任务4AC的WLAN配置4、将AP加入到AP组中，并配置AP名、AP组；[AC-wlan-view]ap-id1ap-macc4b8-b469-3a40绑定AP-ID1的MAC地址[AC-wlan-ap-1]ap-nameBGL-AP4050DN-1修改AP命名[AC-wlan-ap-1]ap-groupBGL将AP1加入到AP组BGL[AC-wlan-ap-1]quit退出[AC-wlan-view]ap-id2ap-macc4b8-b469-33e0绑定AP-ID2的MAC地址[AC-wlan-ap-1]ap-nameBGL-AP4050DN-2修改AP名称[AC-wlan-ap-1]ap-groupBGL将AP1加入到AP组BGL[AC-wlan-ap-1]quit退出任务4AC的WLAN配置任务验证1、在AC上displayapconfig-infoap-nameBGL-AP4050DN-1,查看BGL-AP4050DN-1的配置信息，[AC]displayapconfig-infoap-nameBGL-AP4050DN-1--------------------------------------------------------------------------------APMAC:c4b8-b469-3a40APSN:21500831023GJ8032190APtype:AP4050DNAPname:BGL-AP4050DN-1APgroup:BGLCountrycode:CN省略部分内容……任务4AC的WLAN配置2、在AC上displayapconfig-infoap-nameBGL-AP4050DN-2,查看BGL-AP4050DN-2的配置信息，[AC]displayapconfig-infoap-nameBGL-AP4050DN-2--------------------------------------------------------------------------------APMAC:c4b8-b469-3a40APSN:21500831023GJ8032190APtype:AP4050DNAPname:BGL-AP4050DN-1APgroup:BGLCountrycode:CN省略部分内容……任务4AC的WLAN配置3、在AC上使用displayapall，可以看到两个AP处于nor状态。[AC]displayapallInfo:Thisoperationmaytakeafewseconds.Pleasewaitforamoment.done.TotalAPinformation:nor:normal[2]-------------------------------------------------------------------------------------------------------IDMACNameGroupIPTypeStateSTAUptime-------------------------------------------------------------------------------------------------------1c4b8-b469-3a40BGL-AP4050DN-1BGL53AP4050DNnor02H:26M:11S2c4b8-b469-33e0BGL-AP4050DN-2BGL52AP4050DNnor11H:28M:17S-------------------------------------------------------------------------------------------------------Total:2任务5无线portal认证配置任务描述公司无线Portal配置包括Portal配置、AAA配置、接入模板配置、认证模板配置、Web认证配置。任务5无线portal认证配置1、使能内置Portal服务器功能；[AC]portallocal-serverip配置内置portal认证服务器IP[AC]portallocal-serverhttpsssl-policydefault_policyport20000配置内置portal认证协议及端口号任务5无线portal认证配置2、创建本地认证方案“Jan16”，并配置本地用户的用户名、密码和服务类型；[AC]aaa进入aaa视图[AC-aaa]authentication-schemeJan16-scheme创建本地认证方案模板[AC-aaa-authen-Jan16]quit退出[AC-aaa]local-usertestpasswordcipherHuawei@123创建