03-H3C WX系列AC+Fit AP 802.1x无线认证和IAS配合典型配置举例
H3C WX系列AC_Fit AP典型配置案例集负载均衡典型配置举例
H3C WX 系列 AC+Fit AP 负载均衡 典型配置举例
关键词:Load balance,RRM 摘 要:介绍 Load Balance 的典型配置,包括基于用户、流量两种方式。 缩略语:
缩略语
英文全名
中文解释
AC
Access Controller
无线控制器
AP
Access Point
无线接入点
4.3.1 配置AC······································································································································ 5 4.4 验证结果 ·············································································································································· 6 5 相关资料 ·············································································································································· 7 5.1 其它相关资料······································································································································· 7
802.1X无线认证和iMC
[WX3010-AC-radius-h3c] key authentication h3c # 设置系统与计费 RADIUS 服务器交互报文时的共享密钥为 h3c。
# 设置当前服务模板的 SSID(服务模板的标识)为 test-802.1x。 [WX3010-AC-wlan-st-1] ssid test-802.1x # 将 WLAN-ESS1 接口绑定到服务模板 1。 [WX3010-AC-wlan-st-1] bind WLAN-ESS 1 # 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。 [WX3010-AC-wlan-st-1] authentication-method open-system # 使能 TKIP 加密套件。 [WX3010-AC-wlan-st-1] cipher-suite tkip # 设置在 AP 发送信标和探查响应帧时携带 WPA IE。 [WX3010-AC-wlan-st-1] security-ie wpa # 使能服务模板。 [WX3010-AC-wlan-st-1] service-template enable 2、配置 iMC 1)接入设备配置
# vlan 100 # interface Vlan-interface1 ip address 192.168.1.253 255.255.255.0 # interface Vlan-interface2 ip address 192.168.2.253 255.255.255.0 # interface Vlan-interface100 ip address 172.16.100.201 255.255.255.0 # interface Aux1/0/0 # interface GigabitEthernet1/0/1 poe enable # interface GigabitEthernet1/0/2 port link-type trunk port trunk permit vlan all # interface GigabitEthernet1/0/3 # interface GigabitEthernet1/0/4 # interface GigabitEthernet1/0/5 # interface GigabitEthernet1/0/6 # interface GigabitEthernet1/0/7 # interface GigabitEthernet1/0/8
H3C?WX2220?AP??WPA+802.1X无线认证和IAS配合应用_clocker...
H3C?WX2220?AP??WPA+802.1X无线认证和IAS配合应用_clocker...H3C WX2220 AP WPA+802.1X无线认证和IAS配合应用1. 组网需求通过配置AP实现RADIUS服务器对登录AP的用户进行认证和计费:l 一台RADIUS服务器(担当认证、计费服务器的职责)通过Swtich与AP相连,服务器IP地址为8.20.1.2/8。
l AP与认证、计费RADIUS服务器交互报文时的共享密钥均为h3c,发送给RADIUS服务器的用户名中不带域名。
l 在RADIUS服务器上设置与AP交互报文时的共享密钥为h3c。
l AP每隔3分钟就向RADIUS服务器发送一次实时计费报文。
l AP取消缓存没有得到响应的停止计费请求报文。
l 使能accounting-on功能,即要求AP重启后,发送accounting-on报文通知RADIUS server AP已经重启,要求RADIUS server强制该AP的用户下线。
2. 组网图WPA+802.1X无线认证和IAS配合应用组网图3. 配置步骤(1) 配置AP# 启用端口安全,并配置802.1X的认证方式为EAP。
[AP] port-security enable[AP] dot1x authentication-method eap# 配置RADIUS方案。
[AP] radius scheme ias[AP-radius-ias] server-type extended[AP-radius-ias] primary authentication 8.20.1.2[AP-radius-ias] primary accounting 8.20.1.2[AP-radius-ias] key authentication h3c[AP-radius-ias] key accounting h3c[AP-radius-ias] user-name-format without-domain[AP-radius-ias] timer realtime-accounting 3[AP-radius-ias] undo stop-accounting-buffer enable[AP-radius-ias] accounting-on enable# 配置认证域的AAA方案。
H3C-802.1X配置
目录1 802.1x配置1.1 802.1x简介1.1.1 802.1x的体系结构1.1.2 802.1x的基本概念1.1.3 EAPOL消息的封装1.1.4 EAP属性的封装1.1.5 802.1x的认证触发方式1.1.6 802.1x的认证过程1.1.7 802.1x的定时器1.1.8 802.1x在设备中的实现1.1.9 和802.1x配合使用的特性1.2 配置802.1x1.2.1 配置准备1.2.2 配置全局802.1x1.2.3 配置端口的802.1x1.3 配置802.1x的Guest VLAN1.3.1 配置准备1.3.2 配置Guest VLAN1.4 802.1x显示和维护1.5 802.1x典型配置举例1.6 Guest VLAN、VLAN下发典型配置举例1 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。
后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制协议(port based network access control protocol)。
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
1.1.1 802.1x的体系结构802.1x系统为典型的Client/Server结构,如图1-1所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
图1-1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。
客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x认证。
802.1x认证及相关配置
1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。
它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。
在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。
在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
802.1x认证包含三个角色:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。
其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。
而受控端口的联通或断开是由该端口的授权状态决定的。
受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。
2、802.1x认证过程(1.客户端程序将发出请求认证的EAPoL-Start报文给交换机,开始启动一次认证过程。
(2.交换机收到请求认证的报文后,将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。
(3.客户端程序响应交换机发出的请求,将用户名信息通过EAP-Response/Identify报文送给交换机。
交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
(4.认证服务器收到来自交换机的Radius-Access-Request报文,做如下几个操作:验证交换机的合法性:包括交换机的IP地址,以及RADIUS认证口令;验证RADIUS的ID字段中填入的账号是否有效;当上述两个条件满足的时候,给交换机应答此Radius-Access-Challenge报文。
域无线安全认证方案附配置(AD IAS)
目前,大多数公司在管理内部计算机及用户时,多采用微软的活动目录,而且大部分公司在进行无线网络搭建时,多倾向于使用现有的域结构对用户和计算机进行认证,本文详细的说明了基于现有域基础上的无线认证,H3C无线控制器与微软IAS(备注1)结合,实现了将无线网络无缝的嵌入到用户现有域结构中,并实现在用户登录域过程中,完成无线连接,域计算机认证,域用户认证等多项功能。
2组网图
3需要的设备:
Windows server 2003(非web版)(一台)
域控制器,DNS服务器,IAS服务器均在这台server上
windows server 2003安装光盘
IIS 6.0 resource kit(备注2)
PC(一台)
配置一块无线网卡
AC(任意型号)(一台)
AP(任意型号)(若干)
4.2.1配置端口
#
interface WLAN-ESS1
port-security port-mode psk
port-security tx-key-type 11key
port-security preshared-key pass-phrase 12345678
undo dot1x handshake
注意,上图中我们看到允许访问的计算机组和用户组,这两个组之间的关系是“或“,即符合其中任意一项都可以成功接入,如果仅想使用计算机验证,则删除掉用户组验证就可以。反之亦然。
点击下一步
在点击下一步前,请先进行备注2的操作,备注2的操作是为了生成一个自签名证书,按照备注2操作完成后,点击配置(如果没有进行操作2,则会报告未找到证书)。
4详细配置:4.1 Windows server 2003端配置:
H3CWX无线控制器配置宁盾WIFI认证指南
H3CWX无线控制器配置宁盾WIFI认证指南H3CWX无线控制器是一种集中式的无线局域网解决方案,它可以管理和控制大量的无线接入点,提供高效稳定的无线网络服务。
宁盾WIFI认证是一种基于用户行为的认证系统,可以提供更安全、更便捷的无线网络用户认证方式。
本文将详细介绍在H3CWX无线控制器上配置宁盾WIFI认证的指南。
第一步:连接和初始化控制器首先,您需要将H3CWX无线控制器连接到您的网络中。
在完成连接后,您需要执行初始化操作,包括设置管理IP地址、管理员用户名和密码等。
第二步:配置无线接入点(AP)在配置宁盾WIFI认证之前,您需要先配置无线接入点(AP)。
在H3CWX无线控制器上,您可以通过以下步骤配置AP:1. 登录控制器的Web管理界面,并选择“设备管理”->“设备清单”。
2.选择待配置的AP,并点击“AP详细信息”。
3.在AP详细信息界面的左侧菜单栏中选择“无线配置”->“无线接口”。
4.在无线接口界面中,配置AP的无线参数,包括SSID、频段、加密方式等。
确保您将宁盾WIFI认证系统所使用的SSID与配置的AP的SSID保持一致。
第三步:配置宁盾WIFI认证在配置了无线接入点后,您需要在H3CWX无线控制器上配置宁盾WIFI认证。
具体步骤如下:1. 登录控制器的Web管理界面,并选择“认证管理”->“认证服务配置”。
2.在认证服务配置界面中,选择“添加”创建一个新的认证服务配置。
3.在添加认证服务配置界面中,按照宁盾WIFI认证系统的要求,配置认证服务器的IP地址、端口号等信息。
4.配置认证策略。
您可以根据需求添加不同的认证策略,如访客认证、员工认证等。
根据宁盾WIFI认证系统的要求,配置认证策略的参数,如认证方式、认证服务器等。
5.配置认证方案。
在认证服务器配置界面的左侧菜单栏中选择“认证方案”,然后选择“添加认证方案”。
根据宁盾WIFI认证系统的要求,配置认证方案的参数,如认证方式、认证服务器等。
H3C-802.1x典型配置举例
H3C-802.1x典型配置举例802.1x典型配置举例关键词:802.1x,AAA摘要:本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置,对所涉及到的802.1x客户端、交换机、AAA服务器等角色,分别给出了详细的配置步骤。
缩略语:AAA(Authentication,Authorization and Accounting,认证、授权和计费)第1章 802.1x功能介绍说明:本章中的802.1x功能适用于H3C S3600、H3C S5600、H3C S3100、H3C S5100、H3C S3100-52P、E352&E328、E126和E152这一系列以太网交换机。
1.1 802.1x简介IEEE 802协议定义的局域网不提供接入认证,一般来说,只要用户接入局域网就可以访问网络上的设备或资源。
但是对于如电信接入、写字楼、局域网以及移动办公等应用场合,网络管理者希望能对用户设备的接入进行控制和配置,为此产生了基于端口或用户的网络接入控制需求。
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。
802.1x作为一种基于端口的用户访问控制机制,由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。
1.2 产品特性支持情况1.2.1 全局配置●开启全局的802.1x特性●设置时间参数●设置认证请求帧的最大可重复发送次数●打开静默定时器功能●打开设备重启用户再认证功能1.2.2 端口视图下的配置●开启端口dot1x●配置Guest VLAN功能●配置端口允许的最大用户数●端口接入控制方式(基于端口或基于MAC)●端口接入控制模式(强制授权、非强制授权、自动)●客户端版本检测●代理检测1.2.3 注意事项●只有全局开启dot1x特性后,dot1x的配置才会生效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图4-1 802.1X 无线认证和 IAS 配合组网图
8.1.1.4/8
192.168.1.50/24
4.2 配置思路
(1) 配置 802.1X (2) 配置服务器
4.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.00, 0001 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jul 13 2007 14:32:12, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 2 days, 17 hours, 3 minutes
3
# wlan service-template 2 crypto ssid h3c-dot1x bind WLAN-ESS 2 authentication-method open-system cipher-suite ccmp security-ie rsn gtk-rekey method time-based 180 service-template enable # interface NULL0 # interface Vlan-interface1 ip address 192.168.1.50 255.255.255.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS2 port-security port-mode userlogin-secure-ext port-security tx-key-type 11key # wlan ap ap3 model WA2100 serial-id 210235A29G007C000020 radio 1 type 11g
基于局域网的可扩展认证协议
Remote Authentication Dial In User Service 基于用户服务的远程拨号认证
Authentication Authorization Accounting
认证 授权 计费
I
目录
1 特性简介 .............................................................................................................................................. 1 2 使用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 IAS配置举例 ......................................................................................................................................... 1
缩略语 AC AP SSID EAP EAPOL Radius AAA
英文全名
中文解释
Access Control
无线控制器
Access Point
无线接入点
Service Set Identifier
服务集识别码
Extensible Authentication Protocol
可扩展认证协议
EAP over Lans
[SLOT 1]CON
(Hardware)A,
[SLOT 1]GE1/0/1
(Hardware)A,
[SLOT 1]GE1/0/2
(Hardware)A,
[SLOT 1]M-E1/0/1
(Hardware)A,
(Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0,
3 注意事项
z 接入设备上服务器端口配置正确 z 相关 AAA 配置正确。
4 IAS 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。AC 的 IP 地址为 192.168.1.50/24,Radius Server 的 IP 地址为 8.1.1.4/8,AP 和 Client 通过 DHCP 服 务器获取 IP 地址。 本典型配置举例简化组网为两台 PC(Client)以及一台 Fit AP 和无线控制器 AC 通过 IP 网络相连。
II
1 特性简介
IEEE 802.1X 定义了基于端口的网络接入控制协议(port based network access control),该协议 适用于接入设备与接入端口间点到点的连接方式。通过开关端口的状态来实现对报文转发的控制。
2 使用场合
802.1x 协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现, 这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而在可运营、可管理 的宽带 IP 城域网中作为一种认证方式具有极大的局限性。
CPU type: BCM MIPS 1250 700MHz
512M bytes DDR SDRAM Memory
32M bytes Flash Memory
Hale Waihona Puke PcbVersion: A
Logic
Version: 1.0
Basic BootROM Version: 1.13
Extend BootROM Version: 1.14
(Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0.
4.4 配置步骤
配置 802.1X:
<AC>display current-configuration # version 5.00, 0001
2
# sysname AC # configure-user count 1 # domain default enable ias # port-security enable # dot1x authentication-method eap # vlan 1 # vlan 2 to 4094 # radius scheme system primary authentication 127.0.0.1 primary accounting 127.0.0.1 key authentication h3c key accounting h3c accounting-on enable radius scheme ias server-type extended primary authentication 8.1.1.4 primary accounting 8.1.1.4 key authentication h3c key accounting h3c timer realtime-accounting 3 user-name-format without-domain undo stop-accounting-buffer enable accounting-on enablee # domain ias authentication default radius-scheme ias authorization default radius-scheme ias accounting default radius-scheme ias access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable # wlan radio-policy rp beacon-interval 500
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 2