您的位置:360文档中心› 02-802.1X热备典型配置举例

02-802.1X热备典型配置举例

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

802.1X热备典型配置举例

Copyright © 2014 杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

目录

1 简介 (1)

2 配置前提 (1)

3 配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (1)

3.3 配置注意事项 (2)

3.4 配置步骤 (2)

3.4.1 AC 1的配置 (2)

3.4.2 AC 2的配置 (5)

3.4.3 Switch的配置 (9)

3.4.4 RADIUS server的配置 (10)

3.5 验证配置 (11)

3.6 配置文件 (12)

4 相关资料 (16)

i

1 简介

本文档介绍无线控制器802.1X热备典型配置举例。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解802.1X和双机热备的相关功能。

3 配置举例

3.1 组网需求

如图1所示,AC 1和AC 2均支持双机热备,现要求AC 1和AC 2在运行双机热备情况下支持802.1X 客户端的信息备份,主备AC切换的过程中,客户端不会重新上下线,可以继续正常通信。具体要求如下:

∙采用加密类型的服务模板,加密套件采用AES-CCMP。

∙AC 1正常工作的情况下,Client通过AC 1进行802.1X认证接入。AC 1发生故障的情况下,Client通过AC 2接入。

∙802.1X的认证方式采用EAP中继方式。

∙采用RADIUS服务器作为认证服务器,RADIUS服务器上注册的接入设备NAS-IP是133.1.1.3/16。

∙防止用户通过恶意假冒其它域账号从本端口接入网络。

∙配置VRRP来提高链路的可靠性,保证业务流量在切换过程中不会中断。

∙将VLAN 10作为备份VLAN,用于双机热备。

图1无线控制器802.1X热备典型配置组网图

3.2 配置思路

∙由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此为实现802.1X认证,需要在AC上全局配置端口安全;

∙为实现802.1X认证状态的备份,需要配置双机热备功能;

∙在无线环境中,为了保证AC在切换过程中,无线服务不中断,同时使客户端的信息在AC间同步,需要配置双AC备份及IACTP隧道。

∙在双AC备份配置中,为了让AP优先连接到AC 1,需要为AC 1配置较高的优先级。

1

∙在VRRP配置中,为了让AC 1成为Master,需要为AC 1配置较高的优先级。

∙由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。

∙对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无

线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。

∙为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。

3.3 配置注意事项

∙主备AC热备相关配置必须保持一致;

∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

3.4 配置步骤

3.4.1 AC 1的配置

(1) 配置AC 1的接口

# 创建VLAN 10作为双机热备的VLAN。

system-view

[AC1] vlan 10

[AC1-vlan10] quit

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

[AC1] vlan 100

[AC1-vlan100] quit

[AC1] interface vlan-interface 100

[AC1-Vlan-interface100] ip address 133.4.1.1 16

[AC1-Vlan-interface100] quit

# 创建VLAN 200作为ESS接口的缺省VLAN。

[AC1] vlan 200

[AC1-vlan200] quit

# 创建VLAN 300作为Client接入的业务VLAN。

[AC1] vlan 300

[AC1-vlan300] quit

# 创建VLAN 400作为RADIUS server所在VLAN,并配置其IP地址。

[AC1] vlan 400

[AC1-vlan400] quit

[AC1] interface vlan-interface 400

[AC1-Vlan-interface400] ip address 133.1.1.1 16

[AC1-Vlan-interface400] quit

2

相关文档
最新文档