59-通过802.1X认证服务器动态下发授权ACL典型配置举例

1、H3C通过802.1X认证服务器动态下发授权ACL典型配置举例Copyright2014杭州华三通信技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。目录1简介12配置前提13 802.1X认证通过WindowsServer2003IAS服务器下发ACL配置举例13.1组网需求13.2配置思路13.3配置注意事项23.4配置步骤23.4.1 AC的配置23.4.2 Switch的配置53.4.3 WindowsServer2003IAS服务器的配置63.5验证配置113.6配置文件124 802.1X认证通过iMC服务器下发ACL配置举例144.1组网需求144.2配置思路144.3配置注意事项154.4配置步骤154.4.1 AC的配置154.4.2 Switch的配置184.4.3 iMC服务器的配置194.5验证配置224.6配置文件235相关资料25#1简介本文档介绍无线控制器通过802.1X认证服务器动态下发授权ACL的典型配置举例。2配置前提本文档不严格与

2、具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解AAA、WLAN、802.1X特性。3802.1X认证通过WindowsServer2003IAS服务器下发ACL配置举例3.1组网需求如图1所示，WindowsServer2003IAS服务器作为RADIUS服务器，对Client进行认证并下发授权ACL。具体应用需求如下：Client需要通过802.1X认证才能上线; Client通过认证后允许访问网络8.125.0.0/16，不允许访问其他网络资源。 防止用户通过恶意假冒其它域账号从本端口接入网络。图1授权ACL下发典型配置组网图APClient3.2配置思路为了实现WindowsServer2003IAS服务器下发授权ACL，需要在用户使用的“远程访问策略”中添加Filter-ID属性。由于部分802.1X客户端不支持与设备进行握手报文

3、的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。 对于无线局域网来说，802.1X认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X组播报文的方式来触发。同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X组播触发功能。 为了防止用户通过恶意假冒其它域账号从本端口接入网络，配置端口的强制认证域。3.3配置注意事项 WindowsServer2003IAS服务器授权下发的ACL必须是AC设备上已经配置的ACL，且ACL的内容不能为空，否则802.1X无法认证成功。 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。 由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用，因此在无特殊组网要求的情况下，无线环境中通常使用端口安全特性。3.4配置步骤3.4.1 AC的配置(1) 配置AC的接口#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道且A

4、C通过VLAN100与RADIUS服务器通信。system-viewACvlan100AC-vlan100quitACinterfacevlan-interface100AC-Vlan-interface100ipaddress125.100.1.416AC-Vlan-interface100quit#仓U建VLAN200作为ESS接口的缺省VLAN。ACvlan200AC-vlan200quit#创建VLAN300作为Client接入的业务VLAN。ACvlan300AC-vlan300quit# 配置AC与Switch相连的GigabitEthernet0/1接口的属性为trunk,允许VLAN100、VLAN200和VLAN300通过。ACinterfaceGigabitEthernet1/0/1AC-GigabitEthernet1/0/1portlink-typetrunkAC-GigabitEthernet1/0/1porttrunkpermitvlan100200300AC-GigabitEthernet1/0/1quit(2) 配置ACL# 创建ACL3000。ACac

5、lnumber3000#定义规则0，允许目的地址为8.125.0.0/16的报文通过。AC-acl-adv-3000rule0permitipdestination8.125.0.00.0.255.255#定义规则1，禁止任何IP报文通过。AC-acl-adv-3000rule1denyipAC-acl-adv-3000quit(3) 配置802.1X认证#全局模式下使能端口安全。ACport-securityenable#选择802.1X认证方式为EAP。ACdot1xauthentication-methodeap(4) 配置认证策略#创建RADIUS方案office并进入其视图。ACradiusschemeoffice#配置RADIUS方案服务类型为扩展型。AC-radius-officeserver-typeextended#设置主认证RADIUS服务器的IP地址8.125.1.1。AC-radius-officeprimaryauthentication8.125.1.1#设置主计费RADIUS服务器的IP地址8.125.1.1。AC-radius-officeprimary

6、accounting8.125.1.1#设置系统与认证RADIUS服务器交互报文时的共享密钥为123456。AC-radius-officekeyauthentication123456#设置系统与计费RADIUS服务器交互报文时的共享密钥为123456。AC-radius-officekeyaccounting123456#配置发送给RADIUS服务器的用户名不携带域名。AC-radius-officeuser-name-formatwithout-domain#设置设备发送RADIUS报文时使用的源IP地址125.100.1.4。AC-radius-radiusnas-ip125.100.1.4AC-radius-radiusquit(5) 配置认证域#创建office域并进入其视图。ACdomainoffice#为Ian-access用户配置认证方案为RADIUS方案，方案名为office。AC-isp-officeauthenticationlan-accessradius-schemeoffice#为lan-access用户配置授权方案为RADIUS方案，方案名为office

7、。AC-isp-officeauthorizationlan-accessradius-schemeoffice#为Ian-access用户配置计费为none,不计费。AC-isp-officeaccountinglan-accessnoneAC-isp-officequit(6) 配置无线接口#创建WLAN-ESS1接口，并设置端口的链路类型为Hybrid类型。ACinterfacewlan-ess1AC-WLAN-ESS1portlink-typehybrid#配置WLAN-ESS1端口的PVID为200，禁止VLAN1通过并允许VLAN200不带tag通过。AC-WLAN-ESS1undoporthybridvlan1AC-WLAN-ESS1porthybridvlan200untaggedAC-WLAN-ESS1porthybridpvidvlan200#使能MAC-VLAN功能。AC-WLAN-ESS1mac-vlanenable#在WLAN-ESS1口上配置端口安全，选用802.1X认证方式。AC-WLAN-ESS1port-securityport-modeuserlog

8、in-secure-extAC-WLAN-ESS1port-securitytx-key-type11key#关闭802.1x握手功能AC-WLAN-ESS1undodot1xhandshake#关闭802.1x多播触发功能AC-WLAN-ESS1undodot1xmulticast-trigger#在WLAN-ESS1端口上指定802.1X认证的强制认证域为office。AC-WLAN-ESS1dot1xmandatory-domainofficeAC-WLAN-ESS1quit(7)配置无线服务#创建crypto类型的服务模板1。ACwlanservice-template1crypto#设置当前服务模板的SSID为service。AC-wlan-st-1ssidservice#将WLAN-ESS1接口绑定到服务模板1。AC-wlan-st-1bindwlan-ess1#配置加密套件为CCMP。AC-wlan-st-1cipher-suiteccmp#配置安全信息元素为RSN。AC-wlan-st-1security-iersn#启用无线服务。AC-wlan-st-1service

9、-templateenableAC-wlan-st-1quit(8)配置射频接口并绑定服务模板#创建AP的管理模板，名称为officeap,型号名称选择WA2620E-AGN,并配置AP的序列号。ACwlanapofficeapmodelWA2620E-AGNAC-wlan-ap-officeapserial-id21023529G007C000020#进入radio2射频视图。AC-wlan-ap-officeapradio2#将在AC上配置的服务模板1与射频2进行关联，Client通过服务模板1接入VLAN300。AC-wlan-ap-officeap-radio-2service-template1vlan-id300#使能AP的radio2。AC-wlan-ap-officeap-radio-2radioenableAC-wlan-ap-officeap-radio-2quitAC-wlan-ap-officeapquit(9)配置AC的默认路由# 将AC的默认路由指向交换机，地址为125.100.1.1ACiproute-static0.0.0.00.0.0.0125.100.1.13.4.2 Switch的配置#创建VLAN100和

《59-通过802.1X认证服务器动态下发授权ACL典型配置举例》由会员壹****1分享，可在线阅读，更多相关《59-通过802.1X认证服务器动态下发授权ACL典型配置举例》请在金锄头文库上搜索。