收藏
下载资源

59_通过8021X认证服务器动态下发授权ACL典型配置举例

上传人:xmg****18 文档编号:120142344 上传时间:2020-02-04 格式:DOC 页数:38 大小:486.74KB
返回 下载 相关 举报
59_通过8021X认证服务器动态下发授权ACL典型配置举例_第1页
第1页 / 共38页
59_通过8021X认证服务器动态下发授权ACL典型配置举例_第2页
第2页 / 共38页
59_通过8021X认证服务器动态下发授权ACL典型配置举例_第3页
第3页 / 共38页
59_通过8021X认证服务器动态下发授权ACL典型配置举例_第4页
第4页 / 共38页
59_通过8021X认证服务器动态下发授权ACL典型配置举例_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《59_通过8021X认证服务器动态下发授权ACL典型配置举例》由会员分享,可在线阅读,更多相关《59_通过8021X认证服务器动态下发授权ACL典型配置举例(38页珍藏版)》请在金锄头文库上搜索。

1、.word可编辑.通过802.1X认证服务器动态下发授权ACL典型配置举例Copyright 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。. 专业.专注 .目 录1 简介12 配置前提13 802.1X认证通过Windows Server 2003 IAS服务器下发ACL配置举例13.1 组网需求13.2 配置思路13.3 配置注意事项23.4 配置步骤23.4.1 AC的配置23.4.2 Switch 的配置53.4.3 Windows Se

2、rver 2003 IAS服务器的配置63.5 验证配置113.6 配置文件124 802.1X认证通过iMC服务器下发ACL配置举例144.1 组网需求144.2 配置思路144.3 配置注意事项154.4 配置步骤154.4.1 AC的配置154.4.2 Switch 的配置184.4.3 iMC服务器的配置194.5 验证配置224.6 配置文件235 相关资料25. 专业.专注 .1 简介本文档介绍无线控制器通过802.1X认证服务器动态下发授权ACL的典型配置举例。2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况

3、为准。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解AAA、WLAN、802.1X特性。3 802.1X认证通过Windows Server 2003 IAS服务器下发ACL配置举例3.1 组网需求如图1所示,Windows Server 2003 IAS服务器作为RADIUS服务器,对Client进行认证并下发授权ACL。具体应用需求如下: Client需要通过802.1X认证才能上线; Client通过认证后允许访问网络8.125.0.0/

4、16,不允许访问其他网络资源。 防止用户通过恶意假冒其它域账号从本端口接入网络。图1 授权ACL下发典型配置组网图3.2 配置思路 为了实现Windows Server 2003 IAS服务器下发授权ACL,需要在用户使用的“远程访问策略”中添加Filter-ID属性。 由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。 对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无线的通信

5、带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。 为了防止用户通过恶意假冒其它域账号从本端口接入网络,配置端口的强制认证域。3.3 配置注意事项 Windows Server 2003 IAS服务器授权下发的ACL必须是AC设备上已经配置的ACL,且ACL的内容不能为空,否则802.1X无法认证成功。 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。 由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。3.4 配置步骤3.4.1 AC的配置(1) 配置

6、AC的接口# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道且AC通过VLAN 100与RADIUS服务器通信。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 125.100.1.4 16AC-Vlan-interface100 quit# 创建VLAN 200作为ESS接口的缺省VLAN。AC vlan 200AC-vlan200 quit# 创建VLAN 300作为C

7、lient接入的业务VLAN。AC vlan 300AC-vlan300 quit# 配置AC与Switch相连的GigabitEthernet1/0/1接口的属性为trunk,允许VLAN 100、VLAN 200和VLAN 300通过。AC interface GigabitEthernet1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 port trunk permit vlan 100 200 300AC-GigabitEthernet1/0/1 quit(2) 配置ACL# 创建ACL

8、3000。AC acl number 3000# 定义规则0,允许目的地址为8.125.0.0/16的报文通过。AC-acl-adv-3000 rule 0 permit ip destination 8.125.0.0 0.0.255.255# 定义规则1,禁止任何IP报文通过。AC-acl-adv-3000 rule 1 deny ipAC-acl-adv-3000 quit(3) 配置802.1X认证# 全局模式下使能端口安全。AC port-security enable# 选择802.1X认证方式为EAP。AC dot1x authentication-method eap(4) 配

9、置认证策略# 创建RADIUS方案office并进入其视图。AC radius scheme office# 配置RADIUS方案服务类型为扩展型。AC-radius-office server-type extended# 设置主认证RADIUS服务器的IP地址8.125.1.1。AC-radius-office primary authentication 8.125.1.1# 设置主计费RADIUS服务器的IP地址8.125.1.1。AC-radius-office primary accounting 8.125.1.1# 设置系统与认证RADIUS服务器交互报文时的共享密钥为1234

10、56。AC-radius-office key authentication 123456# 设置系统与计费RADIUS服务器交互报文时的共享密钥为123456。AC-radius-office key accounting 123456# 配置发送给RADIUS服务器的用户名不携带域名。AC-radius-office user-name-format without-domain# 设置设备发送RADIUS报文时使用的源IP地址125.100.1.4。AC-radius-radius nas-ip 125.100.1.4AC-radius-radius quit(5) 配置认证域# 创建o

11、ffice域并进入其视图。AC domain office# 为lan-access用户配置认证方案为RADIUS方案,方案名为office。AC-isp-office authentication lan-access radius-scheme office# 为lan-access用户配置授权方案为RADIUS方案,方案名为office。AC-isp-office authorization lan-access radius-scheme office# 为lan-access用户配置计费为none,不计费。AC-isp-office accounting lan-access non

12、eAC-isp-office quit(6) 配置无线接口# 创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。AC interface wlan-ess 1AC-WLAN-ESS1 port link-type hybrid# 配置WLAN-ESS1端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。AC-WLAN-ESS1 undo port hybrid vlan 1AC-WLAN-ESS1 port hybrid vlan 200 untaggedAC-WLAN-ESS1 port hybrid pvid vlan 200# 使能MAC-

13、VLAN功能。AC-WLAN-ESS1 mac-vlan enable# 在WLAN-ESS1口上配置端口安全,选用802.1X认证方式。AC-WLAN-ESS1 port-security port-mode userlogin-secure-extAC-WLAN-ESS1 port-security tx-key-type 11key# 关闭802.1x握手功能AC-WLAN-ESS1 undo dot1x handshake# 关闭802.1x多播触发功能AC-WLAN-ESS1 undo dot1x multicast-trigger# 在WLAN-ESS1端口上指定802.1X认证的

14、强制认证域为office。AC-WLAN-ESS1 dot1x mandatory-domain officeAC-WLAN-ESS1 quit(7) 配置无线服务# 创建crypto类型的服务模板1。AC wlan service-template 1 crypto# 设置当前服务模板的SSID为service。AC-wlan-st-1 ssid service# 将WLAN-ESS1接口绑定到服务模板1。AC-wlan-st-1 bind wlan-ess 1# 配置加密套件为CCMP。AC-wlan-st-1 cipher-suite ccmp# 配置安全信息元素为RSN。AC-wlan-st-1 security-ie rsn# 启用无线服务。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit(8) 配置射频接口并绑定服务模板# 创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN,并配置AP的序列号。AC wlan ap officeap model WA2620E-AGN

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号