收藏
下载资源

59-通过802.1X认证服务器动态下发授权ACL典型配置举例

上传人:壹****1 文档编号:457749532 上传时间:2023-08-05 格式:DOCX 页数:27 大小:483.75KB
返回 下载 相关 举报
59-通过802.1X认证服务器动态下发授权ACL典型配置举例_第1页
第1页 / 共27页
59-通过802.1X认证服务器动态下发授权ACL典型配置举例_第2页
第2页 / 共27页
59-通过802.1X认证服务器动态下发授权ACL典型配置举例_第3页
第3页 / 共27页
59-通过802.1X认证服务器动态下发授权ACL典型配置举例_第4页
第4页 / 共27页
59-通过802.1X认证服务器动态下发授权ACL典型配置举例_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《59-通过802.1X认证服务器动态下发授权ACL典型配置举例》由会员分享,可在线阅读,更多相关《59-通过802.1X认证服务器动态下发授权ACL典型配置举例(27页珍藏版)》请在金锄头文库上搜索。

1、H3C通过802.1X认证服务器动态下发授权ACL典型配置举例Copyright2014杭州华三通信技术有限公司版权所有,保留一切权利。非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。目录1简介12配置前提13 802.1X认证通过WindowsServer2003IAS服务器下发ACL配置举例13.1组网需求13.2配置思路13.3配置注意事项23.4配置步骤23.4.1 AC的配置23.4.2 Switch的配置53.4.3 WindowsServer2003IAS服务器的配置63.5验证配置113.6配

2、置文件124 802.1X认证通过iMC服务器下发ACL配置举例144.1组网需求144.2配置思路144.3配置注意事项154.4配置步骤154.4.1 AC的配置154.4.2 Switch的配置184.4.3 iMC服务器的配置194.5验证配置224.6配置文件235相关资料25#1简介本文档介绍无线控制器通过802.1X认证服务器动态下发授权ACL的典型配置举例。2配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您

3、已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解AAA、WLAN、802.1X特性。3802.1X认证通过WindowsServer2003IAS服务器下发ACL配置举例3.1组网需求如图1所示,WindowsServer2003IAS服务器作为RADIUS服务器,对Client进行认证并下发授权ACL。具体应用需求如下:Client需要通过802.1X认证才能上线; Client通过认证后允许访问网络8.125.0.0/16,不允许访问其他网络资源。 防止用户通过恶意假冒其它域账号从本端口接入网络。图1授权ACL下发典型配置组网图APClie

4、nt3.2配置思路为了实现WindowsServer2003IAS服务器下发授权ACL,需要在用户使用的“远程访问策略”中添加Filter-ID属性。由于部分802.1X客户端不支持与设备进行握手报文的交互,因此需要关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。 对于无线局域网来说,802.1X认证可以由客户端主动发起,或由无线模块发现用户后自动触发,不需要通过端口定期发送802.1X组播报文的方式来触发。同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭802.1X组播触发功能。 为了防止用户通过恶意假冒其它域账号从本端口接入网络,配

5、置端口的强制认证域。3.3配置注意事项 WindowsServer2003IAS服务器授权下发的ACL必须是AC设备上已经配置的ACL,且ACL的内容不能为空,否则802.1X无法认证成功。 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。 由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用,因此在无特殊组网要求的情况下,无线环境中通常使用端口安全特性。3.4配置步骤3.4.1 AC的配置(1) 配置AC的接口#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道且A

6、C通过VLAN100与RADIUS服务器通信。system-viewACvlan100AC-vlan100quitACinterfacevlan-interface100AC-Vlan-interface100ipaddress125.100.1.416AC-Vlan-interface100quit#仓U建VLAN200作为ESS接口的缺省VLAN。ACvlan200AC-vlan200quit#创建VLAN300作为Client接入的业务VLAN。ACvlan300AC-vlan300quit# 配置AC与Switch相连的GigabitEthernet0/1接口的属性为trunk,允许V

7、LAN100、VLAN200和VLAN300通过。ACinterfaceGigabitEthernet1/0/1AC-GigabitEthernet1/0/1portlink-typetrunkAC-GigabitEthernet1/0/1porttrunkpermitvlan100200300AC-GigabitEthernet1/0/1quit(2) 配置ACL# 创建ACL3000。ACaclnumber3000#定义规则0,允许目的地址为8.125.0.0/16的报文通过。AC-acl-adv-3000rule0permitipdestination8.125.0.00.0.255.2

8、55#定义规则1,禁止任何IP报文通过。AC-acl-adv-3000rule1denyipAC-acl-adv-3000quit(3) 配置802.1X认证#全局模式下使能端口安全。ACport-securityenable#选择802.1X认证方式为EAP。ACdot1xauthentication-methodeap(4) 配置认证策略#创建RADIUS方案office并进入其视图。ACradiusschemeoffice#配置RADIUS方案服务类型为扩展型。AC-radius-officeserver-typeextended#设置主认证RADIUS服务器的IP地址8.125.1.1

9、。AC-radius-officeprimaryauthentication8.125.1.1#设置主计费RADIUS服务器的IP地址8.125.1.1。AC-radius-officeprimaryaccounting8.125.1.1#设置系统与认证RADIUS服务器交互报文时的共享密钥为123456。AC-radius-officekeyauthentication123456#设置系统与计费RADIUS服务器交互报文时的共享密钥为123456。AC-radius-officekeyaccounting123456#配置发送给RADIUS服务器的用户名不携带域名。AC-radius-of

10、ficeuser-name-formatwithout-domain#设置设备发送RADIUS报文时使用的源IP地址125.100.1.4。AC-radius-radiusnas-ip125.100.1.4AC-radius-radiusquit(5) 配置认证域#创建office域并进入其视图。ACdomainoffice#为Ian-access用户配置认证方案为RADIUS方案,方案名为office。AC-isp-officeauthenticationlan-accessradius-schemeoffice#为lan-access用户配置授权方案为RADIUS方案,方案名为office

11、。AC-isp-officeauthorizationlan-accessradius-schemeoffice#为Ian-access用户配置计费为none,不计费。AC-isp-officeaccountinglan-accessnoneAC-isp-officequit(6) 配置无线接口#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。ACinterfacewlan-ess1AC-WLAN-ESS1portlink-typehybrid#配置WLAN-ESS1端口的PVID为200,禁止VLAN1通过并允许VLAN200不带tag通过。AC-WLAN-ESS1und

12、oporthybridvlan1AC-WLAN-ESS1porthybridvlan200untaggedAC-WLAN-ESS1porthybridpvidvlan200#使能MAC-VLAN功能。AC-WLAN-ESS1mac-vlanenable#在WLAN-ESS1口上配置端口安全,选用802.1X认证方式。AC-WLAN-ESS1port-securityport-modeuserlogin-secure-extAC-WLAN-ESS1port-securitytx-key-type11key#关闭802.1x握手功能AC-WLAN-ESS1undodot1xhandshake#关闭

13、802.1x多播触发功能AC-WLAN-ESS1undodot1xmulticast-trigger#在WLAN-ESS1端口上指定802.1X认证的强制认证域为office。AC-WLAN-ESS1dot1xmandatory-domainofficeAC-WLAN-ESS1quit(7)配置无线服务#创建crypto类型的服务模板1。ACwlanservice-template1crypto#设置当前服务模板的SSID为service。AC-wlan-st-1ssidservice#将WLAN-ESS1接口绑定到服务模板1。AC-wlan-st-1bindwlan-ess1#配置加密套件为

14、CCMP。AC-wlan-st-1cipher-suiteccmp#配置安全信息元素为RSN。AC-wlan-st-1security-iersn#启用无线服务。AC-wlan-st-1service-templateenableAC-wlan-st-1quit(8)配置射频接口并绑定服务模板#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN,并配置AP的序列号。ACwlanapofficeapmodelWA2620E-AGNAC-wlan-ap-officeapserial-id21023529G007C000020#进入radio2射频视图。AC-wlan-a

15、p-officeapradio2#将在AC上配置的服务模板1与射频2进行关联,Client通过服务模板1接入VLAN300。AC-wlan-ap-officeap-radio-2service-template1vlan-id300#使能AP的radio2。AC-wlan-ap-officeap-radio-2radioenableAC-wlan-ap-officeap-radio-2quitAC-wlan-ap-officeapquit(9)配置AC的默认路由# 将AC的默认路由指向交换机,地址为125.100.1.1ACiproute-static0.0.0.00.0.0.0125.100.1.13.4.2 Switch的配置#创建VLAN100和

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 商业计划书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号