华为配置WLAN 802.1X认证实验

配置WLAN 802.1X认证示例

组网图形

图1 配置802.1X认证组网图

  • 业务需求
  • 组网需求
  • 数据规划
  • 配置思路
  • 配置注意事项
  • 操作步骤
业务需求

用户接入WLAN网络,使用802.1X客户端进行认证,输入正确的用户名和密码后可以无线上网。且在覆盖区域内移动发生漫游时,不影响用户的业务使用。

组网需求
  • AC组网方式:旁挂二层组网。
  • DHCP部署方式:AC作为DHCP服务器为AP分配IP地址,SwitchB作为DHCP服务器为STA分配IP地址。
  • 业务数据转发方式:直接转发。
  • WLAN认证方式:WPA-WPA2+802.1X+AES。
数据规划
配置项 数据
管理VLAN VLAN100
业务VLAN VLAN101
AC的源接口 VLANIF100:10.23.100.1/24
DHCP服务器 AC作为DHCP服务器为AP分配IP地址,SwitchB作为DHCP服务器为STA分配IP地址
AP的IP地址池 10.23.100.2~10.23.100.254/24
STA的IP地址池 10.23.101.2~10.23.101.254/24
RADIUS认证参数 * RADIUS服务器模板名称:wlan-net * IP地址:10.23.103.1 * 认证端口号:1812 * 共享密钥:huawei@123 * 认证方案:wlan-net
802.1X接入模板 * 名称:wlan-net * 认证方式:EAP
认证模板 * 名称:wlan-net * 引用模板和认证方案:802.1X接入模板wlan-net、RADIUS服务器模板wlan-net、认证方案wlan-net
AP组 * 名称:ap-group1 * 引用模板:VAP模板wlan-net、域管理模板default
域管理模板 * 名称:default * 国家码:中国
SSID模板 * 名称:wlan-net * SSID名称:wlan-net
安全模板 * 名称:wlan-net * 安全策略:WPA-WPA2+802.1X+AES
VAP模板 * 名称:wlan-net * 转发模式:直接转发 * 业务VLAN:VLAN101 * 引用模板:SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net
[表1AC数据规划表]
配置思路
  1. 配置AP、AC和周边网络设备之间实现网络互通。
  2. 使用配置向导,配置AC系统参数。
  3. 使用配置向导,配置AP在AC上线。
  4. 使用配置向导在AC上配置WLAN相关业务。在配置安全策略时,选择802.1X和RADIUS认证,设置RADIUS服务器参数。
  5. 配置第三方服务器。

AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。

配置注意事项
  • 纯组播报文由于协议要求在无线空口没有ACK机制保障,且无线空口链路不稳定,为了纯组播报文能够稳定发送,通常会以低速报文形式发送。如果网络侧有大量异常组播流量涌入,则会造成无线空口拥堵。为了减小大量低速组播报文对无线网络造成的冲击,建议配置组播报文抑制功能。配置前请确认是否有组播业务,如果有,请谨慎配置限速值。

    • 业务数据转发方式采用直接转发时,建议在直连AP的交换机接口上配置组播报文抑制。
    • 业务数据转发方式采用隧道转发时,建议在AC的流量模板下配置组播报文抑制。
  • 建议在与AP直连的设备接口上配置端口隔离,如果不配置端口隔离,尤其是业务数据转发方式采用直接转发时,可能会在VLAN内形成大量不必要的广播报文,导致网络阻塞,影响用户体验。

  • 隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN,且AP和AC之间只能放通管理VLAN,不能放通业务VLAN。

  • V200R021C00版本开始,配置CAPWAP源接口或源地址时,会检查和安全相关的配置是否已存在,包括DTLS加密的PSK、AC间DTLS加密的PSK、登录AP的用户名和密码、全局离线管理VAP的登录密码,均已存在才能成功配置,否则会提示用户先完成相关的配置。

  • V200R021C00版本开始,AC默认开启CAPWAP控制隧道的DTLS加密功能。开启该功能,添加AP时AP会上线失败,此时需要先开启CAPWAP DTLS不认证方式(capwap dtls no-auth enable )让AP上线,以便AP获取安全凭证,AP上线后应及时关闭该功能(undo capwap dtls no-auth enable),避免未授权AP上线。

操作步骤
  1. 配置周边设备

    配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

    javascript 复制代码
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 100 101
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [SwitchA-GigabitEthernet0/0/1] port-isolate enable
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
    [SwitchA-GigabitEthernet0/0/2] quit

    配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101,GE0/0/2加入VLAN100和VLAN102,GE0/0/3加入VLAN103,GE0/0/4加入VLAN104,创建VLANIF102、VLANIF103和VLANIF104接口,并配置下一跳为Router的缺省路由。

    javascript 复制代码
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] vlan batch 100 to 104
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitethernet 0/0/2
    [SwitchB-GigabitEthernet0/0/2] port link-type trunk
    [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
    [SwitchB-GigabitEthernet0/0/2] quit
    [SwitchB] interface gigabitethernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type trunk
    [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
    [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
    [SwitchB-GigabitEthernet0/0/3] quit
    [SwitchB] interface gigabitethernet 0/0/4
    [SwitchB-GigabitEthernet0/0/4] port link-type trunk
    [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
    [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
    [SwitchB-GigabitEthernet0/0/4] quit
    [SwitchB] interface vlanif 102
    [SwitchB-Vlanif102] ip address 10.23.102.1 24
    [SwitchB-Vlanif102] quit
    [SwitchB] interface vlanif 103
    [SwitchB-Vlanif103] ip address 10.23.103.2 24
    [SwitchB-Vlanif103] quit
    [SwitchB] interface vlanif 104
    [SwitchB-Vlanif104] ip address 10.23.104.1 24
    [SwitchB-Vlanif104] quit
    [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2

    配置Router的接口GE0/0/1的IP地址,并配置指向STA网段的静态路由。

    javascript 复制代码
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] interface gigabitethernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] ip route-static 10.23.101.0 24 10.23.104.1
  2. 配置DHCP服务器为STA分配IP地址

    在SwitchB上配置VLANIF101接口为STA提供IP地址。DNS服务器地址请根据实际需要配置。常用配置方法如下:

    • 接口地址池场景,需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
    • 全局地址池场景,需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
    javascript 复制代码
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 101
    [SwitchB-Vlanif101] ip address 10.23.101.1 24
    [SwitchB-Vlanif101] dhcp select interface
    [SwitchB-Vlanif101] quit
  3. 配置AC系统参数

    1. 配置AC基本参数。

      单击"配置 > 配置向导 > AC",进入"AC基本配置"页面。

      "所在国家/地区"按实际情况选择,以"中国"为例。"系统时间"配置为"手动设置"。"日期和时间"配置为"使用PC当前时间"。

      单击页面下方的"下一步",进入"端口配置"页面。

    2. 配置端口。

      选择接口"GigabitEthernet0/0/1",展开"批量修改",选择"接口类型"为"Trunk",将"GigabitEthernet0/0/1"加入VLAN100(管理VLAN)和VLAN102。

      如果AC直接连接AP,需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。

      单击"应用",在弹出的提示对话框中单击"确定",完成配置。

      单击"下一步",进入"网络互联配置"页面。

    3. 配置网络互联。

      配置"DHCP状态"为"ON"。

      单击"接口配置"下的"新建",进入"新建接口配置"页面。

      配置接口VLANIF100的IP地址为10.23.100.1/24。

      单击"DHCPv4地址池列表"下的"新建",采用"接口地址池",选择接口VLANIF100。

      DNS服务器地址请根据实际需要配置。

      单击"确定",完成VLANIF100接口地址池的配置。

      以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。

      单击"静态路由表"下的"新建",进入"新建静态路由表"页面。

      配置"目的IP地址"为"10.23.103.0","子网掩码"为"24(255.255.255.0)","下一跳"为"10.23.102.1"。

      单击"确定",完成静态路由表的配置。

      单击"下一步"。

      单击"下一步",进入"AC源地址"页面。

    4. 配置AC源地址。

      "AC源地址"选择"VLANIF",单击选择按钮,选择"Vlanif100"。

      单击"下一步",进入"配置确认"页面。

    5. 配置确认。

      确认配置,单击"完成并继续AP上线配置"。

  4. 配置AP上线

    1. 配置AP上线。

      单击"批量导入",进入"批量导入"页面。单击

      ,下载批量添加AP模板文件到本地。

      在AP模板文件中填写AP信息,示例如下。如需添加多个AP,可以参照该示例在AP模板文件中填写多条AP信息。

      • AP MAC地址:60de-4476-e360
      • AP SN:210235419610CB002287
      • AP名称:area_1
      • AP组:ap-group1
      • 当选择"AP认证方式"为"MAC认证"时,AP MAC地址为必填项,AP SN可不填。
      • 当选择"AP认证方式"为"SN认证"时,AP SN为必填项,AP MAC地址可不填。

      建议使用网络规划工具WLAN Planner将规划好的射频ID、AP信道、频宽、功率导出成.csv格式的表格,将表格中的这些信息填写到AP文件模板中,经度和纬度请根据实际情况配置。

      单击"导入AP文件"后的

      ,选择填写后的模板文件,单击"导入"。

      导入完成后,页面显示导入结果信息,单击"确定",完成添加。

      单击"下一步",进入"AP分组"页面。

      AP模板文件中已添加AP组信息,直接单击"下一步",进入"配置确认"页面。

    2. 配置确认。

      确认配置,单击"完成并继续无线业务配置"。

  5. 配置WLAN业务

    1. 单击"新建",进入"基本信息"页面。

    2. 配置SSID名称、转发模式、业务VLAN ID等信息。

    3. 单击"下一步",进入"安全认证"页面。

    4. 配置"安全配置"为802.1x认证,并配置外置Radius服务器的相关参数。

    5. 单击"下一步",进入"接入控制"页面。

    6. 选择"绑定AP组"为"ap-group1"。

    7. 单击"完成"。

  6. 配置AP的信道和功率

    1. 关闭AP射频的信道和功率自动调优功能,并手动配置AP的信道和功率。

      射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。

      选择"配置 > AP配置 > AP配置 > AP信息",进入"AP列表"页面。

      单击需要配置信道和功率的AP ID,进入"AP个性化配置"页面。

      单击"射频管理"前的

      ,显示当前射频管理下的模板。

      单击"射频0",进入射频0配置页面。在射频0配置页面关闭信道自动调优和功率自动调优功能,并设置信道为带宽20MHz信道6,发送功率为127dBm。

      "射频1"上关闭信道自动调优和功率自动调优功能,并设置信道带宽20MHz信道149,发送功率127dBm的步骤与"射频0"类似,此处不再赘述。

      单击"应用",在弹出的提示对话框中单击"确定",完成配置。

  7. 配置第三方服务器

    具体配置方法建议参考相应的产品手册。

  8. 检查配置结果

    • 完成配置后,用户可通过无线终端搜索到SSID为wlan-net的无线网络。
    • 用户关联到无线网络上后,无线PC能够被分配相应的IP地址。
    • 在STA上使用802.1X客户端进行认证,输入正确的用户名和密码后,STA认证成功,正常访问WLAN网络。需要根据设置的认证方式PEAP 对客户端进行相应的配置。
      • Windows XP系统下的配置

        1. 首先在无线网络属性中,添加SSID为wlan-net ,并选择认证方式为WPA2 ,加密使用的算法AES
        2. 在"验证"选项卡中,选择EAP类型为PEAP,单击"属性",去掉验证服务器证书选项(此处不验证服务器证书),单击"配置",去掉自动使用Windows登录名和密码选项,然后单击"确定"。
      • Windows 7系统下的配置

        1. 进入管理无线网络页面,单击"添加",选择手动创建网络配置文件,添加SSID为wlan-net ,并选择认证方式为WPA2-企业 ,加密使用的算法AES,单击"下一步"。
        2. 单击"更改连接设置",进入"无线网络属性"界面,选择"安全"页签,单击"设置",取消勾选"验证服务器证书"(此处不验证服务器证书),单击"配置",取消勾选"自动使用Windows登录名和密码",单击"确定"。
        3. 单击"确定",返回"无线网络属性"界面,单击"高级设置",在"高级设置"界面,勾选"指定身份验证模式",并选择身份验证模式为"用户身份验证",单击"确定"。
相关推荐
sdaxue.com3 小时前
帝国CMS:如何去掉帝国CMS登录界面的认证码登录
数据库·github·网站·帝国cms·认证码
m0_748247553 小时前
github webhooks 实现网站自动更新
github
张国荣家的弟弟5 小时前
【Yonghong 企业日常问题04】永洪BI可视化工具Linux部署全攻略(部署详解版)
linux·运维·github
油泼辣子多加6 小时前
2024年12月23日Github流行趋势
github
lsalp8 小时前
OpenAI于2024年12月21日在GitHub上正式发布了实时嵌入式SDK。支持ESP32-S3
物联网·github·esp32-s3
诸神缄默不语10 小时前
如何在服务器上克隆、pull、push GitHub私有项目
运维·github
dami_king11 小时前
项目开源能够带来什么?从中得到了什么?
开源·gitlab·github
沉默王二13 小时前
虾皮开的很高,还有签字费。
后端·面试·github
苏三有春13 小时前
五分钟学会如何在GitHub上自动化部署个人博客(hugo框架 + stack主题)
git·go·github
油泼辣子多加1 天前
2024年12月18日Github流行趋势
github