原標題：【WLAN從入門到精通之對接案例】配置802.1X認證示例_Web(銳捷SAM服務器)

802.1X認證簡介

802.1X認證是網絡接入控制方案(NAC)中的一種，它是基于端口對用戶的網絡訪問權限進行控制的認證方法，通過802.1X認證能夠實現保護企業內網安全性的目的。

802.1X認證安全性較高，但是需要客戶終端安裝802.1X客戶端，網絡部署不靈活。相較而言，NAC中的MAC認證方式不需要安裝客戶端，但是需要在認證服務器上登記MAC地址，管理復雜，而Portal認證方式同樣不需要客戶端并且部署靈活，但是安全性不高。所以，802.1X認證一般適用于新建網絡、用戶集中并且信息安全要求嚴格的場景。

AC和銳捷SAM對接時，802.1X認證支持PAP、CHAP和EAP三種認證方式，本舉例以EAP認證方式為例，PAP和CHAP認證方式的配置與之類似，但是PAP和CHAP認證方式下，終端需要安裝銳捷認證客戶端，通過輸入正確的用戶名和密碼后，才能正常訪問WLAN網絡。

對于設備側配置，如果您只需查閱802.1X認證相關的配置方法，請直接參見步驟5配置AC設備的讀寫團體名和步驟6配置WLAN業務。

如果您只需查閱銳捷SAM服務器側的配置方法，請直接參見步驟8配置銳捷SAM服務器。

舉例適用的產品和版本

表1-1 舉例適用的產品和版本

產品

版本

華為AC

V200R007C10及之后版本

銳捷SAM

ENTERPRISE_3.9(p1)

業務需求

用戶接入WLAN網絡，使用802.1X客戶端進行認證，輸入正確的用戶名和密碼后可以無線上網。且在覆蓋區域內移動發生漫游時，不影響用戶的業務使用。

組網需求

AC組網方式：旁掛二層組網。

DHCP部署方式：AC作為DHCP服務器為AP分配IP地址，SwitchB作為DHCP服務器為STA分配IP地址。

業務數據轉發方式：直接轉發。

WLAN認證方式：WPA-WPA2+802.1X+AES。

圖1-1 配置802.1X認證組網圖

數據規劃

表1-2 AC數據規劃

配置項

數據

管理VLAN

VLAN100

業務VLAN

VLAN101

AC的源接口

VLANIF100：10.23.100.1/24

DHCP服務器

AC作為DHCP服務器為AP分配IP地址，SwitchB作為DHCP服務器為STA分配IP地址

AP的IP地址池

10.23.100.2～10.23.100.254/24

STA的IP地址池

10.23.101.2～10.23.101.254/24

RADIUS認證參數

RADIUS服務器模板名稱：wlan-net

IP地址：10.23.103.1

認證端口號：1812

共享密鑰：huawei@123

認證方案：wlan-net

802.1X接入模板

名稱：wlan-net

認證方式：EAP

認證模板

名稱：wlan-net

引用模板和認證方案：802.1X接入模板wlan-net、RADIUS服務器模板wlan-net、認證方案wlan-net

讀寫團體名

名稱：Huawei123

AP組

名稱：ap-group1

引用模板：VAP模板wlan-net、域管理模板default

域管理模板

名稱：default

國家碼：中國

SSID模板

名稱：wlan-net

SSID名稱：wlan-net

安全模板

名稱：wlan-net

安全策略：WPA-WPA2+802.1X+AES

VAP模板

名稱：wlan-net

轉發模式：直接轉發

業務VLAN：VLAN101

引用模板：SSID模板wlan-net、安全模板wlan-net、認證模板wlan-net

表1-3 銳捷SAM數據規劃

配置項

數據

設備信息

設備IP地址：10.23.102.2

設備類型：無線交換機

具體型號：其他廠家設備

設備Key：huawei@123

讀寫Community：Huawei123

接入控制

名稱：dot1x

允許重復登錄次數：0

允許的接入方式：有線1X接入、無線1X接入、智能終端1X接入

用戶模板

名稱：dot1x

套餐

名稱：dot1x

重復登錄次數限制：不啟用

計費策略：不計費

規則：服務為dot1x，接入控制為dot1x

用戶組

名稱：dot1x

默認用戶模板：dot1x

默認套餐：dot1x

用戶

賬號：huawei

密碼：huawei123

用戶組：dot1x

用戶模板：dot1x

套餐：dot1x

配置思路

配置AP、AC和周邊網絡設備之間實現網絡互通。

使用快速配置，配置AC系統參數。

使用快速配置，配置AP在AC上線。

配置AC設備的讀寫團體名。

使用快速配置在AC上配置WLAN相關業務。在配置安全策略時，選擇802.1X和RADIUS認證，配置RADIUS服務器參數。

配置銳捷SAM服務器。

配置注意事項

建議在與AP直連的設備接口上配置端口隔離，如果不配置端口隔離，尤其是業務數據轉發方式采用直接轉發時，可能會在VLAN內形成大量不必要的廣播報文，導致網絡阻塞，影響用戶體驗。

AC側配置的RADIUS共享密鑰需要和服務器側保持一致。

操作步驟

步驟 1 配置周邊設備

# 配置接入交換機SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

system-view

[HUAWEI] sysname SwitchA

[SwitchA] vlan batch 100 101

[SwitchA] interface gigabitethernet0/0/1

[SwitchA-GigabitEthernet0/0/1] portlink-type trunk

[SwitchA-GigabitEthernet0/0/1] porttrunk pvid vlan 100

[SwitchA-GigabitEthernet0/0/1] porttrunk allow-pass vlan 100 101

[SwitchA-GigabitEthernet0/0/1] port-isolateenable

[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet0/0/2

[SwitchA-GigabitEthernet0/0/2] portlink-type trunk

[SwitchA-GigabitEthernet0/0/2] porttrunk allow-pass vlan 100 101

[SwitchA-GigabitEthernet0/0/2] quit

# 配置匯聚交換機SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，創建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳為Router的缺省路由。

system-view

[HUAWEI] sysname SwitchB

[SwitchB] vlan batch 100 to 104

[SwitchB] interface gigabitethernet0/0/1

[SwitchB-GigabitEthernet0/0/1] portlink-type trunk

[SwitchB-GigabitEthernet0/0/1] porttrunk allow-pass vlan 100 101

[SwitchB-GigabitEthernet0/0/1] quit

[SwitchB] interface gigabitethernet0/0/2

[SwitchB-GigabitEthernet0/0/2] portlink-type trunk

[SwitchB-GigabitEthernet0/0/2] porttrunk allow-pass vlan 100 102

[SwitchB-GigabitEthernet0/0/2] quit

[SwitchB] interface gigabitethernet0/0/3

[SwitchB-GigabitEthernet0/0/3] portlink-type trunk

[SwitchB-GigabitEthernet0/0/3] porttrunk pvid vlan 103

[SwitchB-GigabitEthernet0/0/3] porttrunk allow-pass vlan 103

[SwitchB-GigabitEthernet0/0/3] quit

[SwitchB] interface gigabitethernet0/0/4

[SwitchB-GigabitEthernet0/0/4] portlink-type trunk

[SwitchB-GigabitEthernet0/0/4] porttrunk pvid vlan 104

[SwitchB-GigabitEthernet0/0/4] porttrunk allow-pass vlan 104

[SwitchB-GigabitEthernet0/0/4] quit

[SwitchB] interface vlanif 102

[SwitchB-Vlanif102] ip address10.23.102.1 24

[SwitchB-Vlanif102] quit

[SwitchB] interface vlanif 103

[SwitchB-Vlanif103] ip address10.23.103.2 24

[SwitchB-Vlanif103] quit

[SwitchB] interface vlanif 104

[SwitchB-Vlanif104] ip address10.23.104.1 24

[SwitchB-Vlanif104] quit

[SwitchB] ip route-static 0.0.0.00.0.0.0 10.23.104.2

# 配置Router的接口GE0/0/1的IP地址，并配置指向STA網段的靜態路由。

system-view

[Huawei] sysname Router

[Router] interface gigabitethernet 0/0/1

[Router-GigabitEthernet0/0/1] ip address10.23.104.2 24

[Router-GigabitEthernet0/0/1] quit

[Router] ip route-static 10.23.101.0 2410.23.104.1

步驟 2 配置DHCP服務器為STA分配IP地址

# 在SwitchB上配置VLANIF101接口為STA提供IP地址。

[SwitchB] dhcp enable

[SwitchB] interface vlanif 101

[SwitchB-Vlanif101] ip address10.23.101.1 24

[SwitchB-Vlanif101] dhcp selectinterface

[SwitchB-Vlanif101] quit

步驟 3 配置AC系統參數

1. 配置AC基本參數。

# 單擊“配置 > 配置向導 > AC”，進入“AC基本配置”頁面。

# “所在國家/地區”按實際情況選擇，以“中國”為例。“系統時間”配置為“手動設置”。“日期和時間”配置為“使用PC當前時間”。

# 單擊頁面下方的“下一步”，進入“端口配置”頁面。

2. 配置端口。

# 選擇接口“GigabitEthernet0/0/1”，展開“批量修改”，選擇“接口類型”為“Trunk”，將“GigabitEthernet0/0/1”加入VLAN100(管理VLAN)和VLAN102。

說明

如果AC直接連接AP，需要在AC直連AP的接口上配置缺省VLAN為管理VLAN100。

# 單擊“確定”，完成以太網接口的配置。

# 單擊“下一步”，進入“網絡互聯配置”頁面。

3. 配置網絡互聯。

# 單擊“接口配置”下的“新建”，進入“新建接口配置”頁面。

# 配置接口VLANIF100的IP地址為10.23.100.1/24，“DHCP狀態”為“ON”，“DHCP類型”為“接口地址池”。

說明

DNS服務器地址請根據實際需要配置。

# 單擊“確定”，完成VLANIF100接口地址池的配置。

# 以同樣的方式配置虛擬接口VLANIF102的IP地址為10.23.102.2/24。

# 單擊“靜態路由表”下的“新建”，進入“新建靜態路由表”頁面。

# 配置“目的IP地址”為“10.23.103.0”，“子網掩碼”為“24(255.255.255.0)”，“下一跳”為“10.23.102.1”。

# 單擊“確定”，完成靜態路由表的配置。

# 單擊“下一步”。

# 單擊“下一步”，進入“AC源地址”頁面。

4. 配置AC源地址。

# “AC源地址”選擇“VLANIF”，單擊選擇按鈕，選擇“Vlanif100”。

# 單擊“下一步”，進入“配置確認”頁面。

5. 配置確認。

# 確認配置，單擊“完成并繼續AP上線配置”。

步驟 4 配置AP上線

1. 配置AP上線。

# 單擊“批量導入”，進入“批量導入”頁面。單擊

# 在AP模板文件中填寫AP信息，示例如下。如需添加多個AP，可以參照該示例在AP模板文件中填寫多條AP信息。

AP MAC地址：60de-4476-e360

AP SN：210235419610CB002287

AP名稱：area_1

AP組：ap-group1

說明

當選擇“AP認證方式”為“MAC認證”時，AP MAC地址為必填項，AP SN可不填。

當選擇“AP認證方式”為“SN認證”時，AP SN為必填項，AP MAC地址可不填。

建議使用網絡規劃工具WLAN Planner將規劃好的射頻ID、AP信道、頻寬、功率導出成.csv格式的表格，將表格中的這些信息填寫到AP文件模板中，經度和緯度請根據實際情況配置。

# 單擊“導入AP文件”后的，選擇填寫后的模板文件，單擊“導入”。

# 導入完成后，頁面顯示導入結果信息，單擊“確定”，完成添加。

# 單擊“下一步”，進入“AP分組”頁面。

# AP模板文件中已添加AP組信息，直接單擊“下一步”，進入“配置確認”頁面。

2. 配置確認。

# 確認配置，單擊“完成并繼續無線業務配置”。

步驟 5 配置AC設備的讀寫團體名

# 依次單擊“維護 > AC維護 > SNMP > 團體/組管理”，進入“團體/組管理”頁面。

# 在“團體”區域單擊“新建”，在彈出的“新建團體”頁面中配置“團體名”為“Huawei123”，“訪問模式”為“讀寫”，單擊“確定”。

步驟 6 配置WLAN業務

1. # 單擊“新建”，進入“基本信息”頁面。

2. # 配置SSID名稱、轉發模式、業務VLAN ID等信息。

3. # 單擊“下一步”，進入“安全認證”頁面。

4. # 配置“安全配置”為802.1x認證，并配置外置Radius服務器的相關參數。

5. # 單擊“下一步”，進入“接入控制”頁面。

6. # 選擇“綁定AP組”為“ap-group1”。

7. # 單擊“完成”。

步驟 7 配置AP的信道和功率

1. 關閉射頻的信道和功率自動調優功能。

說明

射頻的信道和功率自動調優功能默認開啟，如果不關閉此功能則會導致手動配置不生效。

# 選擇“配置 > AP配置 > AP組配置 > AP組”。

# 在AP組列表中單擊AP組名稱“ap-group1”，選擇“射頻管理 > 射頻0 > 2G射頻模板 > RRM模板”，進入“RRM模板”界面。

# 關閉信道自動調優和功率自動調優功能。

# 單擊“應用”，在彈出的提示對話框中單擊“確定”，完成配置。

2. 手動配置AP的信道和功率。

# 選擇“配置 > AP配置 > AP配置 > AP信息”，進入“AP列表”頁面。

# 單擊需要配置信道和功率的AP ID，進入“AP個性化配置”頁面。

# 單擊“射頻管理”前的，顯示當前射頻管理下的模板。

# 單擊“射頻0”，進入“射頻0配置(2.4G)”頁面。在“射頻0配置(2.4G)”頁面設置信道為帶寬20MHz信道6，發送功率為127dBm。“射頻1”頁面設置信道帶寬20MHz信道149與“射頻0”設置步驟類似，此處不再贅述。

# 單擊“應用”，在彈出的提示對話框中單擊“確定”，完成配置。

步驟 8 配置銳捷SAM服務器

1. 登錄銳捷SAM服務器。

# 在瀏覽器中輸入銳捷SAM服務器的訪問地址，地址格式為http://serverip:8080/sam/，其中serverip是銳捷SAM服務器的IP地址。

# 在登錄頁面中，輸入用戶名和密碼進行登錄。缺省情況下，用戶名為admin，密碼為111。

2. 添加AC設備，使銳捷SAM可以和AC聯動。

# 依次選擇“系統管理 > 設備管理”，單擊“添加”，進入“添加設備”頁面。

# 配置“設備IP地址”為AC的IP地址“10.23.102.2”，“設備類型”為“無線交換機”，“具體型號”為“其他廠家設備”，“設備Key”為“huawei@123”，“讀寫Community”為“Huawei123”，其余參數使用缺省配置即可。

說明

“設備Key”和“讀寫Community”需要分別和AC上配置的RADIUS共享密鑰和讀寫團體名一致。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

3. 添加接入控制。

# 依次選擇“接入控制管理 > 接入控制管理”，單擊“添加”，進入“添加接入控制”頁面。

# 在“接入控制基本信息”頁簽中配置“接入控制名”為“dot1x”，“允許重復登錄次數”為“0”，其余參數使用缺省配置即可。

說明

本例中配置“允許重復登錄次數”為“0”表示不限制用戶登錄次數，實際配置請根據需要調整。

# 在“用戶信息校驗”頁簽中選擇“允許的接入方式”為“有線1X接入”、“無線1X接入”和“智能終端1X接入”，其中，“有線1X接入”用于test-aaa測試，其余參數使用缺省配置即可。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

4. 配置用戶模板并添加套餐。

# 依次選擇“用戶管理 > 用戶模板管理”，單擊“添加用戶模板”，進入“添加用戶模板”頁面。

# 配置“模板名稱”為“dot1x”，其余參數使用缺省配置即可，單擊“保存”。

# 在創建的“dot1x”用戶模板頁面單擊，然后單擊“添加套餐”。

# 在“添加套餐”頁面配置“套餐”為“dot1x”，不啟用“重復登錄次數限制”，“計費策略”選擇“不計費”，其余參數使用缺省配置即可。

# 單擊“保存”，返回“dot1x”用戶模板頁面。

# 單擊“dot1x”用戶模板右側的，然后單擊“修改規則”。

# 在“修改規則”頁面修改“服務”為“dot1x”，“接入控制”為“dot1x”，其余參數使用缺省配置即可。

# 單擊“保存”，返回“dot1x”用戶模板頁面，檢查配置是否正確。

5. 配置用戶組。

# 依次選擇“用戶管理 > 用戶組管理”，進入“用戶組管理”頁面。

# 在“添加用戶組”區域配置“用戶組名”為“dot1x”，“默認用戶模板”為“dot1x”，“默認套餐”為“dot1x”，其余參數使用缺省配置即可。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

6. 開戶。

# 依次選擇“用戶管理 > 用戶管理”，單擊“開戶”，進入“開戶”頁面。

# 在“基本信息”區域配置“用戶名”為“huawei”，密碼為“huawei123”，“用戶組”為“dot1x”，“用戶模板”為“dot1x”，“套餐”為“dot1x”，其余參數使用缺省配置即可。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

步驟 9 在AC上測試用戶是否能夠通過RADIUS認證

# 單擊“診斷 > 診斷工具 > AAATest”，進入“AAA Test”頁面。

# 配置RADIUS服務器模板、認證方式、用戶名和密碼。

# 單擊“開始”。

步驟 10 檢查配置結果

完成配置后，用戶可通過無線終端搜索到SSID為wlan-net的無線網絡。

用戶關聯到無線網絡上后，無線PC能夠被分配相應的IP地址。

在STA上使用802.1X客戶端進行認證，輸入正確的用戶名和密碼后，STA認證成功，正常訪問WLAN網絡。需要根據設置的認證方式PEAP對客戶端進行相應的配置。

? Windows XP系統下的配置

i. 首先在無線網絡屬性中，添加SSID為wlan-net，并選擇認證方式為WPA2，加密使用的算法AES。

ii. 在“驗證”選項卡中，選擇EAP類型為PEAP，單擊“屬性”，去掉驗證服務器證書選項(此處不驗證服務器證書)，單擊“配置”，去掉自動使用Windows登錄名和密碼選項，然后單擊“確定”。

? Windows 7系統下的配置

i.進入管理無線網絡頁面，單擊“添加”，選擇手動創建網絡配置文件，添加SSID為wlan-net，并選擇認證方式為WPA2-企業，加密使用的算法AES，單擊“下一步”。

ii.單擊“更改連接設置”，進入“無線網絡屬性”界面，選擇“安全”頁簽，單擊“設置”，取消勾選“驗證服務器證書”(此處不驗證服務器證書)，單擊“配置”，取消勾選“自動使用Windows登錄名和密碼”，單擊“確定”。

iii.單擊“確定”，返回“無線網絡屬性”界面，單擊“高級設置”，在“高級設置”界面，勾選“指定身份驗證模式”，并選擇身份驗證模式為“用戶身份驗證”，單擊“確定”。

iv.認證通過后，在AC上選擇“監控 > 用戶”，可以看到員工的在線信息。

----結束

聯系我們

責任編輯：

總結

以上是生活随笔為你收集整理的锐捷服务器无线认证配置,【WLAN从入门到精通之对接案例】配置802.1X认证示例_Web（锐捷SAM服务器）...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。