原標題：【W(wǎng)LAN從入門到精通之對接案例】配置802.1X認證示例_Web(銳捷SAM服務(wù)器)

802.1X認證簡介

802.1X認證是網(wǎng)絡(luò)接入控制方案(NAC)中的一種，它是基于端口對用戶的網(wǎng)絡(luò)訪問權(quán)限進行控制的認證方法，通過802.1X認證能夠?qū)崿F(xiàn)保護企業(yè)內(nèi)網(wǎng)安全性的目的。

802.1X認證安全性較高，但是需要客戶終端安裝802.1X客戶端，網(wǎng)絡(luò)部署不靈活。相較而言，NAC中的MAC認證方式不需要安裝客戶端，但是需要在認證服務(wù)器上登記MAC地址，管理復(fù)雜，而Portal認證方式同樣不需要客戶端并且部署靈活，但是安全性不高。所以，802.1X認證一般適用于新建網(wǎng)絡(luò)、用戶集中并且信息安全要求嚴格的場景。

AC和銳捷SAM對接時，802.1X認證支持PAP、CHAP和EAP三種認證方式，本舉例以EAP認證方式為例，PAP和CHAP認證方式的配置與之類似，但是PAP和CHAP認證方式下，終端需要安裝銳捷認證客戶端，通過輸入正確的用戶名和密碼后，才能正常訪問WLAN網(wǎng)絡(luò)。

對于設(shè)備側(cè)配置，如果您只需查閱802.1X認證相關(guān)的配置方法，請直接參見步驟5配置AC設(shè)備的讀寫團體名和步驟6配置WLAN業(yè)務(wù)。

如果您只需查閱銳捷SAM服務(wù)器側(cè)的配置方法，請直接參見步驟8配置銳捷SAM服務(wù)器。

舉例適用的產(chǎn)品和版本

表1-1 舉例適用的產(chǎn)品和版本

產(chǎn)品

版本

華為AC

V200R007C10及之后版本

銳捷SAM

ENTERPRISE_3.9(p1)

業(yè)務(wù)需求

用戶接入WLAN網(wǎng)絡(luò)，使用802.1X客戶端進行認證，輸入正確的用戶名和密碼后可以無線上網(wǎng)。且在覆蓋區(qū)域內(nèi)移動發(fā)生漫游時，不影響用戶的業(yè)務(wù)使用。

組網(wǎng)需求

AC組網(wǎng)方式：旁掛二層組網(wǎng)。

DHCP部署方式：AC作為DHCP服務(wù)器為AP分配IP地址，SwitchB作為DHCP服務(wù)器為STA分配IP地址。

業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式：直接轉(zhuǎn)發(fā)。

WLAN認證方式：WPA-WPA2+802.1X+AES。

圖1-1 配置802.1X認證組網(wǎng)圖

數(shù)據(jù)規(guī)劃

表1-2 AC數(shù)據(jù)規(guī)劃

配置項

數(shù)據(jù)

管理VLAN

VLAN100

業(yè)務(wù)VLAN

VLAN101

AC的源接口

VLANIF100：10.23.100.1/24

DHCP服務(wù)器

AC作為DHCP服務(wù)器為AP分配IP地址，SwitchB作為DHCP服務(wù)器為STA分配IP地址

AP的IP地址池

10.23.100.2～10.23.100.254/24

STA的IP地址池

10.23.101.2～10.23.101.254/24

RADIUS認證參數(shù)

RADIUS服務(wù)器模板名稱：wlan-net

IP地址：10.23.103.1

認證端口號：1812

共享密鑰：huawei@123

認證方案：wlan-net

802.1X接入模板

名稱：wlan-net

認證方式：EAP

認證模板

名稱：wlan-net

引用模板和認證方案：802.1X接入模板wlan-net、RADIUS服務(wù)器模板wlan-net、認證方案wlan-net

讀寫團體名

名稱：Huawei123

AP組

名稱：ap-group1

引用模板：VAP模板wlan-net、域管理模板default

域管理模板

名稱：default

國家碼：中國

SSID模板

名稱：wlan-net

SSID名稱：wlan-net

安全模板

名稱：wlan-net

安全策略：WPA-WPA2+802.1X+AES

VAP模板

名稱：wlan-net

轉(zhuǎn)發(fā)模式：直接轉(zhuǎn)發(fā)

業(yè)務(wù)VLAN：VLAN101

引用模板：SSID模板wlan-net、安全模板wlan-net、認證模板wlan-net

表1-3 銳捷SAM數(shù)據(jù)規(guī)劃

配置項

數(shù)據(jù)

設(shè)備信息

設(shè)備IP地址：10.23.102.2

設(shè)備類型：無線交換機

具體型號：其他廠家設(shè)備

設(shè)備Key：huawei@123

讀寫Community：Huawei123

接入控制

名稱：dot1x

允許重復(fù)登錄次數(shù)：0

允許的接入方式：有線1X接入、無線1X接入、智能終端1X接入

用戶模板

名稱：dot1x

套餐

名稱：dot1x

重復(fù)登錄次數(shù)限制：不啟用

計費策略：不計費

規(guī)則：服務(wù)為dot1x，接入控制為dot1x

用戶組

名稱：dot1x

默認用戶模板：dot1x

默認套餐：dot1x

用戶

賬號：huawei

密碼：huawei123

用戶組：dot1x

用戶模板：dot1x

套餐：dot1x

配置思路

配置AP、AC和周邊網(wǎng)絡(luò)設(shè)備之間實現(xiàn)網(wǎng)絡(luò)互通。

使用快速配置，配置AC系統(tǒng)參數(shù)。

使用快速配置，配置AP在AC上線。

配置AC設(shè)備的讀寫團體名。

使用快速配置在AC上配置WLAN相關(guān)業(yè)務(wù)。在配置安全策略時，選擇802.1X和RADIUS認證，配置RADIUS服務(wù)器參數(shù)。

配置銳捷SAM服務(wù)器。

配置注意事項

建議在與AP直連的設(shè)備接口上配置端口隔離，如果不配置端口隔離，尤其是業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)方式采用直接轉(zhuǎn)發(fā)時，可能會在VLAN內(nèi)形成大量不必要的廣播報文，導(dǎo)致網(wǎng)絡(luò)阻塞，影響用戶體驗。

AC側(cè)配置的RADIUS共享密鑰需要和服務(wù)器側(cè)保持一致。

操作步驟

步驟 1 配置周邊設(shè)備

# 配置接入交換機SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

system-view

[HUAWEI] sysname SwitchA

[SwitchA] vlan batch 100 101

[SwitchA] interface gigabitethernet0/0/1

[SwitchA-GigabitEthernet0/0/1] portlink-type trunk

[SwitchA-GigabitEthernet0/0/1] porttrunk pvid vlan 100

[SwitchA-GigabitEthernet0/0/1] porttrunk allow-pass vlan 100 101

[SwitchA-GigabitEthernet0/0/1] port-isolateenable

[SwitchA-GigabitEthernet0/0/1] quit

[SwitchA] interface gigabitethernet0/0/2

[SwitchA-GigabitEthernet0/0/2] portlink-type trunk

[SwitchA-GigabitEthernet0/0/2] porttrunk allow-pass vlan 100 101

[SwitchA-GigabitEthernet0/0/2] quit

# 配置匯聚交換機SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，創(chuàng)建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳為Router的缺省路由。

system-view

[HUAWEI] sysname SwitchB

[SwitchB] vlan batch 100 to 104

[SwitchB] interface gigabitethernet0/0/1

[SwitchB-GigabitEthernet0/0/1] portlink-type trunk

[SwitchB-GigabitEthernet0/0/1] porttrunk allow-pass vlan 100 101

[SwitchB-GigabitEthernet0/0/1] quit

[SwitchB] interface gigabitethernet0/0/2

[SwitchB-GigabitEthernet0/0/2] portlink-type trunk

[SwitchB-GigabitEthernet0/0/2] porttrunk allow-pass vlan 100 102

[SwitchB-GigabitEthernet0/0/2] quit

[SwitchB] interface gigabitethernet0/0/3

[SwitchB-GigabitEthernet0/0/3] portlink-type trunk

[SwitchB-GigabitEthernet0/0/3] porttrunk pvid vlan 103

[SwitchB-GigabitEthernet0/0/3] porttrunk allow-pass vlan 103

[SwitchB-GigabitEthernet0/0/3] quit

[SwitchB] interface gigabitethernet0/0/4

[SwitchB-GigabitEthernet0/0/4] portlink-type trunk

[SwitchB-GigabitEthernet0/0/4] porttrunk pvid vlan 104

[SwitchB-GigabitEthernet0/0/4] porttrunk allow-pass vlan 104

[SwitchB-GigabitEthernet0/0/4] quit

[SwitchB] interface vlanif 102

[SwitchB-Vlanif102] ip address10.23.102.1 24

[SwitchB-Vlanif102] quit

[SwitchB] interface vlanif 103

[SwitchB-Vlanif103] ip address10.23.103.2 24

[SwitchB-Vlanif103] quit

[SwitchB] interface vlanif 104

[SwitchB-Vlanif104] ip address10.23.104.1 24

[SwitchB-Vlanif104] quit

[SwitchB] ip route-static 0.0.0.00.0.0.0 10.23.104.2

# 配置Router的接口GE0/0/1的IP地址，并配置指向STA網(wǎng)段的靜態(tài)路由。

system-view

[Huawei] sysname Router

[Router] interface gigabitethernet 0/0/1

[Router-GigabitEthernet0/0/1] ip address10.23.104.2 24

[Router-GigabitEthernet0/0/1] quit

[Router] ip route-static 10.23.101.0 2410.23.104.1

步驟 2 配置DHCP服務(wù)器為STA分配IP地址

# 在SwitchB上配置VLANIF101接口為STA提供IP地址。

[SwitchB] dhcp enable

[SwitchB] interface vlanif 101

[SwitchB-Vlanif101] ip address10.23.101.1 24

[SwitchB-Vlanif101] dhcp selectinterface

[SwitchB-Vlanif101] quit

步驟 3 配置AC系統(tǒng)參數(shù)

1. 配置AC基本參數(shù)。

# 單擊“配置 > 配置向?qū)?> AC”，進入“AC基本配置”頁面。

# “所在國家/地區(qū)”按實際情況選擇，以“中國”為例。“系統(tǒng)時間”配置為“手動設(shè)置”?！叭掌诤蜁r間”配置為“使用PC當(dāng)前時間”。

# 單擊頁面下方的“下一步”，進入“端口配置”頁面。

2. 配置端口。

# 選擇接口“GigabitEthernet0/0/1”，展開“批量修改”，選擇“接口類型”為“Trunk”，將“GigabitEthernet0/0/1”加入VLAN100(管理VLAN)和VLAN102。

說明

如果AC直接連接AP，需要在AC直連AP的接口上配置缺省VLAN為管理VLAN100。

# 單擊“確定”，完成以太網(wǎng)接口的配置。

# 單擊“下一步”，進入“網(wǎng)絡(luò)互聯(lián)配置”頁面。

3. 配置網(wǎng)絡(luò)互聯(lián)。

# 單擊“接口配置”下的“新建”，進入“新建接口配置”頁面。

# 配置接口VLANIF100的IP地址為10.23.100.1/24，“DHCP狀態(tài)”為“ON”，“DHCP類型”為“接口地址池”。

說明

DNS服務(wù)器地址請根據(jù)實際需要配置。

# 單擊“確定”，完成VLANIF100接口地址池的配置。

# 以同樣的方式配置虛擬接口VLANIF102的IP地址為10.23.102.2/24。

# 單擊“靜態(tài)路由表”下的“新建”，進入“新建靜態(tài)路由表”頁面。

# 配置“目的IP地址”為“10.23.103.0”，“子網(wǎng)掩碼”為“24(255.255.255.0)”，“下一跳”為“10.23.102.1”。

# 單擊“確定”，完成靜態(tài)路由表的配置。

# 單擊“下一步”。

# 單擊“下一步”，進入“AC源地址”頁面。

4. 配置AC源地址。

# “AC源地址”選擇“VLANIF”，單擊選擇按鈕，選擇“Vlanif100”。

# 單擊“下一步”，進入“配置確認”頁面。

5. 配置確認。

# 確認配置，單擊“完成并繼續(xù)AP上線配置”。

步驟 4 配置AP上線

1. 配置AP上線。

# 單擊“批量導(dǎo)入”，進入“批量導(dǎo)入”頁面。單擊

# 在AP模板文件中填寫AP信息，示例如下。如需添加多個AP，可以參照該示例在AP模板文件中填寫多條AP信息。

AP MAC地址：60de-4476-e360

AP SN：210235419610CB002287

AP名稱：area_1

AP組：ap-group1

說明

當(dāng)選擇“AP認證方式”為“MAC認證”時，AP MAC地址為必填項，AP SN可不填。

當(dāng)選擇“AP認證方式”為“SN認證”時，AP SN為必填項，AP MAC地址可不填。

建議使用網(wǎng)絡(luò)規(guī)劃工具WLAN Planner將規(guī)劃好的射頻ID、AP信道、頻寬、功率導(dǎo)出成.csv格式的表格，將表格中的這些信息填寫到AP文件模板中，經(jīng)度和緯度請根據(jù)實際情況配置。

# 單擊“導(dǎo)入AP文件”后的，選擇填寫后的模板文件，單擊“導(dǎo)入”。

# 導(dǎo)入完成后，頁面顯示導(dǎo)入結(jié)果信息，單擊“確定”，完成添加。

# 單擊“下一步”，進入“AP分組”頁面。

# AP模板文件中已添加AP組信息，直接單擊“下一步”，進入“配置確認”頁面。

2. 配置確認。

# 確認配置，單擊“完成并繼續(xù)無線業(yè)務(wù)配置”。

步驟 5 配置AC設(shè)備的讀寫團體名

# 依次單擊“維護 > AC維護 > SNMP > 團體/組管理”，進入“團體/組管理”頁面。

# 在“團體”區(qū)域單擊“新建”，在彈出的“新建團體”頁面中配置“團體名”為“Huawei123”，“訪問模式”為“讀寫”，單擊“確定”。

步驟 6 配置WLAN業(yè)務(wù)

1. # 單擊“新建”，進入“基本信息”頁面。

2. # 配置SSID名稱、轉(zhuǎn)發(fā)模式、業(yè)務(wù)VLAN ID等信息。

3. # 單擊“下一步”，進入“安全認證”頁面。

4. # 配置“安全配置”為802.1x認證，并配置外置Radius服務(wù)器的相關(guān)參數(shù)。

5. # 單擊“下一步”，進入“接入控制”頁面。

6. # 選擇“綁定AP組”為“ap-group1”。

7. # 單擊“完成”。

步驟 7 配置AP的信道和功率

1. 關(guān)閉射頻的信道和功率自動調(diào)優(yōu)功能。

說明

射頻的信道和功率自動調(diào)優(yōu)功能默認開啟，如果不關(guān)閉此功能則會導(dǎo)致手動配置不生效。

# 選擇“配置 > AP配置 > AP組配置 > AP組”。

# 在AP組列表中單擊AP組名稱“ap-group1”，選擇“射頻管理 > 射頻0 > 2G射頻模板 > RRM模板”，進入“RRM模板”界面。

# 關(guān)閉信道自動調(diào)優(yōu)和功率自動調(diào)優(yōu)功能。

# 單擊“應(yīng)用”，在彈出的提示對話框中單擊“確定”，完成配置。

2. 手動配置AP的信道和功率。

# 選擇“配置 > AP配置 > AP配置 > AP信息”，進入“AP列表”頁面。

# 單擊需要配置信道和功率的AP ID，進入“AP個性化配置”頁面。

# 單擊“射頻管理”前的，顯示當(dāng)前射頻管理下的模板。

# 單擊“射頻0”，進入“射頻0配置(2.4G)”頁面。在“射頻0配置(2.4G)”頁面設(shè)置信道為帶寬20MHz信道6，發(fā)送功率為127dBm。“射頻1”頁面設(shè)置信道帶寬20MHz信道149與“射頻0”設(shè)置步驟類似，此處不再贅述。

# 單擊“應(yīng)用”，在彈出的提示對話框中單擊“確定”，完成配置。

步驟 8 配置銳捷SAM服務(wù)器

1. 登錄銳捷SAM服務(wù)器。

# 在瀏覽器中輸入銳捷SAM服務(wù)器的訪問地址，地址格式為http://serverip:8080/sam/，其中serverip是銳捷SAM服務(wù)器的IP地址。

# 在登錄頁面中，輸入用戶名和密碼進行登錄。缺省情況下，用戶名為admin，密碼為111。

2. 添加AC設(shè)備，使銳捷SAM可以和AC聯(lián)動。

# 依次選擇“系統(tǒng)管理 > 設(shè)備管理”，單擊“添加”，進入“添加設(shè)備”頁面。

# 配置“設(shè)備IP地址”為AC的IP地址“10.23.102.2”，“設(shè)備類型”為“無線交換機”，“具體型號”為“其他廠家設(shè)備”，“設(shè)備Key”為“huawei@123”，“讀寫Community”為“Huawei123”，其余參數(shù)使用缺省配置即可。

說明

“設(shè)備Key”和“讀寫Community”需要分別和AC上配置的RADIUS共享密鑰和讀寫團體名一致。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

3. 添加接入控制。

# 依次選擇“接入控制管理 > 接入控制管理”，單擊“添加”，進入“添加接入控制”頁面。

# 在“接入控制基本信息”頁簽中配置“接入控制名”為“dot1x”，“允許重復(fù)登錄次數(shù)”為“0”，其余參數(shù)使用缺省配置即可。

說明

本例中配置“允許重復(fù)登錄次數(shù)”為“0”表示不限制用戶登錄次數(shù)，實際配置請根據(jù)需要調(diào)整。

# 在“用戶信息校驗”頁簽中選擇“允許的接入方式”為“有線1X接入”、“無線1X接入”和“智能終端1X接入”，其中，“有線1X接入”用于test-aaa測試，其余參數(shù)使用缺省配置即可。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

4. 配置用戶模板并添加套餐。

# 依次選擇“用戶管理 > 用戶模板管理”，單擊“添加用戶模板”，進入“添加用戶模板”頁面。

# 配置“模板名稱”為“dot1x”，其余參數(shù)使用缺省配置即可，單擊“保存”。

# 在創(chuàng)建的“dot1x”用戶模板頁面單擊，然后單擊“添加套餐”。

# 在“添加套餐”頁面配置“套餐”為“dot1x”，不啟用“重復(fù)登錄次數(shù)限制”，“計費策略”選擇“不計費”，其余參數(shù)使用缺省配置即可。

# 單擊“保存”，返回“dot1x”用戶模板頁面。

# 單擊“dot1x”用戶模板右側(cè)的，然后單擊“修改規(guī)則”。

# 在“修改規(guī)則”頁面修改“服務(wù)”為“dot1x”，“接入控制”為“dot1x”，其余參數(shù)使用缺省配置即可。

# 單擊“保存”，返回“dot1x”用戶模板頁面，檢查配置是否正確。

5. 配置用戶組。

# 依次選擇“用戶管理 > 用戶組管理”，進入“用戶組管理”頁面。

# 在“添加用戶組”區(qū)域配置“用戶組名”為“dot1x”，“默認用戶模板”為“dot1x”，“默認套餐”為“dot1x”，其余參數(shù)使用缺省配置即可。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

6. 開戶。

# 依次選擇“用戶管理 > 用戶管理”，單擊“開戶”，進入“開戶”頁面。

# 在“基本信息”區(qū)域配置“用戶名”為“huawei”，密碼為“huawei123”，“用戶組”為“dot1x”，“用戶模板”為“dot1x”，“套餐”為“dot1x”，其余參數(shù)使用缺省配置即可。

# 單擊“保存”，在彈出的對話框中單擊“確定”。

步驟 9 在AC上測試用戶是否能夠通過RADIUS認證

# 單擊“診斷 > 診斷工具 > AAATest”，進入“AAA Test”頁面。

# 配置RADIUS服務(wù)器模板、認證方式、用戶名和密碼。

# 單擊“開始”。

步驟 10 檢查配置結(jié)果

完成配置后，用戶可通過無線終端搜索到SSID為wlan-net的無線網(wǎng)絡(luò)。

用戶關(guān)聯(lián)到無線網(wǎng)絡(luò)上后，無線PC能夠被分配相應(yīng)的IP地址。

在STA上使用802.1X客戶端進行認證，輸入正確的用戶名和密碼后，STA認證成功，正常訪問WLAN網(wǎng)絡(luò)。需要根據(jù)設(shè)置的認證方式PEAP對客戶端進行相應(yīng)的配置。

? Windows XP系統(tǒng)下的配置

i. 首先在無線網(wǎng)絡(luò)屬性中，添加SSID為wlan-net，并選擇認證方式為WPA2，加密使用的算法AES。

ii. 在“驗證”選項卡中，選擇EAP類型為PEAP，單擊“屬性”，去掉驗證服務(wù)器證書選項(此處不驗證服務(wù)器證書)，單擊“配置”，去掉自動使用Windows登錄名和密碼選項，然后單擊“確定”。

? Windows 7系統(tǒng)下的配置

i.進入管理無線網(wǎng)絡(luò)頁面，單擊“添加”，選擇手動創(chuàng)建網(wǎng)絡(luò)配置文件，添加SSID為wlan-net，并選擇認證方式為WPA2-企業(yè)，加密使用的算法AES，單擊“下一步”。

ii.單擊“更改連接設(shè)置”，進入“無線網(wǎng)絡(luò)屬性”界面，選擇“安全”頁簽，單擊“設(shè)置”，取消勾選“驗證服務(wù)器證書”(此處不驗證服務(wù)器證書)，單擊“配置”，取消勾選“自動使用Windows登錄名和密碼”，單擊“確定”。

iii.單擊“確定”，返回“無線網(wǎng)絡(luò)屬性”界面，單擊“高級設(shè)置”，在“高級設(shè)置”界面，勾選“指定身份驗證模式”，并選擇身份驗證模式為“用戶身份驗證”，單擊“確定”。

iv.認證通過后，在AC上選擇“監(jiān)控 > 用戶”，可以看到員工的在線信息。

----結(jié)束

聯(lián)系我們

責(zé)任編輯：

總結(jié)

以上是生活随笔為你收集整理的锐捷服务器无线认证配置,【WLAN从入门到精通之对接案例】配置802.1X认证示例_Web（锐捷SAM服务器）...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。