所选语种没有对应资源,请选择:
菜单
技术支持 文档中心
WLAN产品对接配置专题
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
举例:使用Android/iOS/Windows终端无线接入网络(双SSID场景)

举例:使用Android/iOS/Windows终端无线接入网络(双SSID场景)

当用户使用Android、iOS或Windows终端无线接入网络时,首先通过初始化SSID下载网络配置工具或配置文件,自动完成网络配置后即可通过802.1X方式接入网络。

举例产品和版本

项目

产品

版本

AP

AP6010DN-AGN

V200R006C20

AC

AC6605

V200R006C20

Portal服务器

RADIUS服务器

Agile Controller-Campus

V100R003C20
Windows CA服务器 Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Enterprise
Agile Controller-Campus配套的WLAN最高版本为V200R019C00,本文以V200R006C20版本WLAN为例进行配置,如需对接其它版本,请参见对应版本的WLAN产品文档。

组网需求

某企业为了网络接入安全,要求用户必须使用证书方式的802.1X接入网络认证,但该方式需要用户在终端完成复杂配置才能接入网络。

使用Boarding方案可以简化操作,用户在接入终端自动完成配置。如图1-5所示,Boarding方案提供两个SSID,一个用于初始化网络,采用Portal认证;另一个用于业务访问,采用802.1X认证。

用户接入网络时首先通过初始化网络下载网络配置工具或配置文件,然后自动完成终端配置并切换到802.1X的SSID实现业务访问。

图1-5  组网图

数据规划

表1-13  网络数据规划

项目

数据

AC

接口编号:GE 0/0/1

所属VLAN:100

VLANIF 100接口IP地址:192.168.3.2/24

接口编号:GE 0/0/2

所属VLAN:100、101、102

VLANIF 101接口IP地址:10.20.210.254/24

VLANIF 102接口IP地址:10.20.211.254/24

路由器

与AC相连接口IP地址:192.168.3.254/24

Agile Controller-Campus(Portal服务器&RADIUS服务器)

192.168.1.210

Windows CA服务器

192.168.1.211
表1-14  业务数据规划

项目

数据

VLAN

VLAN100:管理VLAN

VLAN101:Portal业务VLAN

VLAN102:802.1X业务VLAN

DHCP

AC作为DHCP服务器,为AP、终端分配如下地址池:

  • AP地址池:192.168.3.0/24
  • 终端Portal业务地址池:10.20.210.0/24
  • 终端802.1X业务地址池:10.20.211.0/24

认证前域

补丁服务器:192.168.1.200

认证后域

192.168.2.0/24
认证计费密钥、授权密钥、Portal密钥 Admin@123
计费周期(分钟) 15

配置思路

  1. 在AC完成网络互通和AP上线配置。
  2. 在AC完成RADIUS模板和802.1X认证配置。
  3. 在AC完成Portal认证配置。
  4. 在AC完成认证后域资源配置,允许用户认证通过后访问该资源。
  5. Agile Controller-Campus完成Boarding配置。
  6. Agile Controller-Campus完成认证授权配置。

操作步骤

  1. 可选:部署Windows CA服务器。

    如未部署Windows CA服务器,参见部署CA证书服务器

  2. 【设备】配置网络互通和AP上线。
    1. 本举例中AC与AP之间采用隧道转发模式,配置AC的下行接口允许管理VLAN通过。 

      <AC6605> system-view
[AC6605] sysname AC
[AC] vlan batch 100 to 102
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk pvid vlan 100
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[AC-GigabitEthernet0/0/1] quit

    2. 配置AC的上行接口允许VLAN100、VLAN101和VLAN102通过,与上层网络互通。 

      [AC] interface gigabitethernet 0/0/2
[AC-GigabitEthernet0/0/2] port link-type trunk
[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 102
[AC-GigabitEthernet0/0/2] quit

    3. 配置各VLANIF接口IP地址,且AC作为DHCP服务器,分别为AP、Portal业务和802.1X业务分配不同IP地址段。 

      [AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 192.168.3.2 255.255.255.0
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.20.210.254 255.255.255.0
[AC-Vlanif101] dhcp select interface
[AC-Vlanif101] quit
[AC] interface vlanif 102
[AC-Vlanif102] ip address 10.20.211.254 255.255.255.0
[AC-Vlanif102] dhcp select interface
[AC-Vlanif102] quit

    4. 配置缺省路由,下一跳为路由器接口IP地址。 

      [AC] ip route-static 0.0.0.0 0.0.0.0 192.168.3.254

    5. 配置AP上线。

      如果AC与AP间是三层网络,需要在DHCP服务器上配置option 43字段,在字段内填入AC的IP地址用于通告AP,使AP能够发现AC。

      1. 在系统视图执行命令ip pool ip-pool-name进入IP地址池视图。
      2. 执行命令option 43 sub-option 2 ip-address AC-ip-address &<1-8>,指定AC的IP地址。

      # 创建AP组,用于将相同配置的AP都加入同一AP组中。

      [AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit

      # 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

      [AC-wlan-view] regulatory-domain-profile name domain1
[AC-wlan-regulatory-domain-prof-domain1] country-code cn
[AC-wlan-regulatory-domain-prof-domain1] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continue?[Y/N]:y 
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

      # 配置AC的源接口。

      [AC] capwap source interface vlanif 100

      # 在AC上离线导入AP,并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。

      AP缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth

      举例中使用的AP为AP6010DN-AGN,具有射频0和射频1两个射频。AP6010DN-AGN的射频0为2.4GHz射频,射频1为5GHz射频。

      [AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation maybe cause AP reset, Whether to continue? [Y/N]y 
[AC-wlan-ap-0] quit

      # AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。

      [AC-wlan-view] display ap all
Total AP information:
nor  : normal          [1]
---------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP            Type            State STA Uptime
---------------------------------------------------------------------------------------
0    60de-4476-e360 area_1 ap-group1 192.168.3.200 AP6010DN-AGN    nor   0   5M:2S
---------------------------------------------------------------------------------------
Total: 1

    6. 通过ACL方式定义后域资源,ACL编号与Agile Controller-Campus授权结果中指定的一致。 

      [AC] acl 3001
[AC-acl-adv-3001] rule 1 permit ip destination 192.168.2.0 0.0.0.255   //后域资源
[AC-acl-adv-3001] rule 2 deny ip
[AC-acl-adv-3001] quit

  3. 【设备】配置RADIUS服务器模板并配置802.1X认证。
    1. 配置RADIUS服务器模板和认证、计费方案。 

      [AC] radius-server template radius_huawei   //RADIUS服务器模板
[AC-radius-radius_huawei] radius-server authentication 192.168.1.210 1812 source ip-address 192.168.3.2
[AC-radius-radius_huawei] radius-server accounting 192.168.1.210 1813 source ip-address 192.168.3.2
[AC-radius-radius_huawei] radius-server shared-key cipher Admin@123
[AC-radius-radius_huawei] quit
[AC] radius-server authorization 192.168.1.210 shared-key cipher Admin@123
[AC] aaa
[AC-aaa] authentication-scheme auth_scheme      //认证方案
[AC-aaa-authen-auth_scheme] authentication-mode radius
[AC-aaa-authen-auth_scheme] quit
[AC-aaa] accounting-scheme acc_scheme         //计费方案
[AC-aaa-accounting-acc_scheme] accounting-mode radius 
[AC-aaa-accounting-acc_scheme] accounting realtime 15 
[AC-aaa-accounting-acc_scheme] quit
[AC-aaa] quit

    2. 创建802.1X接入模板“dot1x_access”。

      802.1X接入模板默认采用EAP认证方式,需要与Agile Controller-Campus认证规则中的认证协议一致。

      [AC] dot1x-access-profile name dot1x_access
[AC-dot1x-access-profile-dot1x_access] quit

    3. 配置802.1X认证模板“dot1x_auth”,引用认证方案、计费方案和RADIUS服务器模板。 

      [AC] authentication-profile name dot1x_auth
[AC-authentication-profile-dot1x_auth] dot1x-access-profile dot1x_access
[AC-authentication-profile-dot1x_auth] authentication-scheme auth_scheme
[AC-authentication-profile-dot1x_auth] accounting-scheme acc_scheme
[AC-authentication-profile-dot1x_auth] radius-server radius_huawei
[AC-authentication-profile-dot1x_auth] quit

    4. 配置WLAN业务参数。

      # 创建名为“dot1x-security”的安全模板,并配置安全策略。802.1X认证必须配置安全策略,不允许使用缺省的开放认证。

      [AC] wlan 
[AC-wlan-view] security-profile name dot1x-security 
[AC-wlan-sec-prof-dot1x-security] security wpa2 dot1x aes 
[AC-wlan-sec-prof-dot1x-security] quit

      # 创建名为“dot1x-ssid”的SSID模板,并配置SSID名称为“802.1X”。

      [AC-wlan-view] ssid-profile name dot1x-ssid
[AC-wlan-ssid-prof-dot1x-ssid] ssid 802.1X
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-dot1x-ssid] quit

      # 创建名为“dot1x-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板和认证模板。

      [AC-wlan-view] vap-profile name dot1x-vap
[AC-wlan-vap-prof-dot1x-vap] forward-mode tunnel
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-vap-prof-dot1x-vap] service-vlan vlan-id 102
[AC-wlan-vap-prof-dot1x-vap] security-profile dot1x-security
[AC-wlan-vap-prof-dot1x-vap] ssid-profile dot1x-ssid
[AC-wlan-vap-prof-dot1x-vap] authentication-profile dot1x_auth
[AC-wlan-vap-prof-dot1x-vap] quit

      # 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“dot1x-vap”的配置。

      [AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile dot1x-vap wlan 1 radio all
[AC-wlan-ap-group-ap-group1] quit

  4. 【设备】配置Portal认证。
    1. 配置URL模板,指定推送页面的URL和携带用户终端MAC地址。

      如果需要对iOS系统的终端设备注册和设备挂失,必须配置url-parameter user-mac usermac,其他情况可无需配置。因为iOS系统在下载配置文件时未发起Portal认证,只是重定向到Portal推送页面,无法通过Portal上线报文携带MAC地址。

      [AC] url-template name url_temp
[AC-url-template-url_temp] url http://192.168.1.210:8080/portal
[AC-url-template-url_temp] url-parameter user-mac usermac
[AC-url-template-url_temp] quit

    2. 配置Portal服务器模板,指定Portal服务器相关信息。 

      [AC] web-auth-server portal_server
[AC-web-auth-server-portal_server] server-ip 192.168.1.210
[AC-web-auth-server-portal_server] source-ip 192.168.3.2
[AC-web-auth-server-portal_server] port 50200
[AC-web-auth-server-portal_server] shared-key cipher Admin@123
[AC-web-auth-server-portal_server] url-template url_temp
[AC-web-auth-server-portal_server] quit

    3. 配置Portal接入模板“portal_access”。 

      [AC] portal-access-profile name portal_access
[AC-portal-access-profile-portal_access] web-auth-server portal_server direct
[AC-portal-access-profile-portal_access] quit

    4. 配置免认证规则模板,将认证前允许访问的资源(补丁服务器)加入模板。 

      [AC] free-rule-template name default_free_rule
[AC-free-rule-default_free_rule] free-rule 1 destination ip 192.168.1.200 mask 32
[AC-free-rule-default_free_rule] quit

    5. 配置Portal认证模板“portal_auth”。 

      [AC] authentication-profile name portal_auth
[AC-authentication-profile-portal_auth] portal-access-profile portal_access
[AC-authentication-profile-portal_auth] free-rule-template default_free_rule
[AC-authentication-profile-portal_auth] authentication-scheme auth_scheme
[AC-authentication-profile-portal_auth] authentication-scheme acc_scheme
[AC-authentication-profile-portal_auth] radius-server radius_huawei
[AC-authentication-profile-portal_auth] quit

    6. 配置WLAN业务参数。

      # 创建名为“portal-security”的安全模板,并配置安全策略。缺省情况下,安全策略为open方式的开放认证。Portal认证使用开放认证即可。

      [AC] wlan
[AC-wlan-view] security-profile name portal-security
[AC-wlan-sec-prof-portal-security] quit

      # 创建名为“portal-ssid”的SSID模板,并配置SSID名称为“Portal”。

      [AC-wlan-view] ssid-profile name portal-ssid
[AC-wlan-ssid-prof-portal-ssid] ssid Portal
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-ssid-prof-portal-ssid] quit

      # 创建名为“portal-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板和SSID模板。

      [AC-wlan-view] vap-profile name portal-vap
[AC-wlan-vap-prof-portal-vap] forward-mode tunnel
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-vap-prof-portal-vap] service-vlan 101
[AC-wlan-vap-prof-portal-vap] security-profile portal-security
[AC-wlan-vap-prof-portal-vap] ssid-profile Portal
[AC-wlan-vap-prof-portal-vap] authentication-profile portal_auth
[AC-wlan-vap-prof-portal-vap] quit

      # 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板的配置。

      [AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile portal-vap wlan 2 radio all
[AC-wlan-ap-group-ap-group1] quit

  5. Agile Controller-Campus】配置Boarding,实现用户终端802.1X网络自动配置。

    选择策略 > 准入控制 > Boarding管理 > 快速入门,按导航完成配置。

    1. 配置网络接入策略,指定802.1X接入的参数。

      802.1X网络接入参数与AC配置一致,关键参数与AC命令对应关系如下:

      • 安全类型:security wpa2 dot1x aes
      • 加密类型:security wpa2 dot1x aes
      • SSID:ssid 802.1X

    2. 上传CA证书,用于Agile Controller-Campus与用户证书、Windows CA服务器校验。

    3. 配置SCEP证书服务器,用于向Windows CA服务器申请用户证书。

    4. 可选:配置OCSP,在线查询用户证书的吊销状态,已吊销的用户证书不可用。建议使用OCSP,如果不配置,可以在系统 > 外部认证源 > 证书认证配置管理配置CRL同步或手工上传CRL验证吊销状态。

    5. 定制Portal页面。

      Agile Controller-Campus提供默认Portal页面,管理员可以在默认模板基础上修改或新增Portal页面。

      如果需要更新网络配置工具版本,请在策略 > 准入控制 > 页面定制 > 页面定制素材上传。

      • Android:认证页面,包含网络配置工具(*.apk)下载链接。
      • iOS:认证页面用于用户输入帐号密码信息提交认证;认证成功页面包含网络配置文件(*.mobileconfig)下载链接。
      • Windows:认证页面,包含网络配置工具(*.exe)下载链接。

    6. 配置Portal推送策略,分别对不同操作系统终端推送不同的Portal页面,提供适配该终端操作系统类型的网络配置工具/配置文件。

      按如下参数分别配置针对Android、iOS和Windows操作系统终端的推送策略,其他参数使用默配置。

      • Android
        • 名称:Android
        • 区分操作系统推送页面:Android
        • 推送页面:android boarding portal中文页面
      • iOS
        • 名称:iOS
        • 区分操作系统推送页面:iOS
        • 推送页面:双SSID ios boarding portal中文页面
      • Windows
        • 名称:Windows
        • 区分操作系统推送页面:Windows PC
        • 推送页面:windows boarding portal中文页面

  6. Agile Controller-Campus】添加认证控制设备,与认证控制设备实现RADIUS对接。

    选择资源 > 设备 > 设备管理,添加AC。

    参数与AC配置命令对应关系如下:

    • 认证计费密钥:radius-server shared-key cipher Admin@123
    • 授权密钥:radius-server authorization 192.168.1.210 shared-key cipher Admin@123
    • 计费周期:accounting realtime 15
    • Portal密钥:shared-key cipher Admin@123

  7. Agile Controller-Campus】配置认证授权,用户完成802.1X网络配置后根据配置的认证授权规则获取相应权限。
    1. 选择策略 > 准入控制 > 认证授权 > 认证规则,配置认证规则。

      本举例中使用缺省认证规则,包含了所有认证协议。修改缺省认证规则,将CA根证书加入“数据源”

      如果使用非本地数据源,比如用户从AD/LDAP同步,请修改缺省认证规则或新建认证规则。

    2. 选择策略 > 准入控制 > 认证授权 > 授权结果,配置通过ACL授权。

      “ACL号/AAA用户组”指定的ACL编号3001与AC上配置的一致。

    3. 选择策略 > 准入控制 > 认证授权 > 授权规则,配置授权规则。

      “授权结果”选择上一步配置的认证后域,其他参数使用缺省配置。

验证

  • Android终端
    1. 关联Portal无线网络后可以直接访问free-rule指定的补丁服务器;访问其他网站,重定向到针对Android终端的Portal认证页面。
    2. 在Portal认证页面下载网络配置工具(*.apk)并安装。
    3. 在网络配置工具输入帐号密码后单击“配置”,自动完成802.1X认证的配置。此时关联的无线网络已切换到802.1X,可以访问后域资源。
  • iOS终端
    1. 关联Portal无线网络后可以直接访问free-rule指定的补丁服务器;访问其他网站,重定向到针对iOS终端的Portal认证页面。
    2. 在Portal认证页面输入帐号密码请求身份校验。
    3. 身份校验成功后跳转到Portal认证成功页面,下载配置文件(*.mobileconfig)。
    4. 安装配置文件后自动完成802.1X认证的配置,手工切换到802.1X无线网络后可以访问后域资源。
  • Windows终端
    1. 关联Portal无线网络后可以直接访问free-rule指定的补丁服务器;访问其他网站,重定向到针对Windows终端的Portal认证页面。
    2. 在Portal认证页面下载网络配置工具(*.exe)并安装。
    3. 在网络配置工具输入帐号密码后单击“配置”,自动完成802.1X认证的配置,此时关联的无线网络已切换到802.1X,可以访问后域资源。
翻译
English
下载文档
更新时间:2020-12-17

文档编号:EDOC1000113778

浏览量:117628

下载量:9138

平均得分:
本文档适用于这些产品

相关版本

相关文档

分享
上一页 下一页
华为企业业务APP

版权所有 © 华为技术有限公司 1998-2021。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: