举例:使用Android/iOS/Windows终端无线接入网络(双SSID场景)
当用户使用Android、iOS或Windows终端无线接入网络时,首先通过初始化SSID下载网络配置工具或配置文件,自动完成网络配置后即可通过802.1X方式接入网络。
举例产品和版本
项目 |
产品 |
版本 |
---|---|---|
AP |
AP6010DN-AGN |
V200R006C20 |
AC |
AC6605 |
V200R006C20 |
Portal服务器 RADIUS服务器 |
Agile Controller-Campus |
V100R003C20 |
Windows CA服务器 | Windows Server 2008 R2 Enterprise | Windows Server 2008 R2 Enterprise |
组网需求
某企业为了网络接入安全,要求用户必须使用证书方式的802.1X接入网络认证,但该方式需要用户在终端完成复杂配置才能接入网络。
使用Boarding方案可以简化操作,用户在接入终端自动完成配置。如图1-5所示,Boarding方案提供两个SSID,一个用于初始化网络,采用Portal认证;另一个用于业务访问,采用802.1X认证。
用户接入网络时首先通过初始化网络下载网络配置工具或配置文件,然后自动完成终端配置并切换到802.1X的SSID实现业务访问。
数据规划
项目 |
数据 |
---|---|
AC |
接口编号:GE 0/0/1 所属VLAN:100 VLANIF 100接口IP地址:192.168.3.2/24 |
接口编号:GE 0/0/2 所属VLAN:100、101、102 VLANIF 101接口IP地址:10.20.210.254/24 VLANIF 102接口IP地址:10.20.211.254/24 |
|
路由器 |
与AC相连接口IP地址:192.168.3.254/24 |
Agile Controller-Campus(Portal服务器&RADIUS服务器) |
192.168.1.210 |
Windows CA服务器 |
192.168.1.211 |
项目 |
数据 |
---|---|
VLAN |
VLAN100:管理VLAN |
VLAN101:Portal业务VLAN |
|
VLAN102:802.1X业务VLAN |
|
DHCP |
AC作为DHCP服务器,为AP、终端分配如下地址池:
|
认证前域 |
补丁服务器:192.168.1.200 |
认证后域 |
192.168.2.0/24 |
认证计费密钥、授权密钥、Portal密钥 | Admin@123 |
计费周期(分钟) | 15 |
配置思路
- 在AC完成网络互通和AP上线配置。
- 在AC完成RADIUS模板和802.1X认证配置。
- 在AC完成Portal认证配置。
- 在AC完成认证后域资源配置,允许用户认证通过后访问该资源。
- 在Agile Controller-Campus完成Boarding配置。
- 在Agile Controller-Campus完成认证授权配置。
操作步骤
- 可选:部署Windows CA服务器。
如未部署Windows CA服务器,参见部署CA证书服务器。
- 【设备】配置网络互通和AP上线。
- 【设备】配置RADIUS服务器模板并配置802.1X认证。
- 【设备】配置Portal认证。
- 【Agile Controller-Campus】配置Boarding,实现用户终端802.1X网络自动配置。
选择
,按导航完成配置。 - 【Agile Controller-Campus】添加认证控制设备,与认证控制设备实现RADIUS对接。
选择
,添加AC。参数与AC配置命令对应关系如下:
- 认证计费密钥:radius-server shared-key cipher Admin@123
- 授权密钥:radius-server authorization 192.168.1.210 shared-key cipher Admin@123
- 计费周期:accounting realtime 15
- Portal密钥:shared-key cipher Admin@123
- 【Agile Controller-Campus】配置认证授权,用户完成802.1X网络配置后根据配置的认证授权规则获取相应权限。
验证
- Android终端
- 关联Portal无线网络后可以直接访问free-rule指定的补丁服务器;访问其他网站,重定向到针对Android终端的Portal认证页面。
- 在Portal认证页面下载网络配置工具(*.apk)并安装。
- 在网络配置工具输入帐号密码后单击“配置”,自动完成802.1X认证的配置。此时关联的无线网络已切换到802.1X,可以访问后域资源。
- iOS终端
- 关联Portal无线网络后可以直接访问free-rule指定的补丁服务器;访问其他网站,重定向到针对iOS终端的Portal认证页面。
- 在Portal认证页面输入帐号密码请求身份校验。
- 身份校验成功后跳转到Portal认证成功页面,下载配置文件(*.mobileconfig)。
- 安装配置文件后自动完成802.1X认证的配置,手工切换到802.1X无线网络后可以访问后域资源。
- Windows终端
- 关联Portal无线网络后可以直接访问free-rule指定的补丁服务器;访问其他网站,重定向到针对Windows终端的Portal认证页面。
- 在Portal认证页面下载网络配置工具(*.exe)并安装。
- 在网络配置工具输入帐号密码后单击“配置”,自动完成802.1X认证的配置,此时关联的无线网络已切换到802.1X,可以访问后域资源。