配置802.1X认证示例（Web）

操作步骤

1. 配置周边设备
   # 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchA
   [SwitchA] vlan batch 100 101
   [SwitchA] interface gigabitethernet 0/0/1
   [SwitchA-GigabitEthernet0/0/1] port link-type trunk
   [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
   [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
   [SwitchA-GigabitEthernet0/0/1] port-isolate enable
   [SwitchA-GigabitEthernet0/0/1] quit
   [SwitchA] interface gigabitethernet 0/0/2
   [SwitchA-GigabitEthernet0/0/2] port link-type trunk
   [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
   [SwitchA-GigabitEthernet0/0/2] quit
   

   # 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，创建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳为Router的缺省路由。

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchB
   [SwitchB] vlan batch 100 to 104
   [SwitchB] interface gigabitethernet 0/0/1
   [SwitchB-GigabitEthernet0/0/1] port link-type trunk
   [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
   [SwitchB-GigabitEthernet0/0/1] quit
   [SwitchB] interface gigabitethernet 0/0/2
   [SwitchB-GigabitEthernet0/0/2] port link-type trunk
   [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
   [SwitchB-GigabitEthernet0/0/2] quit
   [SwitchB] interface gigabitethernet 0/0/3
   [SwitchB-GigabitEthernet0/0/3] port link-type trunk
   [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
   [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
   [SwitchB-GigabitEthernet0/0/3] quit
   [SwitchB] interface gigabitethernet 0/0/4
   [SwitchB-GigabitEthernet0/0/4] port link-type trunk
   [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
   [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
   [SwitchB-GigabitEthernet0/0/4] quit
   [SwitchB] interface vlanif 102
   [SwitchB-Vlanif102] ip address 10.23.102.1 24
   [SwitchB-Vlanif102] quit
   [SwitchB] interface vlanif 103
   [SwitchB-Vlanif103] ip address 10.23.103.2 24
   [SwitchB-Vlanif103] quit
   [SwitchB] interface vlanif 104
   [SwitchB-Vlanif104] ip address 10.23.104.1 24
   [SwitchB-Vlanif104] quit
   [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
   

   # 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

   <Huawei> system-view
   [Huawei] sysname Router
   [Router] interface gigabitethernet 0/0/1
   [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
   [Router-GigabitEthernet0/0/1] quit
   [Router] ip route-static 10.23.101.0 24 10.23.104.1
   

2. 配置DHCP服务器为STA分配IP地址
   # 在SwitchB上配置VLANIF101接口为STA提供IP地址。

   DNS服务器地址请根据实际需要配置。常用配置方法如下：

   • 接口地址池场景，需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
   • 全局地址池场景，需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。

   [SwitchB] dhcp enable
   [SwitchB] interface vlanif 101
   [SwitchB-Vlanif101] ip address 10.23.101.1 24
   [SwitchB-Vlanif101] dhcp select interface
   [SwitchB-Vlanif101] quit

3. 配置AC系统参数
   1. 配置AC基本参数。

      # 单击“配置 > 配置向导 > AC”，进入“AC基本配置”页面。

      # “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。

      
      
      

      # 单击页面下方的“下一步”，进入“端口配置”页面。

   2. 配置端口。
      # 选择接口“GigabitEthernet0/0/1”，展开“批量修改”，选择“接口类型”为“Trunk”，将“GigabitEthernet0/0/1”加入VLAN100（管理VLAN）和VLAN102。

      如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。

      
      
      

      # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

      # 单击“下一步”，进入“网络互联配置”页面。

   3. 配置网络互联。

      # 单击“接口配置”下的“新建”，进入“新建接口配置”页面。

      # 配置接口VLANIF100的IP地址为10.23.100.1/24，“DHCP状态”为“ON”，“DHCP类型”为“接口地址池”。

      DNS服务器地址请根据实际需要配置。
      
      
      

      # 单击“确定”，完成VLANIF100接口地址池的配置。

      # 以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。

      # 单击“静态路由表”下的“新建”，进入“新建静态路由表”页面。

      # 配置“目的IP地址”为“10.23.103.0”，“子网掩码”为“24(255.255.255.0)”，“下一跳”为“10.23.102.1”。
      
      

      # 单击“确定”，完成静态路由表的配置。

      # 单击“下一步”。

      # 单击“下一步”，进入“AC源地址”页面。

   4. 配置AC源地址。

      # “AC源地址”选择“VLANIF”，单击选择按钮，选择“Vlanif100”。
      
      

      # 单击“下一步”，进入“配置确认”页面。

   5. 配置确认。

      # 确认配置，单击“完成并继续AP上线配置”。

4. 配置AP上线
   1. 配置AP上线。

      # 单击“批量导入”，进入“批量导入”页面。单击，下载批量添加AP模板文件到本地。

      
      
      
      # 在AP模板文件中填写AP信息，示例如下。如需添加多个AP，可以参照该示例在AP模板文件中填写多条AP信息。

      • AP MAC地址：60de-4476-e360
      • AP SN：210235419610CB002287
      • AP名称：area_1
      • AP组：ap-group1

      • 当选择“AP认证方式”为“MAC认证”时，AP MAC地址为必填项，AP SN可不填。
      • 当选择“AP认证方式”为“SN认证”时，AP SN为必填项，AP MAC地址可不填。

      建议使用网络规划工具WLAN Planner将规划好的射频ID、AP信道、频宽、功率导出成.csv格式的表格，将表格中的这些信息填写到AP文件模板中，经度和纬度请根据实际情况配置。

      # 单击“导入AP文件”后的，选择填写后的模板文件，单击“导入”。

      # 导入完成后，页面显示导入结果信息，单击“确定”，完成添加。

      # 单击“下一步”，进入“AP分组”页面。

      # AP模板文件中已添加AP组信息，直接单击“下一步”，进入“配置确认”页面。

   2. 配置确认。

      # 确认配置，单击“完成并继续无线业务配置”。

5. 配置WLAN业务
   1. # 单击“新建”，进入“基本信息”页面。
   2. # 配置SSID名称、转发模式、业务VLAN ID等信息。
      
      
   3. # 单击“下一步”，进入“安全认证”页面。
   4. # 配置“安全配置”为802.1X认证，并配置外置Radius服务器的相关参数。
      
      
   5. # 单击“下一步”，进入“接入控制”页面。
   6. # 选择“绑定AP组”为“ap-group1”。
   7. # 单击“完成”。
6. 配置AP的信道和功率
   1. 关闭AP射频的信道和功率自动调优功能，并手动配置AP的信道和功率。

      射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。

      # 选择“配置 > AP配置 > AP配置 > AP信息”，进入“AP列表”页面。

      # 单击需要配置信道和功率的AP ID，进入“AP个性化配置”页面。

      # 单击“射频管理”前的，显示当前射频管理下的模板。

      # 单击“射频0”，进入射频0配置页面。在射频0配置页面关闭信道自动调优和功率自动调优功能，并设置信道为带宽20MHz信道6，发送功率为127dBm。

      
      
      

      # “射频1”上关闭信道自动调优和功率自动调优功能，并设置信道带宽20MHz信道149，发送功率127dBm的步骤与“射频0”类似，此处不再赘述。

      # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

7. 配置H3C iMC
   1. 登录H3C iMC服务器。

      # 在浏览器中输入H3C iMC的访问地址，地址格式为https://serverip:8080/imc，其中serverip是H3C iMC服务器的IP地址。

      # 在登录页面中，输入用户名和密码进行登录。

   2. 导入根证书和服务器证书。

      缺省情况下，H3C iMC服务器没有可以用于802.1X认证的证书，需要手动导入在证书服务器申请的服务器证书和根证书。从证书服务器导出证书时必须同时导出私钥，否则证书无法加密。申请和导入证书的过程请参考服务器相关资料，此处不作介绍。

      # 依次选择“用户 > 接入策略管理 > 业务参数配置 > 证书配置”，进入“证书配置”页面。

      # 选择“根证书配置”页签，单击“导入EAP根证书”，进入“根证书配置”页面。

      # 单击“选择文件”，选择根证书。

      
      
      

      # 单击“下一步”，单击“确定”。导入成功可以看到根证书信息。

      
      
      

      # 选择“服务器证书配置”页签，单击“导入EAP服务器证书”，进入“服务器证书配置”页面。

      # 勾选“服务器证书和私钥在同一个文件”，单击“选择文件”，选择服务器证书。

      
      
      

      是否勾选“服务器证书和私钥在同一个文件”取决于生成证书时，服务器证书和私钥是否在同一个文件。

      # 单击“下一步”，进入“服务器证书私钥密码”页面。

      # 输入生成服务器证书时使用的私钥。

      
      
      

      # 单击“确定”。导入成功可以看到服务器证书信息。

      
      
      

   3. 添加AC设备，使H3C iMC可以和AC联动。

      # 依次选择“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置”，单击“增加”，进入“增加接入设备”页面。

      # 在“接入配置”区域中配置“认证端口”为“1812”，选择“接入设备类型”为“STANDARD(Standard)”，配置“共享密钥”为“huawei@123”，其余参数使用缺省配置即可。

      
      
      

      AC上的计费方案为可选配置。

      # 在“设备列表”区域中单击“手工增加”，配置设备IP地址为“10.23.102.2”，单击“确定”。

      
      
      

      # 单击“确定”。

   4. 配置接入策略“dot1x”。

      # 依次选择“用户 > 接入策略管理 > 接入策略管理”，单击“增加”，进入“增加接入策略”页面。

      # 配置“接入策略名”为“dot1x”，选择“证书认证”为“EAP证书认证”，选择“认证证书类型”为“EAP-PEAP认证”，其余参数使用缺省配置即可。

      
      
      

      # 单击“确定”。

   5. 配置接入服务“dot1x”。

      # 依次选择“用户 > 接入策略管理 > 接入服务管理”，单击“增加”，进入“增加接入服务”页面。

      # 配置“服务名”为“dot1x”，选择“缺省接入策略”为“dot1x”，其余参数使用缺省配置即可。

      “服务后缀”是可选配置，它与域名类似，如果配置了服务后缀，用户认证时需要使用“用户名@服务后缀”的格式进行认证。

      
      
      

      # 单击“确定”。

   6. 配置接入用户。

      # 依次选择“用户 > 接入用户管理 > 接入用户”，单击“增加”，进入“增加接入用户”页面。

      # 单击“增加用户”，在弹出的“增加用户”页面中输入用户姓名和证件号码，单击“检查是否可用”，确认用户姓名和证件号码可用，单击“确定”。

      
      
      

      # 在“接入信息”区域配置“账号名”为“huawei”，“密码”为“huawei123”，并在“接入服务”区域勾选“dot1x”，其余参数使用缺省配置即可。

      
      
      

      • “账号名”和“密码”用于进行接入认证。

      • 同一个用户可以选择绑定多个接入服务。

      # 单击“确定”。

8. 检查配置结果
   • 完成配置后，用户可通过无线终端搜索到SSID为wlan-net的无线网络。
   • 用户关联到无线网络上后，无线PC能够被分配相应的IP地址。
   • 在STA上使用802.1X客户端进行认证，输入正确的用户名和密码后，STA认证成功，正常访问WLAN网络。需要根据设置的认证方式PEAP对客户端进行相应的配置。

     • Windows XP系统下的配置

       1. 首先在无线网络属性中，添加SSID为wlan-net，并选择认证方式为WPA2，加密使用的算法AES。
       2. 在“验证”选项卡中，选择EAP类型为PEAP，单击“属性”，去掉验证服务器证书选项（此处不验证服务器证书），单击“配置”，去掉自动使用Windows登录名和密码选项，然后单击“确定”。

     • Windows 7系统下的配置

       1. 进入管理无线网络页面，单击“添加”，选择手动创建网络配置文件，添加SSID为wlan-net，并选择认证方式为WPA2-企业，加密使用的算法AES，单击“下一步”。
       2. 单击“更改连接设置”，进入“无线网络属性”界面，选择“安全”页签，单击“设置”，取消勾选“验证服务器证书”（此处不验证服务器证书），单击“配置”，取消勾选“自动使用Windows登录名和密码”，单击“确定”。
       3. 单击“确定”，返回“无线网络属性”界面，单击“高级设置”，在“高级设置”界面，勾选“指定身份验证模式”，并选择身份验证模式为“用户身份验证”，单击“确定”。
   • 认证通过后，在AC上选择“监控 > 用户”，可以看到员工的在线信息。