锐捷WLAN对接认证服务器实现准入控制实验(CLI)
本文仅用于WLAN认证学习!!!一、拓扑图
https://i-blog.csdnimg.cn/direct/03bf866cb75d41fba7f1f5ee1caddd3a.png
二、装备清单
装备型号装备名称RG-WS6008AC1RG-WS6008AC2RG-S5760C-24GT8XS-XSW1RG-AP520AP1RG-AP520AP2RG-SMP+AAA
三、数据规划
装备接口IP地址描述AC1VLAN1010.1.10.11/24AC1与SW互联地址 LoopBack011.0.0.11/32 AC1管理地址
AC2VLAN1010.1.10.22/24AC2与SW互联地址 LoopBack022.0.0.22/32AC2管理地址SWVLAN1010.1.10.1/24SW与AC1/AC2互联地址 VLAN2010.1.20.1/24AP管理地址网关 VLAN3010.1.30.1/24WLAN业务网关 LoopBack01.0.0.1/32SW管理地址
四、无线网络配置
1. 在全网Trunk链路上做VLAN修剪。
#SW1
SW1(config)#vlan range 10,20,30
SW1(config)#interface range GigabitEthernet 0/1-2
SW1(config-if-range)# switchport mode trunk
SW1(config-if-range)# switchport trunk allowed vlan only 10,20,30
SW1(config)#interface range GigabitEthernet 0/11-12
SW1(config-if-range)# switchport mode trunk
SW1(config-if-range)# switchport trunk allowed vlan only 10,20,30
SW1(config-if-range)# switchport trunk native vlan 20
#AC1
AC1(config)#vlan 10
AC1(config)#interface GigabitEthernet 0/1
AC1(config-if-GigabitEthernet 0/1)#switchport mode trunk
AC1(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan only 10
#AC2
AC2(config)#vlan 10
AC2(config)#interface GigabitEthernet 0/1
AC2(config-if-GigabitEthernet 0/1)#switchport mode trunk
AC2(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan only 10 2. 根据数据规划表配置装备IP地址信息。
#SW1
interface Loopback 0
ip address 1.0.0.1 255.255.255.255
!
interface VLAN 10
ip address 10.1.10.1 255.255.255.0
!
interface VLAN 20
ip address 10.1.20.1 255.255.255.0
!
interface VLAN 30
ip address 10.1.30.1 255.255.255.0
!
interface VLAN 40
ip address 192.168.1.254 255.255.255.0
#AC1
!
interface Loopback 0
ip address 11.0.0.11 255.255.255.255
!
interface VLAN 10
ip address 10.1.10.11 255.255.255.0
#AC2
!
interface Loopback 0
ip address 22.0.0.22 255.255.255.255
!
interface VLAN 10
ip address 10.1.10.22 255.255.255.0
3. 使用SW作为无线用户和无线AP的DHCP服务器。
#SW1
SW1(config)#service dhcp
SW1(config)#ip dhcp pool ap
SW1(dhcp-config)#network 10.1.20.0 255.255.255.0
SW1(dhcp-config)#default-router 10.1.20.1
SW1(dhcp-config)#option 138 ip 11.0.0.11 22.0.0.22
SW1(config)#ip dhcp pool wlan
SW1(dhcp-config)#network 10.1.30.0 255.255.255.0
SW1(dhcp-config)#default-router 10.1.30.1 验证:
https://i-blog.csdnimg.cn/direct/2bc8556be5594936b2ff0f365bcac789.png
4. AC1/AC2/SW之间配置静态路由,包管SMP+与装备管理地址之间可以正常通讯。
#SW1
SW1(config)#ip route 11.0.0.11 255.255.255.255 10.1.10.11
SW1(config)#ip route 22.0.0.22 255.255.255.255 10.1.10.22
#AC1
AC1(config)#ip route 0.0.0.0 0.0.0.0 10.1.10.1
#AC2
AC2(config)#ip route 0.0.0.0 0.0.0.0 10.1.10.1 5. 创建内网SSID为Ruijie-8021X,WLAN ID为1,AP-Group为Ruijie,STA1关联SSID后可获取VLAN30地址,开启802.1X认证。
6. 创建内网SSID为Ruijie-WEB,WLAN ID为2,AP-Group为Ruijie,STA2关联SSID后可获取VLAN30地址,开启WEB认证。
#AC1
AC1(config)#ac-controller
AC1(config-ac)#capwap ctrl-ip 11.0.0.11
AC1(config)#wlan-config 1 Ruijie-802.1x
AC1(config)#wlan-config 2 Ruijie-WEB
AC1(config)#ap-group Ruijie
AC1(config-group)#interface-mapping 1 30
AC1(config-group)#interface-mapping 2 30
AC1(config)#ap-config 0074.9ce8.fe08
AC1(config-ap)#ap-name AP1
AC1(config-ap)#ap-group Ruijie
AC1(config)#wlansec 1
AC1(config-wlansec)#security rsn enable
AC1(config-wlansec)#security rsn ciphers aes enable
AC1(config-wlansec)#security rsn akm 802.1x enable
AC1(config)#wlansec 2
AC1(config-wlansec)#security wpa enable
AC1(config-wlansec)#security wpa ciphers aes enable
AC1(config-wlansec)#security wpa akm psk enable
AC1(config-wlansec)#security wpa akm psk set-key ascii Ruijie12@#$
#AC2
AC2(config)#ac-controller
AC2(config-ac)#capwap ctrl-ip 22.0.0.22
AC2(config)#wlan-config 1 Ruijie-802.1x
AC2(config)#wlan-config 2 Ruijie-WEB
AC2(config)#ap-group Ruijie
AC2(config-group)#interface-mapping 1 30
AC2(config-group)#interface-mapping 2 30
AC2(config)#ap-config 0074.9ce8.f690
AC2(config-ap)#ap-name AP2
AC2(config-ap)#ap-group Ruijie
AC2(config)#wlansec 1
AC2(config-wlansec)#security rsn enable
AC2(config-wlansec)#security rsn ciphers aes enable
AC2(config-wlansec)#security rsn akm 802.1x enable
AC2(config)#wlansec 2
AC2(config-wlansec)#security wpa enable
AC2(config-wlansec)#security wpa ciphers aes enable
AC2(config-wlansec)#security wpa akm psk enable
AC2(config-wlansec)#security wpa akm psk set-key ascii Ruijie12@#$ 验证:
https://i-blog.csdnimg.cn/direct/1b278f9ee46441cca373ca62092d50eb.png
https://i-blog.csdnimg.cn/direct/1c81d57ddf654b85894d3334906e23d7.png
https://i-blog.csdnimg.cn/direct/7cac739545954e0896eef32b28b8bf20.png
https://i-blog.csdnimg.cn/direct/f4be08fff8c04c0d9a4b76fc84acc1dd.png
7. AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去毗连时能无缝切换至AC2并提供服务。无线网络使用本地转发模式。
#AC1
AC1(config)#wlan hot-backup 22.0.0.22
AC1(config-hotbackup)#work-mode quick-switch
AC1(config-hotbackup)#local-ip 11.0.0.11
AC1(config-hotbackup)#context 1
AC1(config-hotbackup-ctx)#ap-group Ruijie
AC1(config-hotbackup-ctx)#priority level 7
AC1(config-hotbackup)#wlan hot-backup enable
#AC2
AC2(config)#wlan hot-backup 11.0.0.11
AC2(config-hotbackup)#work-mode quick-switch
AC2(config-hotbackup)#local-ip 22.0.0.22
AC2(config-hotbackup)#context 1
AC2(config-hotbackup-ctx)#ap-group Ruijie
AC2(config-hotbackup-ctx)#priority level 1
AC2(config-hotbackup)#wlan hot-backup enable 验证:
https://i-blog.csdnimg.cn/direct/52cc9733207447b7b8fbddf5ad5a2130.png
https://i-blog.csdnimg.cn/direct/2194a278995e4d20a9b96f88bf30a0e4.png
https://i-blog.csdnimg.cn/direct/a756849df78f44c6b9cee790cf21abf9.png
https://i-blog.csdnimg.cn/direct/62b60939d45b4b9aa3ff4535fc9f7fb7.png
8. AC1、AC2、SW上配置与认证服务器对接的配置
802.1X
#SW1
SW1(config)#aaa new-model
SW1(config)#aaa accounting update
SW1(config)#aaa authentication dot1x default group radius
SW1(config)#aaa accounting network default start-stop group radius
SW1(config)#radius-server host 192.168.1.100 key ruijie
SW1(config)#ip radius source-interface loopback 0
SW1(config)#dot1x authentication default
SW1(config)#dot1x accounting default
SW1(config)#enable service snmp-agent
SW1(config)#snmp-server enable traps
SW1(config)#snmp-server enable version v2c
SW1(config)#snmp-server community ruijie@123 rw
#AC1
AC1(config)#aaa new-model
AC1(config)#aaa accounting update
AC1(config)#aaa authentication dot1x default group radius
AC1(config)#aaa accounting network default start-stop group radius
AC1(config)#radius-server host 192.168.1.100 key ruijie
AC1(config)#ip radius source-interface loopback 0
AC1(config)#dot1x authentication default
AC1(config)#dot1x accounting default
AC1(config)#snmp-server community ruijie@123 rw
#AC2
AC2(config)#aaa new-model
AC2(config)#aaa accounting update
AC2(config)#aaa authentication dot1x default group radius
AC2(config)#aaa accounting network default start-stop group radius
AC2(config)#radius-server host 192.168.1.100 key ruijie
AC2(config)#ip radius source-interface loopback 0
AC2(config)#dot1x authentication default
AC2(config)#dot1x accounting default
AC2(config)#snmp-server community ruijie@123 rw
Protal
#AC1
AC1(config)#aaa authentication web-auth default group radius
AC1(config)#ip portal source-interface loopback 0
AC1(config)#web-auth template eportalv2
AC1(config.tmplt.eportalv2)#ip 192.168.1.100
AC1(config.tmplt.eportalv2)#url http://192.168.1.100/portal/entry
AC1(config.tmplt.eportalv2)#exit
AC1(config)#web-auth portal key ruijie
AC1(config)#http redirect direct-arp 10.1.30.1
AC1(config)#wlansec 1
AC1(config-wlansec)#web-auth portal eportalv2
AC1(config-wlansec)#webauth
#AC2
AC2(config)#aaa authentication web-auth default group radius
AC2(config)#ip portal source-interface loopback 0
AC2(config)#web-auth template eportalv2
AC2(config.tmplt.eportalv2)#ip 192.168.1.100
AC2(config.tmplt.eportalv2)#url http://192.168.1.100/portal/entry
AC2(config.tmplt.eportalv2)#exit
AC2(config)#web-auth portal key ruijie
AC2(config)#http redirect direct-arp 10.1.30.1
AC2(config)#wlansec 1
AC2(config-wlansec)#web-auth portal eportalv2
AC2(config-wlansec)#webauth 9. SMP+创建8021X、WEB用户用于802.1X、WEB认证。
802.1x配置
(1)输入SMP+管理地址,输入用户名和密码进行登录
https://i-blog.csdnimg.cn/direct/bf6f9434008a4d88af8e9b5f4632361c.png
https://i-blog.csdnimg.cn/direct/0aa5232f5b3e463da30ca19f77b2f175.png
(2)点击装备管理---专家功能---装备模版管理---添加--输入模版名称以及用途--配置基本信息
https://i-blog.csdnimg.cn/direct/95b1a2ef7993429fb8ff07a552012f15.png
https://i-blog.csdnimg.cn/direct/93640234953142b98303dc4127767c2c.png
(3)配置模版功能
https://i-blog.csdnimg.cn/direct/e66b710acf9845e7afbbddd3b35ae765.png
https://i-blog.csdnimg.cn/direct/6507dba6d54246928c7e42823934fbf3.png
(4)配置协议参数
https://i-blog.csdnimg.cn/direct/04a4a140f7bc47268fb8ed8de6708ed1.png
(5)点击装备管理添加装备,选择装备模版
https://i-blog.csdnimg.cn/direct/3f2fd38199f54b638ecc775c484087a5.png
https://i-blog.csdnimg.cn/direct/80432cb65d854ed28668a763b5fe7a9d.png
https://i-blog.csdnimg.cn/direct/908170efcf0c4dc991348c8b8134026e.png
https://i-blog.csdnimg.cn/direct/cddb98240ba2466f9a0ab35d59700f31.png
https://i-blog.csdnimg.cn/direct/eb021bb4bccc4c34b084adefb28fb63f.png
https://i-blog.csdnimg.cn/direct/dc20b94ed14a4514956fa242d680e016.png
(6)创建认证用户
https://i-blog.csdnimg.cn/direct/07c315fe2c1b47d780aac09a92cb58d1.png
https://i-blog.csdnimg.cn/direct/15401749a635413bbb6f9751b6fae8a2.png
(7)创建认证策略
https://i-blog.csdnimg.cn/direct/f38c296c9fd142e2a74c2854d6f92762.png
https://i-blog.csdnimg.cn/direct/6011f89f3e534822bfd643677b5a8a1f.png
验证:
STA1毗连SSID Ruijie-8021X
https://i-blog.csdnimg.cn/direct/9570db9d2672484fad7218edb6221196.png
https://i-blog.csdnimg.cn/direct/cf154de8bda74c5c966d3045d304b82f.png
https://i-blog.csdnimg.cn/direct/37b4a7d40ddf43c8a20cebf48fb3553c.png
平台查看在线用户
https://i-blog.csdnimg.cn/direct/aa7a26dceee34d80a741fecc03d366b5.png
AC查看在线用户
https://i-blog.csdnimg.cn/direct/45e20193482c4b0aa1fd6f0828a11378.png
Portal认证配置
(1)SMP eportal添加AC
https://i-blog.csdnimg.cn/direct/47015e71f18a4d609478339d5be1d052.png
https://i-blog.csdnimg.cn/direct/a7007d61266e4c74beb24d421e92b4f1.png
https://i-blog.csdnimg.cn/direct/c622a4e2cf594540b332eac6dc14f9fd.png
https://i-blog.csdnimg.cn/direct/f7436db9a5fe49a18aab7587dd14769a.png
(2)配置认证策略
https://i-blog.csdnimg.cn/direct/0b4a5842a69d4b7d9c75c23f5af1df5b.png
(3)配置准入策略,添加认证条件,并开启准入策略
https://i-blog.csdnimg.cn/direct/6479965a2fe445debcb5f4dd88e594ce.png
https://i-blog.csdnimg.cn/direct/af629f3ccd4148d584df95526fb5788b.png
https://i-blog.csdnimg.cn/direct/06528b98ba3646b2b7c58f94e4063e12.png
(4)STA2毗连SSID Ruijie-WEB
https://i-blog.csdnimg.cn/direct/2fd189e8d4404abd8bd6acb8be5f151b.png
https://i-blog.csdnimg.cn/direct/3b1516f280c647399b37e7b430ac46d2.png
(5)毗连SSID成功后,欣赏器输入1.2.3.4,主动跳转至认证界面
https://i-blog.csdnimg.cn/direct/91bbe0c4870040908bbecee2176ea85f.png
(6)输入用户名和密码完成认证
https://i-blog.csdnimg.cn/direct/776491eff289437d9cd74cbb26c4ae2c.png
验证:
AC上查看web认证在线用户
https://i-blog.csdnimg.cn/direct/9b72e56b13c24d00a04f281179ec8f3a.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]