本文仅用于WLAN认证学习!!!
一、拓扑图
二、装备清单
| 装备型号 | 装备名称 | | RG-WS6008 | AC1 | | RG-WS6008 | AC2 | | RG-S5760C-24GT8XS-X | SW1 | | RG-AP520 | AP1 | | RG-AP520 | AP2 | | RG-SMP+ | AAA |
三、数据规划
| 装备 | 接口 | IP地址 | 描述 | | AC1 | VLAN10 | 10.1.10.11/24 | AC1与SW互联地址 | | | LoopBack0 | 11.0.0.11/32 | AC1管理地址
| | AC2 | VLAN10 | 10.1.10.22/24 | AC2与SW互联地址 | | | LoopBack0 | 22.0.0.22/32 | AC2管理地址 | | SW | VLAN10 | 10.1.10.1/24 | SW与AC1/AC2互联地址 | | | VLAN20 | 10.1.20.1/24 | AP管理地址网关 | | | VLAN30 | 10.1.30.1/24 | WLAN业务网关 | | | LoopBack0 | 1.0.0.1/32 | SW管理地址 |
四、无线网络配置
1. 在全网Trunk链路上做VLAN修剪。
- #SW1
- SW1(config)#vlan range 10,20,30
- SW1(config)#interface range GigabitEthernet 0/1-2
- SW1(config-if-range)# switchport mode trunk
- SW1(config-if-range)# switchport trunk allowed vlan only 10,20,30
- SW1(config)#interface range GigabitEthernet 0/11-12
- SW1(config-if-range)# switchport mode trunk
- SW1(config-if-range)# switchport trunk allowed vlan only 10,20,30
- SW1(config-if-range)# switchport trunk native vlan 20
- #AC1
- AC1(config)#vlan 10
- AC1(config)#interface GigabitEthernet 0/1
- AC1(config-if-GigabitEthernet 0/1)#switchport mode trunk
- AC1(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan only 10
- #AC2
- AC2(config)#vlan 10
- AC2(config)#interface GigabitEthernet 0/1
- AC2(config-if-GigabitEthernet 0/1)#switchport mode trunk
- AC2(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan only 10
- #SW1
- interface Loopback 0
- ip address 1.0.0.1 255.255.255.255
- !
- interface VLAN 10
- ip address 10.1.10.1 255.255.255.0
- !
- interface VLAN 20
- ip address 10.1.20.1 255.255.255.0
- !
- interface VLAN 30
- ip address 10.1.30.1 255.255.255.0
- !
- interface VLAN 40
- ip address 192.168.1.254 255.255.255.0
- #AC1
- !
- interface Loopback 0
- ip address 11.0.0.11 255.255.255.255
- !
- interface VLAN 10
- ip address 10.1.10.11 255.255.255.0
- #AC2
- !
- interface Loopback 0
- ip address 22.0.0.22 255.255.255.255
- !
- interface VLAN 10
- ip address 10.1.10.22 255.255.255.0
- #SW1
- SW1(config)#service dhcp
- SW1(config)#ip dhcp pool ap
- SW1(dhcp-config)#network 10.1.20.0 255.255.255.0
- SW1(dhcp-config)#default-router 10.1.20.1
- SW1(dhcp-config)#option 138 ip 11.0.0.11 22.0.0.22
- SW1(config)#ip dhcp pool wlan
- SW1(dhcp-config)#network 10.1.30.0 255.255.255.0
- SW1(dhcp-config)#default-router 10.1.30.1
4. AC1/AC2/SW之间配置静态路由,包管SMP+与装备管理地址之间可以正常通讯。
- #SW1
- SW1(config)#ip route 11.0.0.11 255.255.255.255 10.1.10.11
- SW1(config)#ip route 22.0.0.22 255.255.255.255 10.1.10.22
- #AC1
- AC1(config)#ip route 0.0.0.0 0.0.0.0 10.1.10.1
- #AC2
- AC2(config)#ip route 0.0.0.0 0.0.0.0 10.1.10.1
6. 创建内网SSID为Ruijie-WEB,WLAN ID为2,AP-Group为Ruijie,STA2关联SSID后可获取VLAN30地址,开启WEB认证。
- #AC1
- AC1(config)#ac-controller
- AC1(config-ac)#capwap ctrl-ip 11.0.0.11
- AC1(config)#wlan-config 1 Ruijie-802.1x
- AC1(config)#wlan-config 2 Ruijie-WEB
- AC1(config)#ap-group Ruijie
- AC1(config-group)#interface-mapping 1 30
- AC1(config-group)#interface-mapping 2 30
- AC1(config)#ap-config 0074.9ce8.fe08
- AC1(config-ap)#ap-name AP1
- AC1(config-ap)#ap-group Ruijie
- AC1(config)#wlansec 1
- AC1(config-wlansec)#security rsn enable
- AC1(config-wlansec)#security rsn ciphers aes enable
- AC1(config-wlansec)#security rsn akm 802.1x enable
- AC1(config)#wlansec 2
- AC1(config-wlansec)#security wpa enable
- AC1(config-wlansec)#security wpa ciphers aes enable
- AC1(config-wlansec)#security wpa akm psk enable
- AC1(config-wlansec)#security wpa akm psk set-key ascii Ruijie12@#$
- #AC2
- AC2(config)#ac-controller
- AC2(config-ac)#capwap ctrl-ip 22.0.0.22
- AC2(config)#wlan-config 1 Ruijie-802.1x
- AC2(config)#wlan-config 2 Ruijie-WEB
- AC2(config)#ap-group Ruijie
- AC2(config-group)#interface-mapping 1 30
- AC2(config-group)#interface-mapping 2 30
- AC2(config)#ap-config 0074.9ce8.f690
- AC2(config-ap)#ap-name AP2
- AC2(config-ap)#ap-group Ruijie
- AC2(config)#wlansec 1
- AC2(config-wlansec)#security rsn enable
- AC2(config-wlansec)#security rsn ciphers aes enable
- AC2(config-wlansec)#security rsn akm 802.1x enable
- AC2(config)#wlansec 2
- AC2(config-wlansec)#security wpa enable
- AC2(config-wlansec)#security wpa ciphers aes enable
- AC2(config-wlansec)#security wpa akm psk enable
- AC2(config-wlansec)#security wpa akm psk set-key ascii Ruijie12@#$
7. AC1为主用,AC2为备用。AP与AC1、AC2均建立隧道,当AP与AC1失去毗连时能无缝切换至AC2并提供服务。无线网络使用本地转发模式。
- #AC1
- AC1(config)#wlan hot-backup 22.0.0.22
- AC1(config-hotbackup)#work-mode quick-switch
- AC1(config-hotbackup)#local-ip 11.0.0.11
- AC1(config-hotbackup)#context 1
- AC1(config-hotbackup-ctx)#ap-group Ruijie
- AC1(config-hotbackup-ctx)#priority level 7
- AC1(config-hotbackup)#wlan hot-backup enable
- #AC2
- AC2(config)#wlan hot-backup 11.0.0.11
- AC2(config-hotbackup)#work-mode quick-switch
- AC2(config-hotbackup)#local-ip 22.0.0.22
- AC2(config-hotbackup)#context 1
- AC2(config-hotbackup-ctx)#ap-group Ruijie
- AC2(config-hotbackup-ctx)#priority level 1
- AC2(config-hotbackup)#wlan hot-backup enable
8. AC1、AC2、SW上配置与认证服务器对接的配置
- 802.1X
- #SW1
- SW1(config)#aaa new-model
- SW1(config)#aaa accounting update
- SW1(config)#aaa authentication dot1x default group radius
- SW1(config)#aaa accounting network default start-stop group radius
- SW1(config)#radius-server host 192.168.1.100 key ruijie
- SW1(config)#ip radius source-interface loopback 0
- SW1(config)#dot1x authentication default
- SW1(config)#dot1x accounting default
- SW1(config)#enable service snmp-agent
- SW1(config)#snmp-server enable traps
- SW1(config)#snmp-server enable version v2c
- SW1(config)#snmp-server community ruijie@123 rw
- #AC1
- AC1(config)#aaa new-model
- AC1(config)#aaa accounting update
- AC1(config)#aaa authentication dot1x default group radius
- AC1(config)#aaa accounting network default start-stop group radius
- AC1(config)#radius-server host 192.168.1.100 key ruijie
- AC1(config)#ip radius source-interface loopback 0
- AC1(config)#dot1x authentication default
- AC1(config)#dot1x accounting default
- AC1(config)#snmp-server community ruijie@123 rw
- #AC2
- AC2(config)#aaa new-model
- AC2(config)#aaa accounting update
- AC2(config)#aaa authentication dot1x default group radius
- AC2(config)#aaa accounting network default start-stop group radius
- AC2(config)#radius-server host 192.168.1.100 key ruijie
- AC2(config)#ip radius source-interface loopback 0
- AC2(config)#dot1x authentication default
- AC2(config)#dot1x accounting default
- AC2(config)#snmp-server community ruijie@123 rw
- Protal
- #AC1
- AC1(config)#aaa authentication web-auth default group radius
- AC1(config)#ip portal source-interface loopback 0
- AC1(config)#web-auth template eportalv2
- AC1(config.tmplt.eportalv2)#ip 192.168.1.100
- AC1(config.tmplt.eportalv2)#url http://192.168.1.100/portal/entry
- AC1(config.tmplt.eportalv2)#exit
- AC1(config)#web-auth portal key ruijie
- AC1(config)#http redirect direct-arp 10.1.30.1
- AC1(config)#wlansec 1
- AC1(config-wlansec)#web-auth portal eportalv2
- AC1(config-wlansec)#webauth
- #AC2
- AC2(config)#aaa authentication web-auth default group radius
- AC2(config)#ip portal source-interface loopback 0
- AC2(config)#web-auth template eportalv2
- AC2(config.tmplt.eportalv2)#ip 192.168.1.100
- AC2(config.tmplt.eportalv2)#url http://192.168.1.100/portal/entry
- AC2(config.tmplt.eportalv2)#exit
- AC2(config)#web-auth portal key ruijie
- AC2(config)#http redirect direct-arp 10.1.30.1
- AC2(config)#wlansec 1
- AC2(config-wlansec)#web-auth portal eportalv2
- AC2(config-wlansec)#webauth
802.1x配置
(1)输入SMP+管理地址,输入用户名和密码进行登录
(2)点击装备管理---专家功能---装备模版管理---添加--输入模版名称以及用途--配置基本信息
(3)配置模版功能
(4)配置协议参数
(5)点击装备管理添加装备,选择装备模版
(6)创建认证用户
(7)创建认证策略
验证:
STA1毗连SSID Ruijie-8021X
平台查看在线用户
AC查看在线用户
Portal认证配置
(1)SMP eportal添加AC
(2)配置认证策略
(3)配置准入策略,添加认证条件,并开启准入策略
(4)STA2毗连SSID Ruijie-WEB
(5)毗连SSID成功后,欣赏器输入1.2.3.4,主动跳转至认证界面
(6)输入用户名和密码完成认证
验证:
AC上查看web认证在线用户
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
