锐捷WLAN对接认证服务器实现准入控制实验（CLI）

本文仅用于WLAN认证学习！！！
一、拓扑图

 

二、装备清单

装备型号	装备名称
RG-WS6008	AC1
RG-WS6008	AC2
RG-S5760C-24GT8XS-X	SW1
RG-AP520	AP1
RG-AP520	AP2
RG-SMP+	AAA

 
 

 

 

 

 

 

 

三、数据规划

装备	接口	IP地址	描述
AC1	VLAN10	10.1.10.11/24	AC1与SW互联地址
	LoopBack0	11.0.0.11/32	AC1管理地址
AC2	VLAN10	10.1.10.22/24	AC2与SW互联地址
	LoopBack0	22.0.0.22/32	AC2管理地址
SW	VLAN10	10.1.10.1/24	SW与AC1/AC2互联地址
	VLAN20	10.1.20.1/24	AP管理地址网关
	VLAN30	10.1.30.1/24	WLAN业务网关
	LoopBack0	1.0.0.1/32	SW管理地址

 
 
 
 
 
 
 
 
 
 
四、无线网络配置

1. 在全网Trunk链路上做VLAN修剪。

1. #SW1
2. SW1(config)#vlan range 10,20,30
3. SW1(config)#interface range GigabitEthernet 0/1-2
4. SW1(config-if-range)# switchport mode trunk
5. SW1(config-if-range)# switchport trunk allowed vlan only 10,20,30
6. SW1(config)#interface range GigabitEthernet 0/11-12
7. SW1(config-if-range)# switchport mode trunk
8. SW1(config-if-range)# switchport trunk allowed vlan only 10,20,30
9. SW1(config-if-range)# switchport trunk native vlan 20
11. #AC1
12. AC1(config)#vlan 10
13. AC1(config)#interface GigabitEthernet 0/1
14. AC1(config-if-GigabitEthernet 0/1)#switchport mode trunk
15. AC1(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan only 10
17. #AC2
18. AC2(config)#vlan 10
19. AC2(config)#interface GigabitEthernet 0/1
20. AC2(config-if-GigabitEthernet 0/1)#switchport mode trunk
21. AC2(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan only 10

复制代码

2. 根据数据规划表配置装备IP地址信息。

1. #SW1
2. interface Loopback 0
3. ip address 1.0.0.1 255.255.255.255
4. !
5. interface VLAN 10
6. ip address 10.1.10.1 255.255.255.0
7. !
8. interface VLAN 20
9. ip address 10.1.20.1 255.255.255.0
10. !
11. interface VLAN 30
12. ip address 10.1.30.1 255.255.255.0
13. !
14. interface VLAN 40
15. ip address 192.168.1.254 255.255.255.0
17. #AC1
18. !
19. interface Loopback 0
20. ip address 11.0.0.11 255.255.255.255
21. !
22. interface VLAN 10
23. ip address 10.1.10.11 255.255.255.0
25. #AC2
26. !
27. interface Loopback 0
28. ip address 22.0.0.22 255.255.255.255
29. !
30. interface VLAN 10
31. ip address 10.1.10.22 255.255.255.0

复制代码

3. 使用SW作为无线用户和无线AP的DHCP服务器。

1. #SW1
2. SW1(config)#service dhcp
3. SW1(config)#ip dhcp pool ap
4. SW1(dhcp-config)#network 10.1.20.0 255.255.255.0
5. SW1(dhcp-config)#default-router 10.1.20.1
6. SW1(dhcp-config)#option 138 ip 11.0.0.11 22.0.0.22
7. SW1(config)#ip dhcp pool wlan
8. SW1(dhcp-config)#network 10.1.30.0 255.255.255.0
9. SW1(dhcp-config)#default-router 10.1.30.1

复制代码

验证：

4. AC1/AC2/SW之间配置静态路由，包管SMP+与装备管理地址之间可以正常通讯。

1. #SW1
2. SW1(config)#ip route 11.0.0.11 255.255.255.255 10.1.10.11
3. SW1(config)#ip route 22.0.0.22 255.255.255.255 10.1.10.22
5. #AC1
6. AC1(config)#ip route 0.0.0.0 0.0.0.0 10.1.10.1
8. #AC2
9. AC2(config)#ip route 0.0.0.0 0.0.0.0 10.1.10.1

复制代码

5. 创建内网SSID为Ruijie-8021X，WLAN ID为1，AP-Group为Ruijie，STA1关联SSID后可获取VLAN30地址，开启802.1X认证。

6. 创建内网SSID为Ruijie-WEB，WLAN ID为2，AP-Group为Ruijie，STA2关联SSID后可获取VLAN30地址，开启WEB认证。

1. #AC1
2. AC1(config)#ac-controller
3. AC1(config-ac)#capwap ctrl-ip 11.0.0.11
4. AC1(config)#wlan-config 1 Ruijie-802.1x
5. AC1(config)#wlan-config 2 Ruijie-WEB
6. AC1(config)#ap-group Ruijie
7. AC1(config-group)#interface-mapping 1 30
8. AC1(config-group)#interface-mapping 2 30
10. AC1(config)#ap-config 0074.9ce8.fe08
11. AC1(config-ap)#ap-name AP1
12. AC1(config-ap)#ap-group Ruijie
14. AC1(config)#wlansec 1
15. AC1(config-wlansec)#security rsn enable
16. AC1(config-wlansec)#security rsn ciphers aes enable
17. AC1(config-wlansec)#security rsn akm 802.1x enable
18. AC1(config)#wlansec 2
19. AC1(config-wlansec)#security wpa enable
20. AC1(config-wlansec)#security wpa ciphers aes enable
21. AC1(config-wlansec)#security wpa akm psk enable
22. AC1(config-wlansec)#security wpa akm psk set-key ascii Ruijie12@#$
24. #AC2
25. AC2(config)#ac-controller
26. AC2(config-ac)#capwap ctrl-ip 22.0.0.22
27. AC2(config)#wlan-config 1 Ruijie-802.1x
28. AC2(config)#wlan-config 2 Ruijie-WEB
29. AC2(config)#ap-group Ruijie
30. AC2(config-group)#interface-mapping 1 30
31. AC2(config-group)#interface-mapping 2 30
33. AC2(config)#ap-config 0074.9ce8.f690
34. AC2(config-ap)#ap-name AP2
35. AC2(config-ap)#ap-group Ruijie
37. AC2(config)#wlansec 1
38. AC2(config-wlansec)#security rsn enable
39. AC2(config-wlansec)#security rsn ciphers aes enable
40. AC2(config-wlansec)#security rsn akm 802.1x enable
41. AC2(config)#wlansec 2
42. AC2(config-wlansec)#security wpa enable
43. AC2(config-wlansec)#security wpa ciphers aes enable
44. AC2(config-wlansec)#security wpa akm psk enable
45. AC2(config-wlansec)#security wpa akm psk set-key ascii Ruijie12@#$

复制代码

验证：
 

7. AC1为主用，AC2为备用。AP与AC1、AC2均建立隧道，当AP与AC1失去毗连时能无缝切换至AC2并提供服务。无线网络使用本地转发模式。

1. #AC1
2. AC1(config)#wlan hot-backup 22.0.0.22
3. AC1(config-hotbackup)#work-mode quick-switch
4. AC1(config-hotbackup)#local-ip 11.0.0.11
5. AC1(config-hotbackup)#context 1
6. AC1(config-hotbackup-ctx)#ap-group Ruijie
7. AC1(config-hotbackup-ctx)#priority level 7
8. AC1(config-hotbackup)#wlan hot-backup enable
10. #AC2
11. AC2(config)#wlan hot-backup 11.0.0.11
12. AC2(config-hotbackup)#work-mode quick-switch
13. AC2(config-hotbackup)#local-ip 22.0.0.22
14. AC2(config-hotbackup)#context 1
15. AC2(config-hotbackup-ctx)#ap-group Ruijie
16. AC2(config-hotbackup-ctx)#priority level 1
17. AC2(config-hotbackup)#wlan hot-backup enable

复制代码

验证：
 

8. AC1、AC2、SW上配置与认证服务器对接的配置

1. 802.1X
2. #SW1
3. SW1(config)#aaa new-model
4. SW1(config)#aaa accounting update
5. SW1(config)#aaa authentication dot1x default group radius
6. SW1(config)#aaa accounting network default start-stop group radius
7. SW1(config)#radius-server host 192.168.1.100 key ruijie
8. SW1(config)#ip radius source-interface loopback 0
9. SW1(config)#dot1x authentication default
10. SW1(config)#dot1x accounting default
11. SW1(config)#enable service snmp-agent
12. SW1(config)#snmp-server enable traps
13. SW1(config)#snmp-server enable version v2c
14. SW1(config)#snmp-server community ruijie@123 rw
16. #AC1
17. AC1(config)#aaa new-model
18. AC1(config)#aaa accounting update
19. AC1(config)#aaa authentication dot1x default group radius
20. AC1(config)#aaa accounting network default start-stop group radius
21. AC1(config)#radius-server host 192.168.1.100 key ruijie
22. AC1(config)#ip radius source-interface loopback 0
23. AC1(config)#dot1x authentication default
24. AC1(config)#dot1x accounting default
25. AC1(config)#snmp-server community ruijie@123 rw
27. #AC2
28. AC2(config)#aaa new-model
29. AC2(config)#aaa accounting update
30. AC2(config)#aaa authentication dot1x default group radius
31. AC2(config)#aaa accounting network default start-stop group radius
32. AC2(config)#radius-server host 192.168.1.100 key ruijie
33. AC2(config)#ip radius source-interface loopback 0
34. AC2(config)#dot1x authentication default
35. AC2(config)#dot1x accounting default
36. AC2(config)#snmp-server community ruijie@123 rw
38. Protal
39. #AC1
40. AC1(config)#aaa authentication web-auth default group radius
41. AC1(config)#ip portal source-interface loopback 0
42. AC1(config)#web-auth template eportalv2
43. AC1(config.tmplt.eportalv2)#ip 192.168.1.100
44. AC1(config.tmplt.eportalv2)#url http://192.168.1.100/portal/entry
45. AC1(config.tmplt.eportalv2)#exit
46. AC1(config)#web-auth portal key ruijie
47. AC1(config)#http redirect direct-arp 10.1.30.1
48. AC1(config)#wlansec 1
49. AC1(config-wlansec)#web-auth portal eportalv2
50. AC1(config-wlansec)#webauth
52. #AC2
53. AC2(config)#aaa authentication web-auth default group radius
54. AC2(config)#ip portal source-interface loopback 0
55. AC2(config)#web-auth template eportalv2
56. AC2(config.tmplt.eportalv2)#ip 192.168.1.100
57. AC2(config.tmplt.eportalv2)#url http://192.168.1.100/portal/entry
58. AC2(config.tmplt.eportalv2)#exit
59. AC2(config)#web-auth portal key ruijie
60. AC2(config)#http redirect direct-arp 10.1.30.1
61. AC2(config)#wlansec 1
62. AC2(config-wlansec)#web-auth portal eportalv2
63. AC2(config-wlansec)#webauth

复制代码

9. SMP+创建8021X、WEB用户用于802.1X、WEB认证。

802.1x配置

（1）输入SMP+管理地址，输入用户名和密码进行登录

（2）点击装备管理---专家功能---装备模版管理---添加--输入模版名称以及用途--配置基本信息

（3）配置模版功能

（4）配置协议参数

（5）点击装备管理添加装备，选择装备模版

（6）创建认证用户

（7）创建认证策略

验证：
STA1毗连SSID Ruijie-8021X

平台查看在线用户

AC查看在线用户

 
Portal认证配置
（1）SMP eportal添加AC

（2）配置认证策略

（3）配置准入策略，添加认证条件，并开启准入策略

（4）STA2毗连SSID Ruijie-WEB

（5）毗连SSID成功后，欣赏器输入1.2.3.4，主动跳转至认证界面

（6）输入用户名和密码完成认证

验证：
AC上查看web认证在线用户

 
 
 
 

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。