H3C WX系列基于AP的用户接入控制典型配置举例

无线产品B58版本新特性案例

H3C WX系列基于AP的用户接入控制典型配置举例 关键词：User-profile，AP-Group

摘 要：本文介绍了用H3C公司WX系列AC部署基于AP接入控制解决方案时必需的配置。 缩略语： 缩略语

英文全名 中文解释

H

3C

无线产品B58版本新特性案例

目 录

1 特性简介..................................................................................................................................................1

1.1 特性介绍........................................................................................................................................1

1.2 特性优点........................................................................................................................................1

2 应用场合..................................................................................................................................................1

3 注意事项..................................................................................................................................................1

4 配置举例..................................................................................................................................................1

4.1 组网需求........................................................................................................................................1

4.2 配置思路........................................................................................................................................2

4.3 使用版本........................................................................................................................................2

4.4 配置步骤........................................................................................................................................2

4.5 注意事项........................................................................................................................................9

5 相关资料................................................................................................................................................10

5.1 相关协议和标准............................................................................................................................10

5.2 其它相关资料...............................................................................................................................10

H

3C

无线产品B58版本新特性案例

1 特性简介

1.1 特性介绍

基于User Profile机制和无线自身的AP Group机制，实现对无线用户（Client）在无线接入网中的接入位置的控制，确保Client只能通过特定的授权AP访问网络资源。

在集中控制的WLAN架构的组网环境中，这一访问权限的控制在AC上实现，而且控制策略的应用与接入网中采用的Client身份认证方式无关。此控制策略在Client漫游过程中也同样生效。

1.2 特性优点

通过本设置，可以控制用户的接入位置，即接入的AP。控制策略在Client漫游过程中也需要生效。对漫游的支持包含两方面的含义，其一为当已经接入的Client在同一AC控制的不同AP之间漫游时，AC应用同一策略对接入权限进行判断。另一方面，Mobility Group内各AC将会同步控制策略信息。当已经接入的Client在AC之间漫游时，不同的AC也能根据同步信息，控制该Client的接入权限。

2 应用场合

3 注意事项

4 配置举例

4.1 组网需求

无线用户通过AP接入网络。 (1) 接入设备上服务器端口配置正确。 (2) 相关AAA配置正确。

本配置举例中的AC使用的是WX3000系列有线无线一体化交换机设备，IP地址为100.1.1.1/16。Client和AP通过DHCP服务器获取IP地址

Radius server的IP地址为8.1.1.4/8。三层交换机L3SW的两个接口地址分别是100.1.1.254/16和8.100.1.254/8，同时作为DHCP Server。

H3C

无线产品B58版本新特性案例

图4-1 基于AP的用户接入控制组网图

4.2 配置思路

l

l 配置DOT1X 配置Radius服务器

4.3 使用版本

<AC> display version

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 3105

Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C WX3024 uptime is 0 week, 0 day, 9 hours, 43 minutes

H3C WX3024 with 1 RMI XLS 208 750MHz Processor

256M bytes DDR2

56M bytes Flash Memory

Config Register points to FLASH

Hardware Version is Ver.A

CPLD Version is 002

Basic Bootrom Version is 1.05

Extend Bootrom Version is 1.05

[Slot 0]WX3024LSW Hardware Version is NA

[Slot 1]WX3024RPU Hardware Version is Ver.A

<AC>

4.4 配置步骤

1. 配置信息：是否指服务模板下的开放认证方式，该配置是缺省配置，目前已不显示

<AC> display current-configuration

# H3C

无线产品B58版本新特性案例

version 5.20, Beta 3105

#

sysname AC

#

domain default enable cams

#

port-security enable

#

dot1x authentication-method eap

#

vlan 1

#

vlan 10

#

vlan 100

#

radius scheme cams

server-type extended

primary authentication 8.1.1.4

primary accounting 8.1.1.4

key authentication admin

key accounting admin

user-name-format without-domain

radius scheme system

primary authentication 127.0.0.1

primary accounting 127.0.0.1

key authentication admin

key accounting admin

accounting-on enable

#

domain cams

authentication default radius-scheme cams

authorization default radius-scheme cams

accounting default radius-scheme cams

access-limit disable

state active

idle-cut disable

self-service-url disable

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

wlan rrm

dot11a mandatory-rate 6 12 18 24

dot11a supported-rate 9 36 48 54

dot11b mandatory-rate 1 2 H3C

无线产品B58版本新特性案例

dot11b supported-rate 5.5 11

dot11g mandatory-rate 1 2 5.5 11

dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 5 crypto

ssid apgroup

bind WLAN-ESS 5

cipher-suite tkip

security-ie wpa

service-template enable

#

user-profile dot DOT1X

wlan permit-ap-group 1

#

interface NULL0

#

interface LoopBack0

#

interface Vlan-interface1

ip address 100.1.1.1 255.255.0.0

#

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid vlan 1 10 100 tagged

#

interface WLAN-ESS5

port-security port-mode userlogin-secure-ext

undo dot1x handshake

undo dot1x multicast-trigger

#

wlan ap ap22 model WA2220E-AG

serial-id 210235A29F007C000182

radio 1

radio 2

service-template 5

radio enable

#

wlan ap ap31 model WA2220E-AG

serial-id 210235A29F009A000231

radio 1

radio 2

service-template 5

radio enable

#

ip route-static 8.1.0.0 255.255.0.0 100.1.1.254

#

snmp-agent H port-security tx-key-type 11key 3C

无线产品B58版本新特性案例

snmp-agent local-engineid 800063A203000FE2129876

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info version all

#

user-profile dot enable

#

load xml-configuration

#

user-interface aux 0

idle-timeout 0 0

user-interface vty 0 4

authentication-mode none

user privilege level 3

#

wlan ap-group 1

ap ap22

#

return

<AC>

2. 主要配置步骤

在Dot1x接入端配置802.1x和认证。

# 启用端口安全port-security，配置Dot1x认证方式为EAP。

[AC] port-security enable

[AC] dot1x authentication-method eap

[AC] radius scheme cams

[AC-radius-cams] server-type extended

[AC-radius-cams] primary authentication 8.1.1.4

[AC-radius-cams] primary accounting 8.1.1.4

[AC-radius-cams] key authentication admin

[AC-radius-cams] key accounting admin

[AC-radius-cams] user-name-format without-domain

[AC-radius-cams] quit

# 配置认证域。

[AC] domain cams

[AC-isp-cams] authentication default radius-scheme cams

[AC-isp-cams] authorization default radius-scheme cams

[AC-isp-cams] accounting default radius-scheme cams

[AC-isp-cams] quit

# 把配置的认证域cams设置为系统缺省域。

[AC] domain default enable cams

# 配置无线口，并在无线口启用端口安全（802.1x认证）。

[AC] interface WLAN-ESS 5 H# 配置认证策略。 3C

无线产品B58版本新特性案例

[AC-WLAN-ESS5] port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS5] port-security tx-key-type 11key

[AC-WLAN-ESS5] undo dot1x handshake

[AC-WLAN-ESS5] undo dot1x multicast-trigger

[AC-WLAN-ESS5] quit

# 配置无线服务模板。

[AC] wlan service-template 5 crypto

[AC-wlan-st-5] ssid apgroup

[AC-wlan-st-5] bind WLAN-ESS 5

[AC-wlan-st-5] cipher-suite tkip

[AC-wlan-st-5] security-ie wpa

[AC-wlan-st-5] service-template enable

# 在AC下绑定无线服务模板。

注意：AP的配置需要根据具体AP的型号和序列号进行配置。

[AC] wlan ap ap22 model WA2220E-AG

[AC-wlan-ap-ap22] serial-id 210235A29F007C000182

[AC-wlan-ap-ap22]

[AC-wlan-ap-ap22] radio 2

[AC-wlan-ap-ap22-radio-2] radio enable

[AC-wlan-ap-ap22-radio-2] quit

[AC-wlan-ap-ap22] quit

[AC]wlan ap ap31 model WA2220E-AG

[AC-wlan-ap-ap31] serial-id 210235A29F009A000231

[AC-wlan-ap-ap31] radio 2

[AC-wlan-ap-ap31-radio-2] service-template 5

[AC-wlan-ap-ap31-radio-2] radio enable

[AC-wlan-ap-ap31-radio-2] quit

# 配置AP组，在AP组内添加允许接入的AP列表。

[AC] wlan ap-group 1

[AC-ap-group1] ap ap22

# 配置基于Dot1x用户的user-profile，添加允许接入的AP组，并使能user-profile。

[AC] user-profile dot DOT1X

[AC-user-profile-DOT1X-dot] wlan permit-ap-group 1

[AC-user-profile-DOT1X-dot] quit

[AC] user-profile dot enable

# 配置VLAN虚接口。

[AC] interface Vlan-interface1

[AC-Vlan-interface1] ip address 100.1.1.1 255.255.0.0

# 配置静态路由

[AC-Vlan-interface1] ip route-static 8.1.0.0 255.255.0.0 100.1.1.254

3. CAMS配置

在CAMS上配置Dot1x认证项（CAMS版本：2.10标准版，详细版本号：2.10-R0209）如下：

H3C[AC-wlan-ap-ap22-radio-2] service-template 5

无线产品B58版本新特性案例

(1) 系统配置：

(2) 配置服务策略：

H

(3) 配置帐号用户：

3C

无线产品B58版本新特性案例

4. 验证结果

(1) 使用命令行display connection查看是否有用户在线。

同时在CAMS上查看用户是否在线。

<AC> display connection

Index=92 ,Username=mpc@cams

MAC=0017-9a00-7cb8 ,IP=100.1.0.55

Total 1 connection(s) matched.

(2) 通过命令行display connection ucibindex查看用户的较详细信息。

<AC> display connection ucibindex 92

Index=92 , Username=mpc@cams

MAC=0017-9a00-7cb8

IP=100.1.0.55

Access=8021X ,AuthMethod=EAP

Port Type=Wireless-802.11,Port Name=WLAN-DBSS5:28

Initial VLAN=1, Authorization VLAN= N/A

ACL Group=Disable

User Profile=dot

CAR=Disable

Priority=Disable

Start=2008-11-06 10:29:30 ,Current=2008-11-06 10:30:30 ,Online=00h01m00s

Total 1 connection matched.

<AC>

(3) 在CAMS服务器上查看有用户在线。 H3C

无线产品B58版本新特性案例

(4) 如果有Dot1x用户在线，通过命令display wlan client verbose，查看用户所连接的AP，可以

看到用户只能连接到名称为ap22的AP上，而无法连接到名称为ap31的AP上。

<AC> display wlan client verbose

Total Number of Clients : 1

Total Number of Clients Connected : 1

Client Information

-------------------------------------------------------

MAC Address : 0017-9a00-7cb8

AID : 251

AP Name : ap22

Radio Id : 2

SSID : apgroup

BSSID : 000f-e2c4-8022

Port : WLAN-DBSS5:28

VLAN : 10

State : Running

Power Save Mode : Active

Wireless Mode : 11g

QoS Mode : WMM

Listen Interval (Beacon Interval) : 10

RSSI : 65

SNR : 0

Rx/Tx Rate : 54/54

Client Type : RSN

AKM Method : Dot1X

4-Way Handshake State : PTKINITDONE

Group Key State : IDLE

Encryption Cipher : CCMP

Roam Status : Normal

Up Time (hh:mm:ss) : 00:05:45

---------------------------------------------------------

<AC>

4.5 注意事项

无 H Authentication Method : Open System 3C

无线产品B58版本新特性案例

5 相关资料

5.1 相关协议和标准

无

5.2 其它相关资料

《H3C WX系列无线控制产品 用户手册》“安全分册”中的“端口安全配置”。 H

3C

本文来源：https://www.bwwdw.com/article/o0yh.html