02802.1X熱備典型配置舉例

1、802.1X熱備典型配置舉例Copyright © 2014 杭州華三通信技術(shù)有限公司 版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。本文檔中的信息可能變動(dòng)，恕不另行通知。目 錄1 簡(jiǎn)介12 配置前提13 配置舉例13.1 組網(wǎng)需求13.2 配置思路23.3 配置注意事項(xiàng)23.4 配置步驟23.4.1 AC 1的配置23.4.2 AC 2的配置63.4.3 Switch的配置93.4.4 RADIUS server的配置103.5 驗(yàn)證配置143.6 配置文件154 相關(guān)資料19i1 簡(jiǎn)介本文檔介紹無線控制器

2、802.1X熱備典型配置舉例。2 配置前提本文檔不嚴(yán)格與具體軟、硬件版本對(duì)應(yīng)，如果使用過程中與產(chǎn)品實(shí)際情況有差異，請(qǐng)參考相關(guān)產(chǎn)品手冊(cè)，或以設(shè)備實(shí)際情況為準(zhǔn)。本文檔中的配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對(duì)設(shè)備進(jìn)行了配置，為了保證配置效果，請(qǐng)確認(rèn)現(xiàn)有配置和以下舉例中的配置不沖突。本文檔假設(shè)您已了解802.1X和雙機(jī)熱備的相關(guān)功能。3 配置舉例3.1 組網(wǎng)需求如圖1所示，AC 1和AC 2均支持雙機(jī)熱備，現(xiàn)要求AC 1和AC 2在運(yùn)行雙機(jī)熱備情況下支持802.1X客戶端的信息備份，主備AC切換的過程中，客戶端不會(huì)重新上下線，可以繼續(xù)正常通信

3、。具體要求如下：· 采用加密類型的服務(wù)模板，加密套件采用AES-CCMP。· AC 1正常工作的情況下，Client通過AC 1進(jìn)行802.1X認(rèn)證接入。AC 1發(fā)生故障的情況下，Client通過AC 2接入。· 802.1X的認(rèn)證方式采用EAP中繼方式。· 采用RADIUS服務(wù)器作為認(rèn)證服務(wù)器，RADIUS服務(wù)器上注冊(cè)的接入設(shè)備NAS-IP是133.1.1.3/16。· 防止用戶通過惡意假冒其它域賬號(hào)從本端口接入網(wǎng)絡(luò)。· 配置VRRP來提高鏈路的可靠性，保證業(yè)務(wù)流量在切換過程中不會(huì)中斷。· 將VLAN 10作為備份VLAN

4、，用于雙機(jī)熱備。圖1 無線控制器802.1X熱備典型配置組網(wǎng)圖3.2 配置思路· 由于端口安全特性通過多種安全模式提供了802.1X認(rèn)證的擴(kuò)展和組合應(yīng)用，因此為實(shí)現(xiàn)802.1X認(rèn)證，需要在AC上全局配置端口安全；· 為實(shí)現(xiàn)802.1X認(rèn)證狀態(tài)的備份，需要配置雙機(jī)熱備功能；· 在無線環(huán)境中，為了保證AC在切換過程中，無線服務(wù)不中斷，同時(shí)使客戶端的信息在AC間同步，需要配置雙AC備份及IACTP隧道。· 在雙AC備份配置中，為了讓AP優(yōu)先連接到AC 1，需要為AC 1配置較高的優(yōu)先級(jí)。· 在VRRP配置中，為了讓AC 1成為Master，需要為AC

5、 1配置較高的優(yōu)先級(jí)。· 由于部分802.1X客戶端不支持與設(shè)備進(jìn)行握手報(bào)文的交互，因此需要關(guān)閉設(shè)備的在線用戶握手功能，避免該類型的在線用戶因沒有回應(yīng)握手報(bào)文而被強(qiáng)制下線。· 對(duì)于無線局域網(wǎng)來說，802.1X認(rèn)證可以由客戶端主動(dòng)發(fā)起，或由無線模塊發(fā)現(xiàn)用戶后自動(dòng)觸發(fā)，不需要通過端口定期發(fā)送802.1X組播報(bào)文的方式來觸發(fā)。同時(shí)，組播觸發(fā)報(bào)文會(huì)占用無線的通信帶寬，因此建議無線局域網(wǎng)中的接入設(shè)備關(guān)閉802.1X組播觸發(fā)功能。· 為了防止用戶通過惡意假冒其它域賬號(hào)從本端口接入網(wǎng)絡(luò)，配置端口的強(qiáng)制認(rèn)證域。3.3 配置注意事項(xiàng)· 主備AC熱備相關(guān)配置必須保持一致；&

6、#183; 配置AP的序列號(hào)時(shí)請(qǐng)確保該序列號(hào)與AP唯一對(duì)應(yīng)，AP的序列號(hào)可以通過AP設(shè)備背面的標(biāo)簽獲取。3.4 配置步驟3.4.1 AC 1的配置(1) 配置AC 1的接口# 創(chuàng)建VLAN 10作為雙機(jī)熱備的VLAN。<AC1> system-viewAC1 vlan 10AC1-vlan10 quit# 創(chuàng)建VLAN 100及其對(duì)應(yīng)的VLAN接口，并為該接口配置IP地址。AC將使用該接口的IP地址與AP建立LWAPP隧道。AC1 vlan 100AC1-vlan100 quitAC1 interface vlan-interface 100AC1-Vlan-interface10

7、0 ip address 133.4.1.1 16AC1-Vlan-interface100 quit# 創(chuàng)建VLAN 200作為ESS接口的缺省VLAN。AC1 vlan 200AC1-vlan200 quit# 創(chuàng)建VLAN 300作為Client接入的業(yè)務(wù)VLAN。AC1 vlan 300AC1-vlan300 quit# 創(chuàng)建VLAN 400作為RADIUS server所在VLAN，并配置其IP地址。AC1 vlan 400AC1-vlan400 quitAC1 interface vlan-interface 400AC1-Vlan-interface400 ip address

8、133.1.1.1 16AC1-Vlan-interface400 quit# 配置AC 1與Switch連接的端口為Trunk模式，允許VLAN 10、VLAN 200、VLAN 300、VLAN 400通過。AC1 interface gigabitethernet 1/0/1AC1-GigabitEthernet1/0/1 port link-type trunkAC1-GigabitEthernet1/0/1 port trunk permit vlan 10 200 300 400AC1-GigabitEthernet1/0/1 quit(2) 配置無線接口# 創(chuàng)建WLAN-ESS1

9、接口。AC1 interface wlan-ess 1# 配置WLAN-ESS1接口類型為Hybrid類型。AC1-WLAN-ESS1 port link-type hybrid# 配置當(dāng)前Hybrid端口的PVID為VLAN 200，禁止VLAN 1通過并允許VLAN 200不帶tag通過。AC1-WLAN-ESS1 undo port hybrid vlan 1AC1-WLAN-ESS1 port hybrid vlan 200 untaggedAC1-WLAN-ESS1 port hybrid pvid vlan 200# 開啟MAC-VLAN功能。AC1-WLAN-ESS1 mac-v

10、lan enableAC1-WLAN-ESS1 quit(3) 配置無線服務(wù)# 創(chuàng)建crypto類型的服務(wù)模板1。AC1 wlan service-template 1 crypto# 將WLAN-ESS1接口綁定到服務(wù)模板1。AC1-wlan-st-1 bind wlan-ess 1# 設(shè)置當(dāng)前服務(wù)模板的SSID為service。AC1-wlan-st-1 ssid service# 配置加密套件為CCMP。AC1-wlan-st-1 cipher-suite ccmp# 配置安全信息元素為RSN。AC1-wlan-st-1 security-ie rsn# 啟用無線服務(wù)。AC1-wlan-

11、st-1 service-template enableAC1-wlan-st-1 quit(4) 配置射頻接口并綁定服務(wù)模板# 創(chuàng)建AP的管理模板，名稱為officeap，型號(hào)名稱選擇WA2620E-AGN，并配置其序列號(hào)。AC1 wlan ap officeap model WA2620E-AGNAC1-wlan-ap-officeap serial-id 21023529G007C000020# 指定該AP在AC 1上優(yōu)先級(jí)為7。AC1-wlan-ap-officeap priority level 7# 進(jìn)入AP的radio 2視圖。AC1-wlan-ap-officeap radio

12、 2# 將服務(wù)模板1綁定到radio 2口并使能radio 2。AC1-wlan-ap-officeap-radio-2 service-template 1 vlan-id 300AC1-wlan-ap-officeap-radio-2 radio enableAC1-wlan-ap-officeap-radio-2 return(5) 配置802.1X# 全局開啟端口安全。AC1 port-security enable# 選擇802.1X認(rèn)證方式為EAP中繼方式。AC1 dot1x authentication-method eap# 進(jìn)入WLAN-ESS1接口視圖。AC1 interf

13、ace wlan-ess 1# 配置WLAN-ESS1接口的端口安全模式為userlogin-secure-ext。AC1-WLAN-ESS1 port-security port-mode userlogin-secure-ext# 使能WLAN-ESS1上端口安全的雙機(jī)熱備功能。AC1-WLAN-ESS1 port-security synchronization enable# 使能11key類型的密鑰協(xié)商功能。AC1-WLAN-ESS1 port-security tx-key-type 11key# 指定802.1X用戶使用的強(qiáng)制認(rèn)證域office，以防止惡意用戶通過假冒其它域賬號(hào)從

14、本端口接入網(wǎng)絡(luò)。AC1-WLAN-ESS1 dot1x mandatory-domain office# 關(guān)閉802.1X的組播觸發(fā)功能，以節(jié)省無線的通信帶寬。AC1-WLAN-ESS1 undo dot1x multicast-trigger# 關(guān)閉在線用戶握手功能，以避免不支持在線握手功能的客戶端被強(qiáng)制下線。AC1-WLAN-ESS1 undo dot1x handshakeAC1-WLAN-ESS1 quit(6) 配置RADIUS認(rèn)證策略和認(rèn)證域# 創(chuàng)建名字為office的RADIUS方案并進(jìn)入該方案視圖。AC1 radius scheme office# 配置RADIUS方案的主認(rèn)證

15、服務(wù)器及其通信密鑰。AC1-radius-office primary authentication 133.1.0.50AC1-radius-office key authentication key# 配置AC 1發(fā)送RADIUS報(bào)文使用的nas-ip地址為133.1.1.3。AC1-radius-office nas-ip 133.1.1.3AC1-radius-office quit# 創(chuàng)建ISP域office，并進(jìn)入其視圖。AC1 domain office# 為lan-access用戶配置計(jì)費(fèi)為none，不計(jì)費(fèi)。AC1-isp-office accounting lan-acces

16、s none# 為lan-access用戶配置認(rèn)證方案為RADIUS方案，方案名為office。AC1-isp-office authentication lan-access radius-scheme office# 為lan-access用戶配置授權(quán)方案為RADIUS方案，方案名為office。AC1-isp-office authorization lan-access radius-scheme officeAC1-isp-office quit(7) 配置VRRP# 在VLAN 400接口下創(chuàng)建VRRP備份組1，并配置備份組1的虛擬IP地址為133.1.1.3。AC1 interf

17、ace vlan-interface 400AC1-Vlan-interface400 vrrp vrid 1 virtual-ip 133.1.1.3# 配置AC 1在備份組1中的優(yōu)先級(jí)為200。AC1-Vlan-interface400 vrrp vrid 1 priority 200AC1-Vlan-interface400 quit(8) 配置雙機(jī)熱備# 配置備份VLAN為VLAN 10。AC1 dhbk vlan 10# 使能雙機(jī)熱備功能，且支持對(duì)稱路徑。AC1 dhbk enable backup-type symmetric-path# 配置雙機(jī)熱備模式下的設(shè)備ID為1。AC1

18、nas device-id 1(9) 配置雙AC備份# 配置備份AC（AC 2）的IP地址為133.4.1.2。AC1 wlan backup-ac ip 133.4.1.2# 開啟AC間熱備份功能。AC1 hot-backup enable# 配置熱備AC間連接心跳周期為2000毫秒（缺省情況下，心跳周期為2000毫秒）。AC1 hot-backup hellointerval 2000# 配置熱備AC間數(shù)據(jù)端口的VLAN ID為100。AC1 hot-backup vlan 100# 配置客戶端信息備份功能。AC1 wlan backup-client enable(10) 配置IACTP

19、隧道# 配置漫游隧道，漫游組名稱為roam。AC1 wlan mobility-group roam# 配置IACTP隧道的源地址為133.4.1.1，成員地址為133.4.1.2。AC1-wlan-mg-roam source ip 133.4.1.1AC1-wlan-mg-roam member ip 133.4.1.2# 開啟IACTP隧道。AC1-wlan-mg-roam mobility-group enableAC1-wlan-mg-roam quit3.4.2 AC 2的配置(1) 配置AC 2的接口# 創(chuàng)建VLAN 10作為雙機(jī)熱備的VLAN。<AC2> syste

20、m-viewAC2 vlan 10AC2-vlan10 quit# 創(chuàng)建VLAN 100及其對(duì)應(yīng)的VLAN接口，并為該接口配置IP地址。AC將使用該接口的IP地址與AP建立LWAPP隧道。AC2 vlan 100AC2-vlan100 quitAC2 interface vlan-interface 100AC2-Vlan-interface100 ip address 133.4.1.2 16AC2-Vlan-interface100 quit# 創(chuàng)建VLAN 200作為ESS接口的缺省VLAN。AC2 vlan 200AC2-vlan200 quit# 創(chuàng)建VLAN 300作為Client

21、接入的業(yè)務(wù)VLAN。AC2 vlan 300AC2-vlan300 quit# 創(chuàng)建VLAN 400作為RADIUS server所在VLAN，并配置其IP地址。AC2 vlan 400AC2-vlan400 quitAC2 interface vlan-interface 400AC2-Vlan-interface400 ip address 133.1.1.2 16AC2-Vlan-interface400 quit# 配置AC 2與Switch連接的端口為Trunk模式，允許VLAN 10、VLAN 200、VLAN 300、VLAN 400通過。AC2 interface gigabi

22、tethernet 1/0/1AC2-GigabitEthernet1/0/1 port link-type trunkAC2-GigabitEthernet1/0/1 port trunk permit vlan 10 200 300 400AC2-GigabitEthernet1/0/1 quit(2) 配置無線接口# 創(chuàng)建WLAN-ESS1接口。AC2 interface wlan-ess 1# 配置WLAN-ESS1接口類型為Hybrid類型。AC2-WLAN-ESS1 port link-type hybrid# 配置當(dāng)前Hybrid端口的PVID為VLAN 200，禁止VLAN 1

23、通過并允許VLAN 200不帶tag通過。AC2-WLAN-ESS1 undo port hybrid vlan 1AC2-WLAN-ESS1 port hybrid vlan 200 untaggedAC2-WLAN-ESS1 port hybrid pvid vlan 200# 開啟MAC-VLAN功能。AC2-WLAN-ESS1 mac-vlan enableAC2-WLAN-ESS1 quit(3) 配置無線服務(wù)# 創(chuàng)建crypto類型的服務(wù)模板1。AC2 wlan service-template 1 crypto# 將WLAN-ESS1接口綁定到服務(wù)模板1。AC2-wlan-st-

24、1 bind wlan-ess 1# 設(shè)置當(dāng)前服務(wù)模板的SSID為service。AC2-wlan-st-1 ssid service# 配置加密套件為AES-CCMP。AC2-wlan-st-1 cipher-suite ccmp# 配置安全信息元素為RSN。AC2-wlan-st-1 security-ie rsn# 啟用無線服務(wù)。AC2-wlan-st-1 service-template enableAC2-wlan-st-1 quit(4) 配置射頻接口并綁定服務(wù)模板# 創(chuàng)建AP的管理模板，名稱為officeap，型號(hào)名稱選擇WA2620E-AGN，并配置其序列號(hào)。AC2 wlan

25、ap officeap model WA2620E-AGNAC2-wlan-ap-officeap serial-id 21023529G007C000020# 進(jìn)入AP的radio 2視圖。AC2-wlan-ap-officeap radio 2# 將在AC 2上配置的服務(wù)模板1與射頻2進(jìn)行關(guān)聯(lián)，Client通過服務(wù)模板1接入VLAN 300。AC2-wlan-ap-officeap-radio-2 service-template 1 vlan-id 300# 使能AP的radio 2。AC2-wlan-ap-officeap-radio-2 radio enableAC2-wlan-ap

26、-officeap-radio-2 return(5) 配置802.1X# 全局開啟端口安全。AC2 port-security enable# 選擇802.1X認(rèn)證方式為EAP中繼方式。AC2 dot1x authentication-method eap# 配置WLAN-ESS1接口的端口安全模式為userlogin-secure-ext。AC2-WLAN-ESS1 port-security port-mode userlogin-secure-ext# 使能WLAN-ESS1端口安全的雙機(jī)熱備功能。AC2-WLAN-ESS1 port-security synchronization

27、enable# 使能11key類型的密鑰協(xié)商功能。AC2-WLAN-ESS1 port-security tx-key-type 11key# 指定802.1X用戶使用的強(qiáng)制認(rèn)證域，以防止惡意用戶通過假冒其它域賬號(hào)從本端口接入網(wǎng)絡(luò)。AC2-WLAN-ESS1 dot1x mandatory-domain office# 關(guān)閉802.1X組播觸發(fā)功能，以節(jié)省無線的通信帶寬。AC2-WLAN-ESS1 undo dot1x multicast-trigger# 關(guān)閉在線用戶握手功能，以避免不支持在線握手功能的客戶端被強(qiáng)制下線。AC2-WLAN-ESS1 undo dot1x handshakeAC

28、2-WLAN-ESS1 quit(6) 配置RADIUS認(rèn)證策略和認(rèn)證域# 創(chuàng)建名字為office的RADIUS方案并進(jìn)入該方案視圖。AC2 radius scheme office# 配置RADIUS方案的主認(rèn)證服務(wù)器及其通信密鑰。AC2-radius-office primary authentication 133.1.0.50AC2-radius-office key authentication key# 配置AC 2發(fā)送RADIUS報(bào)文使用的nas-ip地址為133.1.1.3。AC2-radius-office nas-ip 133.1.1.3AC2-radius-office

29、quit# 創(chuàng)建ISP域office，并進(jìn)入其視圖。AC2 domain office# 為lan-access用戶配置計(jì)費(fèi)為none，不計(jì)費(fèi)。AC2-isp-office accounting lan-access none# 為lan-access用戶配置認(rèn)證方案為RADIUS方案，方案名為office。AC2-isp-office authentication lan-access radius-scheme office# 為lan-access用戶配置授權(quán)方案為RADIUS方案，方案名為office。AC2-isp-office authorization lan-access ra

30、dius-scheme officeAC2-isp-office quit(7) 配置VRRP# 在VLAN 400中配置VRRP備份組1，并配置VRRP備份組1的虛擬IP地址為133.1.1.3。AC2 interface vlan-interface 400AC2-Vlan-interface400 vrrp vrid 1 virtual-ip 133.1.1.3AC2-Vlan-interface400 quit(8) 配置雙機(jī)熱備# 配置備份VLAN為VLAN 10。AC2 dhbk vlan 10# 使能雙機(jī)熱備功能，且支持對(duì)稱路徑。AC2 dhbk enable backup-ty

31、pe symmetric-path# 配置雙機(jī)熱備模式下的設(shè)備ID為2。AC2 nas device-id 2(9) 配置雙AC備份# 配置備份AC（AC 1）的IP地址為133.4.1.1。AC2 wlan backup-ac ip 133.4.1.1# 開啟AC間熱備份功能。AC2 hot-backup enable# 配置熱備AC間連接心跳周期為2000毫秒（缺省情況下，心跳周期為2000毫秒）。AC2 hot-backup hellointerval 2000# 配置熱備AC間數(shù)據(jù)端口的VLAN ID為100。AC2 hot-backup vlan 100# 配置客戶端信息備份功能。A

32、C2 wlan backup-client enable(10) 配置IACTP隧道# 配置漫游隧道，漫游組名稱為roam。AC2 wlan mobility-group roam# 配置IACTP隧道的源地址為133.4.1.2，成員地址為133.4.1.1。AC2-wlan-mg-roam source ip 133.4.1.2AC2-wlan-mg-roam member ip 133.4.1.1# 開啟IACTP隧道。AC2-wlan-mg-roam mobility-group enableAC2-wlan-mg-roam quit3.4.3 Switch的配置# 創(chuàng)建VLAN 10

33、0、VLAN 300和VLAN 400，其中VLAN 100用于轉(zhuǎn)發(fā)AC和AP間LWAPP隧道內(nèi)的流量，VLAN 300為無線用戶接入的VLAN，VLAN 400作為RADIUS server所在VLAN。<Switch> system-viewSwitch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quitSwitch vlan 400Switch-vlan400 quit# 配置Switch與AC 1相連的GigabitEthernet1/0/1接口的屬性為Trunk，當(dāng)前Trunk口的PVID為100，允

34、許VLAN 100通過。Switch interface GigabitEthernet1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 port trunk permit vlan 100Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit# 配置Switch與AC 2相連的GigabitEthernet1/0/2接口的屬性為Trunk，當(dāng)前Trunk口的PVID為1

35、00，允許VLAN 100通過。Switch interface GigabitEthernet1/0/2Switch-GigabitEthernet1/0/2 port link-type trunkSwitch-GigabitEthernet1/0/2 port trunk permit vlan 100Switch-GigabitEthernet1/0/2 port trunk pvid vlan 100Switch-GigabitEthernet1/0/2 quit# 配置Switch與RADIUS server相連的GigabitEthernet1/0/3接口屬性為Access，并允

36、許VLAN 400通過。Switch interface GigabitEthernet1/0/3Switch-GigabitEthernet1/0/3 port link-type accessSwitch-GigabitEthernet1/0/3 port access vlan 400Switch-GigabitEthernet1/0/3 quit# 配置Switch與AP相連的GigabitEthernet1/0/4接口屬性為Access，并允許VLAN 100通過。Switch interface GigabitEthernet1/0/4Switch-GigabitEthernet1

37、/0/4 port link-type accessSwitch-GigabitEthernet1/0/4 port access vlan 100# 使能PoE功能。Switch-GigabitEthernet1/0/4 poe enableSwitch-GigabitEthernet1/0/4 quit3.4.4 RADIUS server的配置下面以iMC為例（使用iMC版本為：iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)），說明RADIUS服務(wù)器的基本配置。# 增加接入設(shè)備。登錄進(jìn)入iMC管理平臺(tái)，選擇“用戶”頁(yè)簽，單擊導(dǎo)航樹中的接入策略管理/接入設(shè)備管

38、理/接入設(shè)備配置菜單項(xiàng)，單擊<增加>按鈕，進(jìn)入“增加接入設(shè)備”頁(yè)面，單擊<手工增加>按鈕，進(jìn)入“手工增加接入設(shè)備”頁(yè)面。· 設(shè)置與AC交互報(bào)文時(shí)使用的認(rèn)證、計(jì)費(fèi)共享密鑰為“key”；· 設(shè)置認(rèn)證及計(jì)費(fèi)的端口號(hào)分別為“1812”和“1813”；· 選擇業(yè)務(wù)類型為“LAN接入業(yè)務(wù)”；· 選擇接入設(shè)備類型為“H3C”；· 選擇或手工增加接入設(shè)備，添加IP地址為133.1.1.3的接入設(shè)備；· 其它參數(shù)采用缺省值，并單擊<確定>按鈕完成操作。圖2 增加接入設(shè)備# 配置接入策略。選擇“用戶”頁(yè)簽，單擊導(dǎo)航樹中

39、的用戶/接入策略管理/接入策略管理菜單項(xiàng)，單擊<增加>按鈕，創(chuàng)建一條接入策略。· 接入策略名輸入“802.1x”。· 證書認(rèn)證選擇“EAP證書認(rèn)證”。· 證書認(rèn)證類型選擇“EAP-PEAP認(rèn)證”。· 認(rèn)證證書子類型選擇“MS-CHAPV2認(rèn)證”。· 其它參數(shù)采用缺省值，并單擊<確定>按鈕完成操作。圖3 配置接入策略# 增加接入服務(wù)配置。選擇“用戶”頁(yè)簽，單擊導(dǎo)航樹中的接入策略管理/接入服務(wù)管理菜單項(xiàng)，單擊<增加>按鈕，創(chuàng)建一條接入服務(wù)。· 服務(wù)名輸入“802.1x”。· 缺省接入策略選擇之

40、前創(chuàng)建的策略“802.1x”。· 其它參數(shù)采用缺省值，并單擊<確定>按鈕完成操作。圖4 配置接入服務(wù)# 增加用戶配置。選擇“用戶”頁(yè)簽，單擊導(dǎo)航樹中的接入用戶管理/接入用戶菜單項(xiàng)，單擊<增加>按鈕，增加一個(gè)接入用戶。· 單擊“增加用戶”。· 用戶姓名輸入“key”。· 證件號(hào)碼輸入“000”。· 其它參數(shù)采用缺省值，并單擊<確定>按鈕完成操作。圖5 增加用戶配置# 增加接入用戶配置。選擇“用戶”頁(yè)簽，單擊導(dǎo)航樹中的接入用戶管理/接入用戶菜單項(xiàng)，單擊<增加>按鈕，增加一個(gè)接入用戶。· 單擊

41、“選擇”按鈕，在頁(yè)面中選擇上面創(chuàng)建的用戶“key”。· 賬號(hào)名輸入“key”。· 密碼與密碼確認(rèn)輸入“123456”。· 選擇服務(wù)名“802.1x”。· 其它參數(shù)采用缺省值，并單擊<確定>按鈕完成操作。圖6 增加接入用戶配置3.5 驗(yàn)證配置(1) Client進(jìn)行802.1X認(rèn)證上線，輸入用戶名“key”和密碼“123456”后，認(rèn)證成功。(2) 在AC 1上使用display wlan client命令查看Client的上線VLAN信息，可以看到Client使用VLAN 300上線。AC1 display wlan client Total

42、 Number of Clients : 1 Client Information SSID: service-MAC Address User Name APID/RID IP Address VLAN-0022-3f90-938e key 1 /2 0.0.0.0 300-(3) 使用display connection命令查看連接信息，可以看到只有一個(gè)客戶端與AC 1建立了連接。AC1 display connectionIndex=5 ,Username=keyofficeMAC=00-22-3F-90-93-8EIP=N/AIPv6=N/A Total 1 connection(s)

43、 matched.(4) 在AC 2上使用display wlan client命令查看Client的上線VLAN信息，同樣可以看到Client使用VLAN 300上線。此處AP為Backup狀態(tài)，實(shí)際是AC 1備份過來的Client。<AC2> display wlan client Total Number of Clients : 1 Client Information SSID: service-MAC Address User Name APID/RID IP Address VLAN-0022-3f90-938e key 1 /2 0.0.0.0 300-(5) 使用

44、display connection命令查看連接信息，可以看到只有一個(gè)客戶端與AC 2建立了連接。<AC2> display connectionIndex=4 ,Username=keyofficeMAC=00-22-3F-90-93-8EIP=N/AIPv6=N/A Total 1 connection(s) matched.(6) 將AC 1斷開，可以發(fā)現(xiàn)Client未下線，仍然可以正常通信。3.6 配置文件· AC 1：#nas device-id 1#port-security enable#dot1x authentication-method eap#wla

45、n backup-ac ip 133.4.1.2#hot-backup enable domain 1hot-backup vlan 100# wlan backup-client enable#vlan 10#vlan 100#vlan 200#vlan 300#vlan 400#radius scheme office primary authentication 133.1.0.50 key authentication cipher $c$3$nHkosOaXlBAk6R6vIM+mukgyhrgxTw= nas-ip 133.1.1.3#domain office authentic

46、ation lan-access radius-scheme office authorization lan-access radius-scheme office accounting lan-access noneaccess-limit disable state active idle-cut disable self-service-url disable#wlan service-template 1 crypto ssid service bind WLAN-ESS 1 cipher-suite ccmp security-ie rsn service-template ena

47、ble#interface Vlan-interface100 ip address 133.4.1.1 255.255.0.0#interface Vlan-interface400 ip address 133.1.1.1 255.255.0.0 vrrp vrid 1 virtual-ip 133.1.1.3 vrrp vrid 1 priority 200#interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 10 200 300 400#interface WLAN-ESS1 port l

48、ink-type hybrid undo port hybrid vlan 1 port hybrid vlan 200 untagged port hybrid pvid vlan 200 mac-vlan enable port-security synchronization enable port-security port-mode userlogin-secure-ext port-security tx-key-type 11key undo dot1x handshake dot1x mandatory-domain office undo dot1x multicast-tr

49、igger#wlan ap officeap model WA2620E-AGN id 1 priority level 7 serial-id 21023529G007C000020 radio 1 radio 2 service-template 1 vlan-id 300 radio enable#wlan mobility-group roam member ip 133.4.1.2 source ip 133.4.1.1 mobility-group enable# dhbk enable backup-type symmetric-path dhbk vlan 10#·

50、AC 2：#nas device-id 2#port-security enable#dot1x authentication-method eap#wlan backup-ac ip 133.4.1.1#hot-backup enable domain 1hot-backup vlan 100#wlan backup-client enable#vlan 10#vlan 100#vlan 200#vlan 300#vlan 400#radius scheme officeprimary authentication 133.1.0.50key authentication cipher $c$3$nHkosOaXlBAk6R6vIM+mukgyhrgxTw= nas-ip 133.1.1.3#domain office authentication lan-access radius-scheme office authorization lan-acces