• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

wx3510h开局配置求模板

  • 1关注
  • 1收藏,1593浏览
粉丝:0人 关注:1人

问题描述:

有150个AP不同型号,一个AC控制器,实现每个AP发射3个ssid,这3个ssid使用不同网段,其中一个ssid使用普通wifi密码认证,另外2个ssid使用实名账号认证,不同区域之间的相同ssid实现不断网切换

组网及组网描述:

有150个AP不同型号,一个AC控制器,实现每个AP发射3个ssid,这3个ssid使用不同网段,其中一个ssid使用普通wifi密码认证,另外2个ssid使用实名账号认证,不同区域之间的相同ssid实现不断网切换

最佳答案

已采纳
粉丝:4人 关注:0人

1.11.2  PSK身份认证与密钥管理模式和Bypass认证配置举例

1. 组网需求

·     如图1-11所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。通过配置客户端PSK密钥12345678接入无线网络。

·     客户端链路层认证使用开放式系统认证,用户接入认证使用Bypass认证的方式实现客户端可以不需要认证直接接入WLAN网络的目的。

·     通过配置客户端和AP之间的数据报文采用PSK身份认证与密钥管理模式来确保用户数据的传输安全。

2. 组网图

图1-11 PSK+Bypass认证配置组网图

 

3. 配置步骤

(1)     创建无线服务模板

创建无线服务模板service1。

<AC> system-view

[AC] wlan service-template service1

配置无线服务的SSID为service。

[AC-wlan-st-service1] ssid service

(2)     配置身份认证与密钥管理模式为PSK模式、加密套件为CCMP、安全信息元素为WPA并使能无线服务模板

配置AKM为PSK,配置PSK密钥,使用明文的字符串12345678作为共享密钥。

[AC-wlan-st-service1] akm mode psk

[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678

配置CCMP为加密套件,配置WPA为安全信息元素。

[AC-wlan-st-service1] cipher-suite ccmp

[AC-wlan-st-service1] security-ie wpa

使能无线服务模板。

[AC-wlan-st-service1] service-template enable

[AC-wlan-st-service1] quit

(3)     进入AP视图并将无线服务模板绑定到radio1上

# 创建手工AP,名称为ap1,并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

# 进入Radio 1视图。

[AC-wlan-ap-ap1] radio 1

# 将无线服务模板绑定到Radio 1上,并开启射频。

[AC-wlan-ap-ap1-radio-1] service-template service1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] return

4. 验证配置

配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。

<AC> display wlan service-template service1 verbose

Service template name        : service1

Description                  : Not configured

SSID                         : service

SSID-hide                    : Disabled

User-isolation               : Disabled

Service template status      : Enabled

Maximum clients per BSS      : 64

Frame format                 : Dot3

Seamless roam status         : Disabled

Seamless roam RSSI threshold : 50

Seamless roam RSSI gap       : 20

VLAN ID                      : 1

AKM mode                     : PSK

Security IE                  : WPA

Cipher suite                 : CCMP

TKIP countermeasure time     : 0

PTK lifetime                 : 43200 sec

GTK rekey                    : Enabled

GTK rekey method             : Time-based

GTK rekey time               : 86400 sec

GTK rekey client-offline     : Enabled

User authentication mode     : Bypass

Intrusion protection         : Disabled

Intrusion protection mode    : Temporary-block

Temporary block time         : 180 sec

Temporary service stop time  : 20 sec

Fail VLAN ID                 : Not configured

802.1X handshake             : Disabled

802.1X handshake secure      : Disabled

802.1X domain                : Not configured

MAC-auth domain              : Not configured

Max 802.1X users per BSS     : 4096

Max MAC-auth users per BSS   : 4096

802.1X re-authenticate       : Disabled

Authorization fail mode      : Online

Accounting fail mode         : Online

Authorization                : Permitted

Key derivation               : N/A

PMF status                   : Disabled

Hotspot policy number        : Not configured

Forwarding policy status     : Disabled

Forwarding policy name       : Not configured

Forwarder                    : AC

FT status                    : Disabled

QoS trust                    : Port

QoS priority                 : 0


1.11.4  802.1X身份认证与密钥管理模式配置举例

1. 组网需求

·     如图1-13所示,AC旁挂在Switch上,Switch同时作为DHCP server为AP和Client分配IP地址。

·     客户端链路层认证使用开放式系统认证,客户端通过802.1X接入认证的方式实现客户端可使用用户名abcdef和密码123456接入WLAN网络的目的。

·     通过配置客户端和AP之间的数据报文采用802.1X身份认证与密钥管理来确保用户数据的传输安全。

2. 组网图

图1-13 802.1X认证配置组网图

 

3. 配置步骤

说明

·     下述配置中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍,请参见“安全命令参考”中的“AAA”。

·     完成802.1X客户端的配置。

·     完成RADIUS服务器的配置,添加用户账户,用户名为abcedf,密码为123456。

 

(1)     创建无线服务模板

创建无线服务模板service1。

<AC> system-view

[AC] wlan service-template service1

配置无线服务的SSID为service。

[AC-wlan-st-service1] ssid service

(2)     配置AKM、加密套件及安全信息元素

配置AKM为802.1X。

[AC-wlan-st-service1] akm mode dot1x

配置CCMP为加密套件,配置WPA为安全信息元素。

[AC-wlan-st-service1] cipher-suite ccmp

[AC-wlan-st-service1] security-ie wpa

(3)     配置用户接入认证模式并使能无线服务模板

配置用户接入方式为802.1X认证。

[AC-wlan-st-service1] client-security authentication-mode dot1x

配置使能无线服务模板。

[AC-wlan-st-service1] service-template enable

[AC-wlan-st-service1] quit

(4)     创建RADIUS方案

创建RADIUS方案radius1并进入其视图。

[AC] radius scheme radius1

配置主认证/计费RADIUS服务器的IP地址为10.1.1.3,配置主认证/计费RADIUS服务器的端口号为1812/1813。

[AC-radius-radius1] primary authentication 10.1.1.3 1812

[AC-radius-radius1] primary accounting 10.1.1.3 1813

配置AC与认证/计费RADIUS服务器交互报文时的共享密钥为明文字符串12345。

[AC-radius-radius1] key authentication simple 12345

[AC-radius-radius1] key accounting simple 12345

配置发送给RADIUS服务器的用户名不携带域名。

[AC-radius-radius1] user-name-format without-domain

[AC-radius-radius1] quit

说明

 

(5)     创建认证域并配置RADIUS方案

创建认证域(ISP域)dom1并进入其视图。

[AC] domain dom1

配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费。

[AC-isp-dom1] authentication lan-access radius-scheme radius1

[AC-isp-dom1] authorization lan-access radius-scheme radius1

[AC-isp-dom1] accounting lan-access radius-scheme radius1

[AC-isp-dom1] quit

配置使用dom1认证域为默认域。

[AC] domain default enable dom1

(6)     进入AP视图并将无线服务模板绑定到radio1上

# 创建手工AP,名称为ap1,并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454

# 进入Radio 1视图。

[AC-wlan-ap-ap1] radio 1

# 将无线服务模板绑定到Radio 1上,并开启射频。

[AC-wlan-ap-ap1-radio-1] service-template service1

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] return

4. 验证配置

配置完成后,在AC上执行display wlan service-template命令,可以看到无线服务模板的配置情况如下。

<AC> display wlan service-template service1 verbose

Service template name        : service1

Description                  : Not configured

SSID                         : service

SSID-hide                    : Disabled

User-isolation               : Disabled

Service template status      : Enabled

Maximum clients per BSS      : 64

Frame format                 : Dot3

Seamless roam status         : Disabled

Seamless roam RSSI threshold : 50

Seamless roam RSSI gap       : 20

VLAN ID                      : 1

AKM mode                     : dot1x

Security IE                  : WPA

Cipher suite                 : CCMP

TKIP countermeasure time     : 0

PTK lifetime                 : 43200 sec

GTK rekey                    : Enabled

GTK rekey method             : Time-based

GTK rekey time               : 86400 sec

GTK rekey client-offline     : Enabled

User authentication mode     : 802.1X

Intrusion protection         : Disabled

Intrusion protection mode    : Temporary-block

Temporary block time         : 180 sec

Temporary service stop time  : 20 sec

Fail VLAN ID                 : Not configured

802.1X handshake             : Disabled

802.1X handshake secure      : Disabled

802.1X domain                : Not configured

MAC-auth domain              : Not configured

Max 802.1X users per BSS     : 4096

Max MAC-auth users per BSS   : 4096

802.1X re-authenticate       : Disabled

Authorization fail mode      : Online

Accounting fail mode         : Online

Authorization                : Permitted

Key derivation               : N/A

PMF status                   : Disabled

Hotspot policy number        : Not configured

Forwarding policy status     : Disabled

Forwarding policy name       : Not configured

Forwarder                    : AC

FT status                    : Disabled

QoS trust                    : Port

QoS priority                 : 0

暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明