WX系列AC结合iMC实现双重认证典型配置

WX系列AC结合iMC实现双重认证典型配置

一、应用环境：

随着WLAN承载业务的日渐丰富，经常需要针对不同的接入用户制定不同的网络权限，常用的认证有802.1x和Portal，而基于这两种认证的自身特点，结合iMC平台各种组件丰富的功能，我们提出了WX系列AC结合iMC实现客户端的双重认证的方案，根据用户的不同需求，决定用户是否需要先做802.1x再做Portal认证，实现正常网络访问和更高网络访问权限的综合需求应用。

二、组网需求：

WX系列AC（无线控制器）、Fit AP（无线接入点）、iMC服务器（平台版本5.1，UAM组件版本5.1）、三层交换机、便携机（安装无线网卡）。

三、组网图：

四、配置步骤：

1. AC上的配置信息：

#

 version 5.20, Release 3111P12

#

 sysname AC

#

 domain default enable dot1x

#

 telnet server enable

#

 port-security enable

#

 dot1x authentication-method eap

#

 portal server local ip 172.16.100.200 key hello url http://172.16.100.200:8080/portal

 portal free-rule 0 source interface GigabitEthernet1/0/1 destination any

 portal trap server-down

#

 oap management-ip 192.168.0.101 slot 0

#

 wlan auto-ap enable

#

vlan 1

#

vlan 10        

#

radius scheme imc

 server-type extended

 primary authentication 172.16.100.200 key hello

 primary accounting 172.16.100.200 key hello

 user-name-format without-domain

#

domain dot1x

 authentication lan-access radius-scheme imc

 authorization lan-access radius-scheme imc

 accounting lan-access radius-scheme imc

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain portal

 authentication portal radius-scheme imc

 authorization portal radius-scheme imc

 accounting portal radius-scheme imc

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

dhcp server ip-pool vlan1

 network 192.168.1.0 mask 255.255.255.0

 gateway-list 192.168.1.65

#

dhcp server ip-pool vlan10

 network 194.168.10.0 mask 255.255.255.0

 gateway-list 194.168.10.1

#

user-group system

#

local-user admin

 password simple admin

 authorization-attribute level 3

 service-type telnet

#

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 1 crypto

 ssid Mu_test

 bind WLAN-ESS 1

 cipher-suite ccmp

 security-ie rsn

 service-template enable

#

interface NULL0

#

interface Vlan-interface1

 description IP management

 ip address 192.168.1.65 255.255.255.0

#

interface Vlan-interface10

 description AP register

 ip address 194.168.10.1 255.255.255.0

 portal server local method direct

 portal domain portal

 portal nas-ip 192.168.1.65

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan all

#

interface WLAN-ESS1

 port access vlan 10

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key

 undo dot1x handshake

#

wlan ap ap_01 model WA2210-AG id 1

 serial-id 210235A29DB094004423

 radio 1

  service-template 1

  radio enable

#

 ip route-static 172.16.100.0 255.255.255.0 192.168.1.254

#

 dhcp server forbidden-ip 192.168.1.254

 dhcp server forbidden-ip 192.168.1.65

 dhcp server forbidden-ip 192.168.1.66

#

 dhcp enable

#

 load xml-configuration

#

user-interface aux 0

user-interface vty 0 4

 authentication-mode scheme

 user privilege level 3

#

return

2. iMC上的配置信息：

（1）配置增加接入设备，共享密钥为hello，其余为iMC默认配置，手工增加接入设备的IP地址。

（2）配置802.1x服务，服务名为“双重认证_1x”证书认证选择“EAP证书认证”，认证证书类型选择“EAP-PEAP认证”，认证证书子类型选择“MS-CHAPV2认证”，其余均为默认配置。

（3）配置接入用户即802.1x认证用户信息，增加接入用户test_wlan，账号名为test_1，密码为123456，在线数量限制配置为5，接入服务选择“双重认证_1x”，其余均为默认。

（4）配置Portal服务管理，增加用户的IP地址组，IP地址组为“Double_Auth”，地址范围应包含AC上配置的用户的DHCP地址池所有地址，其余为默认。

（5）增加Portal接入设备，配置设备名、IP地址等基本信息，密钥为hello，其余配置为默认。

（6）在Portal接入设备下增加端口组信息配置，端口组名为“Double_portal”，将用户的IP地址组“Double_Auth”与设备绑定，其余配置为默认。

（7）配置Portal服务，服务名为“双重认证_portal”，证书认证选择“不启用”，其余均为默认配置。

（8）配置接入用户即Portal认证用户信息，在之前的接入用户test_wlan里增加账号名为test_2，密码为123456，在线数量限制配置为5，接入服务选择“双重认证_portal”，其余均为默认。

3. PC终端（Win 7操作系统）上关于802.1x配置步骤

（1）“开始”菜单进入“控制面板—网络和Internet—管理无线网络”，选择“添加”，网络名为“Mu_test”，安全类型选择“WPA2-企业”，加密类型选择“AES”，点击下一步。

（2）更改连接属性，安全配置里点击“设置”，将“验证服务器证书”的选项对勾去掉，配置“选择身份验证方法”为“安全密码（EAP-MSCHAP v2）”，同时点击配置后将对勾去掉，确认以上配置后点击确定。

（3）点击桌面任务栏里无线连接，选择SSID为“Mu_test”连接，输入之前在iMC上配置好的802.1x的用户名“test_1”和密码“123456”，点击确定后关联成功并获取到相应的IP地址。

五、配置关键点：

1.该配置可以在B71及以上软件版本上实现，本配置中AC的型号为WX3010，AP为WA2210-AG，软件版本为R3111P12。

2.由于需要做两次认证，因此在设备上需要配置两个Domain，其中在全局下使能Domain dot1x为默认域，在用户的Interface-vlan接口即Portal的vlan接口下手工指定portal的认证域为Domain portal。

3.设备上的portal及Radius的key需要与iMC上的共享密钥一致，本配置为了方便起见，均为“hello”。

4.如果Portal认证vlan即用户的Interface-vlan接口地址与iMC上配置的Portal设备IP地址不一致，还需要在接口下指定portal nas-ip。

六、验证结果：

按照配置步骤里关于802.1x的连接步骤，PC正常关联SSID后获得相应网段的地址，此时PC可以访问iMC服务器但无法ping通网关IP地址，打开IE浏览器后输入1.1.1.1后会弹出portal页面，输入Portal认证的账户名和密码，通过认证后即可ping通网关访问外网。此时，iMC上可以看到两个账号均在线，但其实对应的终端MAC地址是一个设备。