iMC UAM、iNode与AC结合进行无线802.1X EAP-TLS证书认证的典型配置

iMC UAM、iNode与AC结合进行无线802.1X EAP-TLS证书认证的典型配置

一、  组网需求：

    无线802.1x支持PEAP及EAP-TLS证书认证，相比Portal认证，提高了安全性，在安全性要求较高的场合应用较多。windows系统自带的认证客户端由于不支持安全检查，难以保证接入终端的安全性，H3C推出的iMC UAM-AC-iNode无线802.1x证书认证方案较好的解决了这一问题，本文以EAP-TLS为例进行802.1x认证。

二、  组网图：

说明：

AC型号：WX3010；

iMC、接入交换机、AC同处于vlan 10里面，IP为172.16.100.0/24

图中红色区域内为一台AC设备，为了便于理解，虚拟出AC自带的无线交换机

AP属于VLAN 4，网关为172.16.4.1，在AC上；

PC属于VLAN 8，网关为172.16.8.1，在AC上；

无线SW与AC相连的接口分布为G1/0/11和G1/0/1，端口类型为trunk类型，只需放通VLAN 4、10即可（PC的报文在经过AP时会被打上VLAN 4的包头）。

三、  配置步骤：

1.接入交换机配置

[1234-vlan10]vlan 10

[1234-vlan10]port g2/0/42 g2/0/10

[1234-Vlan-interface10]ip add 172.16.100.1 24

添加静态路由，指向PC网关

[1234]ip route-static 172.16.8.0 24 172.16.100.144

2.无线交换机配置：

[SW]vlan 10

[SW-vlan10]port g1/0/4 

[SW-Vlan-interface10]ip add 172.16.100.144 24

[SW]vlan 4

[SW-vlan4]port g1/0/7

G1/0/11为与AC互联端口，需要保证vlan 4和10的报文经过，所以需将链路类型改为trunk

[SW]inter g1/0/11

[SW-GigabitEthernet1/0/11] port link-type trunk

[SW-GigabitEthernet1/0/11]port trunk permit vlan 4 10

[SW-GigabitEthernet1/0/11]port trunk pvid vlan 10

添加静态路由，保证路由可达：

ip route-static 0.0.0.0 0.0.0.0 172.16.100.1 preference 60

ip route-static 172.16.8.0 255.255.255.0 172.16.100.166 preference 60

3.AC配置：

DHCP功能配置及接口IP配置略；

[H3C]vlan 10

[H3C-vlan10]port g1/0/1

[H3C]inter vlan 10

[H3C-Vlan-interface10]ip add 172.16.100.166 24

进入互联端口视图：

[H3C-Vlan-interface10]inter g1/0/1

[H3C-GigabitEthernet1/0/1] port link-type trunk

[H3C-GigabitEthernet1/0/1]port trunk permit vlan 4 10

[H3C-GigabitEthernet1/0/1]port trunk pvid vlan 10

使能端口安全，类似于交换机全局dot1x作用：

[H3C]port-security enable

证书认证只能采用eap认证方式

[H3C]dot1x authentication-method eap

配置radius 方案h3c：

[H3C]radius scheme h3c

[H3C-radius-h3c] server-type extended

[H3C-radius-h3c] primary authentication 172.16.100.122

[H3C-radius-h3c] primary accounting 172.16.100.122

秘钥需与接入设备保持iMC---接入设备配置保持一致：

[H3C-radius-h3c] key authentication h3c

[H3C-radius-h3c] key accounting h3c

配置domain 8021x，引用radius scheme h3c

[H3C]domain 8021x

[H3C-isp-8021x] authentication lan-access radius-scheme h3c

[H3C-isp-8021x] authorization lan-access radius-scheme h3c

[H3C-isp-8021x] accounting lan-access radius-scheme h3c

创建crypto类型的服务模板3：

[H3C]wlan service-template 3 crypto

在该模板下创建SSID----xun-dot1x：

[H3C-wlan-st-3]ssid xun-dot1x

将服务模板3与无线接口3绑定：

[H3C-wlan-st-3]bind WLAN-ESS 3

配置在帧加密时使用的加密套件为tkip：

[H3C-wlan-st-3]cipher-suite tkip

设置在AP发送信标和探查响应帧时携带WPA IE，即认证方式为WPA

[H3C-wlan-st-3]security-ie wpa

服务模板默认未激活，激活服务模板：

[H3C-wlan-st-3]service-template enable

创建无线接口 3：

[H3C]inter WLAN-ESS 3

允许用户流量通过：

[H3C-WLAN-ESS3] port access vlan 8

对接入用户采用基于MAC的802.1X认证，且允许端口下有多个802.1X用户

[H3C-WLAN-ESS3]port-security port-mode userlogin-secure-ext

忽略radius服务器下发的授权信息：

[H3C-WLAN-ESS3]port-security authorization ignore

开启11key类型的密钥协商功能：

[H3C-WLAN-ESS3]port-security tx-key-type 11key

指定用户的认证域为8021x：

[H3C-WLAN-ESS3]dot1x mandatory-domain 8021x

进入AP管理模板，AP名称为ap_xun，型号名称为WA2210-AG

[H3C]wlan ap ap_xun model WA2210-AG id 1

[H3C-wlan-ap-ap_xun] serial-id 210235A29DB095000845

进入射频视图

[H3C-wlan-ap-ap_xun]radio 1 type dot11g

默认情况下，没有任何服务模板与射频相关联，需将服务模板3映射到射频1

[H3C-wlan-ap-ap_xun-radio-1] service-template 3

启用射频1

[H3C-wlan-ap-ap_xun-radio-1]radio enable

4.iMC侧配置：

接入规则配置为eap-tls认证(如果是PEAP认证，只需将此处修改为PEAP即可，设备配置无需修改)

配置服务，引用该接入规则：

配置接入设备：

证书配置：

配置接入用户：

5.客户端配置：

四、  配置关键点：

1：服务模板认证类型必须配置为crypto；

2：客户端证书名称需与认证账号一致；

3：所有证书需由同一机构颁发；

4：iNode客户端---操作---取消“使用windows管理无线网络”。