由浅入深玩转华为WLAN—9 安全认证配置(3)无线dot1 PEAP认证,基于微软IAS服务器
转载自微信公众号:网络之路博客
简介
在之前里面介绍过open、WPA以及MAC地址认证的方式,这次介绍无线里面常用的另外一种认证就是dot1x ,这里对于IAS的安装不会做过多介绍,主要讲解下怎么配置IAS里面的认证方式,以及AC上面的配置。这里拓扑比较简单,跟平时的无线拓扑一样,保证交换机的VLAN放行以及AC与服务器之间的通信,DHCP正确配置即可。如果对于AP上线以及交换机的配置有不了解的地方,可以参考之前AP上线以及交换机配置注意事项。这里先是做正常的配置,让AP上线,然后PC能够通过WPA等认证获取到地址,证明无线是可以正常工作的,然后在部署dot1x
1、AC的基本配置
(1)初始化与上线
Dhcp enable
[Huawei-AC6605]int vlan 1
[Huawei-AC6605-Vlanif1]ip address 192.168.1.251 24
[Huawei-AC6605-Vlanif1]dhcp sel intaface
说明:配置一个IP地址,该接口地址用来与AP通信的。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wlan ac source interface Vlanif 1
[Huawei-AC6605-wlan-view]ap-auth-mode sn-auth
[Huawei-AC6605-wlan-view]ap id 1 type-id 19 sn 21023544831069236750
说明:定义了AC的源地址为VLAN 1,该地址是与AP进行建立CAPWAP隧道的,启用了AP认证功能,使用序列号,然后在AP定义了一个ID为1,然后AP类型为19,序列号为那个。其中type-id是可以查看的,SN则在AP上面查看。
可以通过display ap-type all 查看该AC支持的AP类型,其中AP6010DN ID为19,所以定义ID为19,至于序列号怎么查看,在AP上面通过displa system-information 查看。
结果验证
目前来看,AP还没有获取到地址,这个是定期发送DHCP报文获取的。
通过查看已经获取到了IP地址了,然后即可与AC建立CAPWAP隧道,这个过程需要一定的时间,后面可以看到CAPWAP隧道已经建立了
查看隧道状态为RUN。
可以看到AC上面也有对应的AP信息了。至此AP上线完成。
(2)定义域、业务功能
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap-region id 1
[Huawei-AC6605-wlan-ap-region-1]ap id 1
说明:默认存在一个与为 0,建议的是不同业务或者部门可以加入不同的域,这样的话后续调整射频参数、调优等参数则只影响该域的参数。
WMM模板定义
WMM模板是提供了QOS等服务等级,将数据报文按照优先级从高到低分为4个接入类AC(Access Category):AC_VO(语音)、AC_VI(视频)、AC_BE(尽力而为)、AC_BK(背景),高优先级的AC占用信道的机会大于低优先级的AC。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wmm-profile name Ap1
说明:WMM默认情况下有默认策略的,没有特别需求的话,可以直接使用默认的。
射频模板定义
射频模板参数内容包括:射频类型、射频速率、射频信道模式、射频功率模式、丢包/错包率门限、冲突率门限、分段门限、RTS/CTS门限、短/长帧最大重传次数门限、是否支持短前导码、DTIM周期、beacon帧周期、WMM参数等。
[Huawei-AC6605-wlan-view]radio-profile name 2.4G
[Huawei-AC6605-wlan-radio-prof-2.4G]wmm-profile name ap1
[Huawei-AC6605-wlan-view]radio-profile name 5G
[Huawei-AC6605-wlan-radio-prof-5G]wmm-profile name ap1
[Huawei-AC6605-wlan-radio-prof-5G]radio-type 80211an
说明:这里模板默认情况下只需要调用WMM模板,其余的都有默认策略,比如默认情况下,信道模式为Auto,也就是AC会自动根据AP周围的信道自动合理规划信道,射频类型等。这里定义2个是一个作为2.4G使用,另外一个使用5G
安全模板定义
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]security-profile name open
[Huawei-AC6605-wlan-view]security-profile name pre-authen
[Huawei-AC6605-wlan-sec-prof-pre-authen]security-policy wpa2
[Huawei-AC6605-wlan-sec-prof-pre-authen]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
说明:安全模板定了2个,一个为Open,即默认策略,也就是后续定义的Guest,不进行认证,而后面定义了一个pre-auten则为WPA2进行密码认证,这个是给内部用的。
流量模板
流量模板可以实现为某个无线网络定制特定的优先级映射和流量监管功能。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]traffic-profile name AP-1
说明:默认情况下流量模板下,有默认策略,比如802.1P映射,用户的限速、VAP限速等功能,这里先使用默认的,后续需求的话在进行调整。
定义WLAN-ESS接口
WLAN-ESS接口类似于一个模板,它的作用主要给一个AP可以虚拟多个VAP出来,VAP提供给不同的服务接入,而一个VAP对应一个WLAN-BDSS接口,而WLAN-ESS则是WLAN-BDSS属性模板,也就是AC动态创建一个VAP,则自动创建一个WLAN-BDSS,而属性则继承WLAN-ESS定义的。
[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1]port hybrid untagged vlan 19
说明:创建了一个WLAN-ESS接口,并且允许了VLAN 19的流量不打标签进入该接口,默认情况下VLAN 1已经通过了,所以这里的流量即为VLAN 19与1。当然该接口还可以部署其他策略,比如dot1x、MAC认证等功能,注意的是,V200R3的版本是不需要启用DHCP功能的,默认就开启了。
定义WLAN服务集
服务集的功能就是来汇集之前定义的业务参数功能,比如定义SSID,转发模式,关联射频模板,认证策略等,然后调用在AP下,进行下发。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]service-set name open
[Huawei-AC6605-wlan-service-set-open]ssid Guest
[Huawei-AC6605-wlan-service-set-open]forward-mode direct-forward
[Huawei-AC6605-wlan-service-set-open]wlan-ess 1
[Huawei-AC6605-wlan-service-set-open]service-vlan 19
[Huawei-AC6605-wlan-service-set-open]security-profile name open
[Huawei-AC6605-wlan-service-set-open]traffic-profile name AP-1
[Huawei-AC6605-wlan-view]service-set name intrenet
[Huawei-AC6605-wlan-service-set-intrenet]ssid intrent
[Huawei-AC6605-wlan-service-set-intrenet]service-vlan 19
[Huawei-AC6605-wlan-service-set-intrenet]wlan-ess 1
[Huawei-AC6605-wlan-service-set-intrenet]security-profile name pre-authen
[Huawei-AC6605-wlan-service-set-intrenet]forward-mode direct-forward
[Huawei-AC6605-wlan-service-set-intrenet]traffic-profile name AP-1
说明:这里创建了2个服务集,一个用于Guest用的,一个用于intrenet,除了SSID与安全策略不一样外,其余的都一致。
射频配置
每个AP都有一个或多个射频模块,这个射频模块负责无线信号的收发、功率的调整以及信道的配置等功能。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap 1 radio 0
[Huawei-AC6605-wlan-radio-1/0]radio-profile name 2.4G
[Huawei-AC6605-wlan-radio-1/0]service-set name open
[Huawei-AC6605-wlan-view]ap 1 radio 1
[Huawei-AC6605-wlan-radio-1/1]radio-profile name 5G
[Huawei-AC6605-wlan-radio-1/1]service-set name intrenet
说明:这里定义了2个射频,一个给2.4G用,另外一个给intrenet,2.4G主要提供给Guest使用,而5G在内企业网内部使用,这里说明的是,radio 0为2.4G频率,而1为5G频率。
(3)下发业务配置给AP
[Huawei-AC6605-wlan-view]commit ap 1
二、环境测试验证
可以看到2个客户端都已经连接上去了,默认情况下访客是不需要用户名密码认证,而内部用户则需要。
可以看到已经正常获取到IP地址了。
三、dot1x认证(也叫802.1x)
说明:dot1x的方式就是用用户名密码进行验证。(可以基于外部数据库,AD域等)
(1)需要修改的地方
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap 1 r 0
[Huawei-AC6605-wlan-radio-1/0]undo service-set id 0
[Huawei-AC6605-wlan-view]security-profile id 0
[Huawei-AC6605-wlan-sec-prof-test]security-policy wpa
[Huawei-AC6605-wlan-sec-prof-test]wpa authentication-method dot1x peap encryption-method ccmp
(2)开启dot1x认证
[Huawei-AC6605]dot1x enable
(3)修改WLAN-ESS接口
[Huawei-AC6605]interface Wlan-Ess 0
[Huawei-AC6605-Wlan-Ess0]undo mac-authentication enable
[Huawei-AC6605-Wlan-Ess0]dot1x-authentication enable
[Huawei-AC6605-Wlan-Ess0]dot1x authentication-method eap
[Huawei-AC6605-Wlan-Ess0]force-domain ccieh3c.taobao.com
[Huawei-AC6605-Wlan-Ess0]permit-domain ccieh3c.taobao.com
说明:目前AC是不支持本地dot1x的,所以必须Radius服务器。这里信任该域,后续用Radius进行认证的域
(4)下放业务
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap 1 r 0
[Huawei-AC6605-wlan-radio-1/0]service-set id 0
[Huawei-AC6605-wlan-radio-0/0]com ap 1
(5)Radius服务器定义,与AAA,Domain
[Huawei-AC6605]radius-server template dot1x
[Huawei-AC6605-radius-dot1x]radius-server authentication 192.168.2.253 1812
[Huawei-AC6605-radius-dot1x]radius-server shared-key test
[Huawei-AC6605-radius-dot1x]undo radius-server user-name domain-included
[Huawei-AC6605]aaa
[Huawei-AC6605-aaa]authentication-scheme dot1x
[Huawei-AC6605-aaa-authen-dot1x]authentication-mode radius
[Huawei-AC6605-aaa]domain ccieh3c.taobao.com
[Huawei-AC6605-aaa-domain-ccieh3c.taobao.com]authentication-scheme dot1x
[Huawei-AC6605-aaa-domain-ccieh3c.taobao.com]radius-server dot1x
(6)测试AAA能否通过
注意:之前已经开过密码存储功能,默认情况下AD或者Windows的不允许CHAP可逆的。需要单独开启。
(7)定义Radius策略
说明:PEAP需要一个证书的,所以必须向CA服务器申请一张,计算机证书。【如果是独立的IAS,可以用自签名的或者是找独立CA申请一张,如果是域环境的话,可以直接在企业级CA中下放即可。或者通过MMC申请】
(8)测试结果
总结:有线与无线的环境部署有点差别,另外无线支持PEAP或者TLS,而有线支持MD5等功能,另外注意PEPA是需要服务器证书的,可以自签名或者是找CA申请,该步骤我省略了,这里使用的是自签名证书。另外模拟器做该实验,很有可能不成功,特别是dot1x,获取不到地址,但是配置跟思路是没错的,所以如果现象不出来的话,也不用太纠结。
! 提问与分享(想提高自己,从独立思考与分享开始)
分享:实验可以通过模拟器直接完成,记得老版本选用分享的考试版本即可,最新版本是采用的V2R7命令行有差别。