当前位置:首页 >> 信息与通信 >>

H3C WX系列AC


H3C WX 系列 AC+FIT AP 典型配置案例集

杭州华三通信技术有限公司 http://www.h3c.com.cn

资料版本:6W106-20091130

声明
Copyright ? 2008-2009 杭州华三通信技术有限公司及其许可者 版权所有,保留一切权利。 未经本公司书面许可,任何单

位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何 形式传播。

H3C、

、Aolynk、

、H3Care、

、TOP G、

、IRF、NetPilot、Neocean、

NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、 VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三 通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权 利人拥有。 由于产品版本升级或其他原因,本手册内容有可能变更。H3C 保留在没有任何通知或者提示的情况 下对本手册的内容进行修改的权利。本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信 息,但是 H3C 并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何 明示或暗示的担保。

技术支持
用户支持邮箱:customer_service@h3c.com 技术支持热线电话:800-810-0504(固话拨打) 400-810-0504(手机、固话均可拨打) 网址:http://www.h3c.com.cn

相关资料及其获取方式
相关资料
手册名称 《H3C WX5002 系列无线控制器 安装手 册》 《H3C WX5004 无线控制器 安装手册》 《H3C WX6103 无线控制器 安装手册》 《H3C WX3000 系列有线无线一体化交 换机 安装手册》 《H3C LS8M1WCMA0 业务板 安装手 册》 《H3C LSQM1WCMB0 业务板 安装手 册》 《H3C LSBM1WCM2A0 业务板 安装手 册》 《H3C S9500E 系列 LSRM1WCM2A1 单板手册》 用途 介绍 WX5002 系列无线控制器的硬件安装、 启动和软硬件维护等内容 介绍 WX5004 无线控制器的硬件安装、启动和软硬件维护等内容 介绍 WX6103 无线控制器的硬件安装、启动和软硬件维护等内容 介绍了 WX3024 和 WX3010 有线无线一体化交换机的硬件安装、启 动和软硬件维护等内容 介绍了应用于 H3C S7502/7503/7506/7506R 以太网交换机的无线控 制器业务板 LS8M1WCMA0 的硬件安装、启动和软件维护 介绍了应用于 H3C S7502E/S7503E/S7506E/S7506E-V/ S7510E 以 太网交换机的无线控制业务板 LSQM1WCMB0 的硬件安装、启动和 软件维护 介绍了应用于 H3C S9512/S9508/S9508V/S9505 以太网交换机的无 线控制业务板 LSBM1WCM2A0 的硬件安装、启动和软件维护 介绍了应用于 S9505E/S9508E-V/S9512E 以太网交换机的无线控制 器业务板 LSRM1WCM2A1 的软、硬件特性以及安装、拆卸、升级和 登录的参考文档。 介绍了应用于 S5800-60C-PWR/S5800-32F/S5800-56C/S5800-32C /S5800-32C-PWR/S5800-56C-PWR 以太网交换机的无线控制器业 务板 LSWM1WCM20 的软、硬件特性以及安装、拆卸、升级和登录 的参考文档 介绍了应用于 S5800-60C-PWR 和 S5820X-28C 系列交换机的无线 控制器业务板 LSWM1WCM10 的软、硬件特性以及安装、拆卸、升 级和登录的参考文档 对用户使用 WX6103 无线控制器交换板进行操作指导。 包括命令行接 口、VLAN、MSTP、系统维护与调试、端口基本配置、组播协议、 802.1x、AAA、SSH、ACL、QoS 等内容和全手册的缩略语解释 详细解释了 WX6103 无线控制器交换板的操作命令。包括命令行接 口、VLAN、MSTP、系统维护与调试、端口基本配置、组播协议、 802.1x、AAA、SSH、ACL、QoS 等内容和全手册的命令总索引 对用户使用 WX3000 系列有线无线一体化交换机交换引擎进行操作 指导。包括命令行接口、登录交换引擎、VLAN、GVRP、端口、MAC 地址转发表管理、 MSTP、 802.1x、 AAA、 ACL、 QoS、 SNMP、 RMON、 NTP、SSH 等模块的配置 详细解释 WX3000 系列有线无线一体化交换机交换引擎的操作命令。 包括命令行接口、登录交换引擎、VLAN、GVRP、端口、MAC 地址 转发表管理、MSTP、802.1x、AAA、ACL、QoS、SNMP、RMON、 NTP、SSH 等模块的配置命令进行了详细解释 介绍 WX 系列无线控制产品的 Web 网管功能。

《H3C S5800 系列 LSWM1WCM20 单板 手册》

《 H3C S5800-60C-PWR_S5820X-28C 系列 LSWM1WCM10 单板手册》 《H3C WX6103 无线控制器交换板 操作 手册》

《H3C WX6103 无线控制器交换板 命令 手册》

《H3C WX3000 系列有线无线一体化交 换机交换引擎 操作手册》

《H3C WX3000 系列有线无线一体化交 换机交换引擎 命令手册》

《H3C WX 系列无线控制产品 Web 网管 用户手册》

手册名称

用途

对用户使用无线控制产品(包含无线控制器、无线控制业务板和有线 无线一体化交换机的无线控制引擎模块)进行操作指导。包括命令行 《H3C WX 系列无线控制产品 用户手册》 接口、VLAN、系统维护与调试、无线、IPv4、IPv6、端口基本配置、 组播协议、802.1x、AAA、SSH、ACL、QoS 等内容和全手册的缩略 语解释、命令总索引

资料获取方式
您可以通过 H3C 网站(www.h3c.com.cn)获取最新的产品资料: H3C 网站与产品资料相关的主要栏目介绍如下: [产品技术]:可以获取产品介绍和技术介绍的文档。 [服务支持/文档中心]:可以获取安装类、配置类产品资料。 [服务支持/软件下载]:可以获取与软件版本配套的资料。

资料意见反馈
如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈: E-mail:info@h3c.com 感谢您的反馈,让我们做得更好!

前 言
本书简介
本配置案例集包含了以下内容: 1+1 热备份典型配置举例; 802.1x 无线认证和 CAMS 配合典型配置举例; 802.1x 无线认证和 IAS 配合典型配置举例; ADOS 报文流量攻击防护典型配置举例; ADOS 高优先级报文带宽保证典型配置举例; AP 自动升级版本典型配置举例; AP 自动注册的典型配置举列; EAD 典型配置举例; PPPoE Server 功能的典型配置举例; PSK 认证方式典型配置举例; Rogue AP 检测功能的典型配置举例; RSN 安全服务 ESS 典型配置举例; WAPI 典型配置举例; WEP 加密典型配置举例; 调整射频基本参数典型配置举例; 二层 IPv4 网络连接典型配置举例; 二层漫游典型配置举例; 二层组播的典型配置举例; 负载均衡典型配置举例; 进行 IPv4 三层网络连接典型配置举例; 三层漫游典型配置举例; 无线 MAC 认证典型配置举例; 用户带宽限制的典型配置举例; ARP 防攻击典型配置举例; WIDS 典型配置举例; AC 对 Quidview 网管支持典型配置举例; AP 和无线用户属于不同 VLAN 典型配置举例; Qos Profile 典型配置举例; 本地 Portal Server 典型配置举例; 本地认证典型配置举例; 动态黑名单典型配置举例; 基于 AP 的用户接入控制典型配置举例;

基于 SSID+VLAN 的本地转发典型配置举例; 基于用户名的用户权限控制典型配置举例; 无线控制产品 Console 口密码恢复典型配置举例; WX 系列无线控制器/WA 系列无线接入点 BootWare 维护典型配置举例; 无线控制器与 iMC 配合向用户下发 ACL 权限典型配置举例; 无线控制器与 Windows IAS 配合实现用户 ACL 属性的下发典型配置案例; 无线控制器与 Windows IAS 配合实现用户 VLAN 属性的下发典型配置案例; 用户报文在有线网络内优先级调整典型配置举例; 用户在线检测功能典型配置举例; LDAP+Portal 典型配置举例; N+1 备份典型配置举例; 来宾用户访问管理 802.1X 典型配置举例; 来宾用户访问管理 Portal 典型配置举例。

本书约定
1. 命令行格式约定
格 粗体 式 意 义

命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。 命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。 表示用“[ ]”括起来的部分在命令配置时是可选的。 表示从两个或多个选项中选取一个。 表示从两个或多个选项中选取一个或者不选。 表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项。 表示从两个或多个选项中选取多个或者不选。 表示符号&前面的参数可以重复输入 1~n 次。 由“#”号开始的行表示为注释行。

斜体
[] { x | y | ... } [ x | y | ... ] { x | y | ... } * [ x | y | ... ] * &<1-n> #

2. 图形界面格式约定
格 <> [] / 式 意 义

带尖括号“< >”表示按钮名,如“单击<确定>按钮”。 带方括号“[ ]”表示窗口名、菜单名和数据表,如“弹出[新建用户]窗口”。 多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建] 子菜单下的[文件夹]菜单项。

3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。 对操作内容的描述进行必要的补充和说明。

H3C WX 系列 AC 1+1 热备份典型配置举例
关键词:1+1 热备份 摘 要:本文介绍了用 H3C 公司 WX 系列无线控制产品支持 1+1 方案部署的配置。

缩略语:
缩略语 AC AP ESS WLAN SSID CAPWAP Access Control Access Ponit Extended Service Set Wireless Local Area Network Service Set Identifier Control And Provisioning of Wireless Access Points 英文全名 无线控制器 无线接入点 扩展服务集 无线局域网 服务集识别码 无线接入点控制与供应协议 中文解释

i

目 录
1 特性简介 .............................................................................................................................................. 1
1.1 特性介绍 .............................................................................................................................................. 1 1.2 特性优点 .............................................................................................................................................. 1

2 应用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 配置举例 .............................................................................................................................................. 2
4.1 组网需求 .............................................................................................................................................. 2 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 3 4.4 配置步骤 .............................................................................................................................................. 4 4.4.1 配置信息 ................................................................................................................................... 4 4.4.2 主要配置步骤 ............................................................................................................................ 7 4.4.3 验证结果 ................................................................................................................................... 8

5 相关资料 ............................................................................................................................................ 11
5.1 相关协议和标准 ................................................................................................................................. 11 5.2 其它相关资料..................................................................................................................................... 12

ii

1 特性简介
1.1 特性介绍
1+1 热备份特性仅 WX6000 系列和 WX5004 无线控制器支持。 WX6000 系 列 无 线 控 制 器 包 括 WX6013 无 线 控 制 器 , 适 用 于 S7502E/S7503E/S7506E/ S7506E-V/S7510E 以太网交换机的 LSQM1WCMB0 无线控制业务板、适用于 S9512/S9508/ S9508V/S9505 以 太 网 交 换 机 的 LSBM1WCM2A0 无 线 控 制 业 务 板 和 适 用 于 S9505E /S9508E-V/S9512E 以太网交换机的 LSRM1WCM2A1 无线控制业务板。

随着无线热点、无线城市的建设的逐步升级,AP 的接入数量越来越大,如何保障无线接入的可靠 性变得至关重要。H3C 提供的无线控制器 1+1 热备份方案可以有效的提供可靠性保证,保证无线 网络切换的快速性。 在 1+1 热备份的情况下,AP 同时与主备两台 AC 建立 CAPWAP 隧道链路,分别为主链路和备用 链路。备份 AC 能够通过心跳检测机制快速检测到主 AC 的故障,当主 AC 发生故障时,备份 AC 的工作状态立即由备用转为主用,同时将 AP 和用户切换到备份 AC 上,保障业务不会中断。 当主 AC 故障恢复后,变为备份 AC,AP 将与其建立新的备用 CAPWAP 隧道链路。 WX6000 系列无线控制器可以在 100ms 内检测到主 AC 故障;WX5004 无线控制器可以在 300ms 内检测到主 AC 故障。

1.2 特性优点
在 AC 冷备份的应用场景下,主 AC 故障时,AP 需要等待与主 AC 连接的 CAPWAP 隧道超时后才 会切换到备份 AC 上,这种情况下切换时间长,而且冷备份不对上线的无线客户端进行备份,影响 无线用户的网络体验。而 AC 热备情况下,通过心跳检测机制,能够快速检测备份 AC 的故障,同 时对上线的无线客户状态进行备份,从而 AP 可以快速从原备用 AC 获取服务,提高用户网络体验。

2 应用场合
用于对设备可靠性要求很高, 同时需要保证用户业务不间断的应用场景, 如主干网络和运营商网络。 此时,两台 AC 互为备份,提供对 AP 状态的热备份,以保证网络的正常运行。 例如:某运营商通过无线网络在该城市的城市热点内提供 Portal 认证业务,需要确保在单台 AC 故 障时,无线接入用户的上网体验不受影响。

3 注意事项
(1) 主 AC 和备份 AC 在各个 AP 视图下的配置要求一致;
1

(2)

主 AC 上 AP 视图下配置的优先级要高于备份 AC 上 AP 视图下配置的优先级(缺省优先级为 4);

(3)

主 AC 和备份 AC 上要在 hot-backup 指定的 VLAN 二层可达。

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX6103 系列有线无线一体化交换机设备, AP 通过 DHCP 服务器 从热点接入交换机 L3 switch 上获取 IP 地址并通过其携带的 option43 字段得到 AC 列表信息。

Radius server 的 IP 地址为 8.1.1.4/8。 三层交换机 L3 switch 的两个接口地址分别是 100.1.1.254/16 和 8.100.1.254/8,同时作为 DHCP Server。
图4-1 1+1 热备份组网图

4.2 配置思路
在主 AC 和备份 AC 的各个对应 AP 视图下配置相同的 AP 相关配置; 在主 AC 和备份 AC 上配置 hot-backup; 在主 AC 和备份上配置备份 AC 的 IP 地址为互为备份的对端 AC 用以和 AP 建立隧道的接口 IP 地址; 在主 AC 上的 AP 视图下,配置接入优先级为 7。

2

4.3 使用版本
# 主 AC 的版本信息
[MasterAC]display version H3C Comware Platform Software Comware Software, Version 5.20, Release 2109P04 Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX6103 uptime is 0 week, 6 days, 4 hours, 42 minutes

H3C WX6103 with 1 BCM MIPS 1125H 600MHz Processor 1024M bytes DDR 261M bytes CFCard Memory Config Register points to CFCARD

Hardware Version is Ver.C CPLD Version is 008 Backboard CPLD Version is 003 Basic Bootrom Version is 1.12 Extend Bootrom Version is 1.13 [Slot 0]EWPX1G24XA0 Hardware Version is NA [Slot 1]EWPX1FWA0 Hardware Version is NA [Slot 2]EWPX1WCMB0 Hardware Version is Ver.C

# 备份 AC 的版本信息
[BackupAC]display version H3C Comware Platform Software Comware Software, Version 5.20, Release 2109P04 Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX6103 uptime is 0 week, 6 days, 4 hours, 42 minutes

H3C WX6103 with 1 BCM MIPS 1125H 600MHz Processor 1024M bytes DDR 261M bytes CFCard Memory Config Register points to CFCARD

Hardware Version is Ver.C CPLD Version is 008 Backboard CPLD Version is 003 Basic Bootrom Version is 1.12 Extend Bootrom Version is 1.13 [Slot 0]EWPX1G24XA0 Hardware Version is NA [Slot 1]EWPX1FWA0 Hardware Version is NA [Slot 2]EWPX1WCMB0 Hardware Version is Ver.C

3

4.4 配置步骤
4.4.1 配置信息
1. 主 AC 上的配置信息
[MasterAC]display current-configuration # version 5.20, Release 2109P04 # sysname MasterAC # domain default enable system wlan backup-ac ip 10.101.0.20 # hot-backup enable domain 1 hot-backup vlan 20 # vlan 1 # vlan 20 # vlan 101 # vlan 1010 # domain system access-limit disable state active idle-cut disable self-service-url disable # user-group system # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan service-template 1 clear ssid TC bind WLAN-ESS 1 service-template enable # interface NULL0 #

4

interface Vlan-interface101 ip address 10.101.0.10 255.255.255.0 # interface M-GigabitEthernet2/0/0 # interface Ten-GigabitEthernet2/0/1 port link-type trunk port trunk permit vlan 1 20 101 1010 # interface WLAN-ESS1 port link-type hybrid port hybrid vlan 1 1010 untagged # wlan ap wa2210 model WA2210-AG priority level 7 serial-id 210235A29D0083000801 radio 1 channel auto max-power 20 service-template 1 radio enable # load xml-configuration # user-interface con 0 user-interface vty 0 4 # return

2. 备份 AC 上的配置信息
[BackupAC]display current-configuration # version 5.20, Release 2109P04 # sysname BackupAC # domain default enable system # wlan backup-ac ip 10.101.0.10 # hot-backup enable domain 1 hot-backup vlan 20 # vlan 1 vlan 20 # # vlan 101

5

# vlan 1010 # domain system access-limit disable state active idle-cut disable self-service-url disable # user-group system # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan service-template 1 clear ssid TC bind WLAN-ESS 1 service-template enable # interface NULL0 # interface Vlan-interface101 ip address 10.101.0.20 255.255.255.0 # interface M-GigabitEthernet2/0/0 # interface Ten-GigabitEthernet2/0/1 port link-type trunk port trunk permit vlan 1 20 101 1010 # interface WLAN-ESS1 port link-type hybrid port hybrid vlan 1 1010 untagged # wlan ap wa2210 model WA2210-AG serial-id 210235A29D0083000801 radio 1 channel auto max-power 20 service-template 1 radio enable # load xml-configuration

6

# user-interface con 0 user-interface vty 0 4 # return

4.4.2 主要配置步骤
在 L3 switch 上配置 DHCP server option43 字段,AP 可从 L3 switch 上动态获取 IP 地址,同时通 过 DHCP server option43 字段获取 AC 列表,本例中主 AC 的 IP 地址为 10.101.0.10/24,备份 AC 的地址为 10.101.0.20/24。 1. 配置主 AC # 在主 AC 上配置 hot-backup,指定主 AC 为 master,同时配置 AC 间用于热备份的本端数据端口 的 VLAN。
[MasterAC]hot-backup enable domain 1 [MasterAC]hot-backup vlan 20

# 在主 AC 上配置备份 AC 的 IP 地址为备份 AC 和 AP 建立隧道的接口 IP 地址。
[MasterAC]wlan backup-ac ip 10.101.0.20

# 在主 AC 的 AP 视图下配置 AP 名称为 wa2210,型号名称这里选择 WA2210-AG。

AP 的配置需要根据具体 AP 的型号和序列号进行配置。

[MasterAC] wlan ap wa2210 model WA2210-AG

# 设置主 AC 上 AP 的接入优先级(主 AC 的接入优先级一般设置为最高值,该值越大优先级越高, 缺省为 4)和序列号。
[MasterAC-wlan-ap-wa2210] priority level 7 [MasterAC-wlan-ap-wa2210] serial-id 210235A29D0083000801

# 进入 AP 的 radio1 射频视图,配置服务模板与射频 1 进行关联,使能 AP 的 radio 1 射频。
[MasterAC-wlan-ap-wa2210] radio 1 [MasterAC-wlan-ap-wa2210-radio-1] service-template 1 [MasterAC-wlan-ap-wa2210-radio-1] radio enable

# 创建 VLAN,并在 VLAN 下配置主 AC1 和 AP1 建立隧道的接口 IP 地址。
[MasterAC]vlan 101 [MasterAC-vlan101]quit [MasterAC]interface Vlan-interface 101 [MasterAC-Vlan-interface101] ip address 10.101.0.10 255.255.255.0 [MasterAC-Vlan-interface101]quit

# 配置端口 Ten-GigabitEthernet2/0/1 的链路类型为 trunk 类型,并配置仅允许 VLAN1,20,101, 1010 通过 Ten-GigabitEthernet2/0/1 端口。
[MasterAC]interface Ten-GigabitEthernet2/0/1 [MasterAC-Ten-GigabitEthernet2/0/1]port link-type trunk

7

[MasterAC-Ten-GigabitEthernet2/0/1]port trunk permit vlan 1 20 101 1010

2. 配置备份 AC # 在备份 AC 上配置 hot-backup,制定备份 AC 为 slave(不配置为 master 即为 slave),同时配 置 AC 间用于热备份的本端数据端口的 VLAN。
[BackupAC]hot-backup enable domain 1 [BackupAC]hot-backup vlan 20

# 在备份 AC 上配置主 AC 的 IP 地址为主 AC 和 AP 建立隧道的接口 IP 地址.
[BackupAC]wlan backup-ac ip 10.101.0.10

# 在备份 AC 的对应 AP 视图下配置 AP 名称为 wa2210,型号为 WA2210-AG,序列号为 210235A29D0083000801。
[BackupAC] wlan ap wa2210 model WA2210-AG [BackupAC-wlan-ap-wa2210] serial-id 210235A29D0083000801

# 进入 AP 的 radio1 射频视图,配置服务模板与射频 1 进行关联,使能 AP 的 radio 1 射频。
[BackupAC-wlan-ap-wa2210] radio 1 [BackupAC-wlan-ap-wa2210-radio-1] service-template 1 [BackupAC-wlan-ap-wa2210-radio-1] radio enable

# 创建 VLAN,并在 VLAN 下配置备份 AC 和 AP 建立隧道的接口地址。
[BackupAC]vlan 101 [BackupAC-vlan101]quit [BackupAC]interface Vlan-interface 101 [BackupAC-Vlan-interface101] ip address 10.101.0.20 255.255.255.0 [BackupAC-Vlan-interface101]quit

# 配置端口 Ten-GigabitEthernet2/0/1 的链路类型为 trunk 类型,并配置仅允许 VLAN1,20,101, 1010 通过 Ten-GigabitEthernet2/0/1 端口。
[BackupAC]interface Ten-GigabitEthernet2/0/1 [BackupAC-Ten-GigabitEthernet2/0/1]port link-type trunk [BackupAC-Ten-GigabitEthernet2/0/1]port trunk permit vlan 1 20 101 1010

4.4.3 验证结果
(1) 在主 AC 上通过命令行 display hot-backup state 查看 Link State 为 Connect、Peer Board MAC 为对端备份 AC 的 MAC 地址,Peer Board State 为 normal。
[MasterAC]display hot-backup state ****************************************************************************** Local Board Role Vlan ID Domain ID Link State Peer Board MAC Peer Board State Hello Interval : Master : 20 : 1 : Connect : 000f-e27e-0bc7 : Normal : 30

(2)

在备份 AC 上通过命令行 display hot-backup state 查看 Link State 为 Connect、 Peer Board MAC 为对端主 AC 的 MAC 地址,Peer Board State 为 normal。
8

[BackupAC]display hot-backup state ****************************************************************************** Local Board Role Vlan ID Domain ID Link State Peer Board MAC Peer Board State Hello Interval : Slave : 20 : 1 : Connect : 000f-e212-ff01 : Normal : 30

(3)

在主 AC 上通过命令行 display wlan ap name wa2210 查看 AP 的注册状态应该为 Run/M
AP Profile

[MasterAC]display wlan ap name wa2210

---------------------------------------------------------------------------------------AP Name APID State Model Serial-ID

---------------------------------------------------------------------------------------wa2210 1 Run/M WA2210-AG 210235A29D0083000801

----------------------------------------------------------------------------------------

(4)

在备份 AC 上通过命令行 display wlan ap name wa2210 查看 AP 的注册状态应该为 Run/B
AP Profile

[BackupAC]display wlan ap name wa2210

---------------------------------------------------------------------------------------AP Name APID State Model Serial-ID

---------------------------------------------------------------------------------------wa2210 1 Run/B WA2210-AG 210235A29D0083000801

(5)

在主 AC 上通过 display wlan client 命令可以看到上线的无线客户端状态为 Running
: 1

[MasterAC]display wlan client Total Number of Clients

Total Number of Clients Connected : 1 Client Information ---------------------------------------------------------------------------------------MAC Address BSSID AID State PS Mode QoS Mode

---------------------------------------------------------------------------------------001b-110b-7274 000f-e28b-fd40 1 Running Active None

----------------------------------------------------------------------------------------

(6)

在备份 AC 上通过 display wlan client 命令可以看到上线的无线客户端状态为 Running/B
: 1

[BackupAC]display wlan client Total Number of Clients

Total Number of Clients Connected : 1 Client Information ---------------------------------------------------------------------------------------MAC Address BSSID AID State PS Mode QoS Mode

---------------------------------------------------------------------------------------001b-110b-7274 000f-e28b-fd40 1 Running/B Active None

----------------------------------------------------------------------------------------

9

(7)

如果主 AC 故障(本例采用重启主 AC 的方式),备份 AC 检测到热备状态变化,会立即将本 地热备状态变为 Master,本地 AP 连接的状态由 Run/B 切换为 Run/M,上线的无线客户端状 态由 Running/B 变为 Running。

[BackupAC]display hot-backup state ****************************************************************************** Local Board Role Vlan ID Domain ID Link State Peer Board MAC Peer Board State Hello Interval : Master : 20 : 1 : Init : Unknown : Unknown : 30

[BackupAC]display wlan ap name wa2210 AP Profile ---------------------------------------------------------------------------------------AP Name APID State Model Serial-ID

---------------------------------------------------------------------------------------wa2210 1 Run/M WA2210-AG 210235A29D0083000801

[BackupAC]display wlan client Total Number of Clients : 1

Total Number of Clients Connected : 1 Client Information -----------------------------------------------------------------------------------------------------------------------------MAC Address BSSID AID State PS Mode QoS Mode

---------------------------------------------------------------------------------------001b-110b-7274 000f-e28b-fd40 1 Running Active None

----------------------------------------------------------------------------------------

(8)

当主 AC 恢复后,主 AC 的热备状态为 Slave,备份 AC 的热备状态切换为 Master;原备份 AC 上的 AP 隧道为 Run/M、无线客户端状态为 Running,原主 AC 上的 AP 隧道为 Run/B、 无线客户端状态为 Running/B。

[MasterAC]display hot-backup state ****************************************************************************** Local Board Role Vlan ID Domain ID Link State Peer Board MAC Peer Board State Hello Interval : Slave : 20 : 1 : Connect : 000f-e27e-0bc7 : Normal : 30

[BackupAC]display hot-backup state ****************************************************************************** Local Board Role Vlan ID : Master : 20

10

Domain ID Link State Peer Board MAC Peer Board State Hello Interval

: 1 : Connect : 000f-e212-ff01 : Normal : 30

[MasterAC]display wlan ap name wa2210 AP Profile ---------------------------------------------------------------------------------------AP Name APID State Model Serial-ID

---------------------------------------------------------------------------------------wa2210 1 Run/B WA2210-AG 210235A29D0083000801

----------------------------------------------------------------------------------------

[BackupAC]display wlan ap name wa2210 AP Profile ---------------------------------------------------------------------------------------AP Name APID State Model Serial-ID

---------------------------------------------------------------------------------------wa2210 1 Run/M WA2210-AG 210235A29D0083000801

[MasterAC]display wlan client Total Number of Clients : 1

Total Number of Clients Connected : 1 Client Information ---------------------------------------------------------------------------------------MAC Address BSSID AID State PS Mode QoS Mode

---------------------------------------------------------------------------------------001b-110b-7274 000f-e28b-fd40 1 Running/B Active None

----------------------------------------------------------------------------------------

[BackupAC]display wlan client Total Number of Clients : 1

Total Number of Clients Connected : 1 Client Information ---------------------------------------------------------------------------------------MAC Address BSSID AID State PS Mode QoS Mode

---------------------------------------------------------------------------------------001b-110b-7274 000f-e28b-fd40 1 Running Active None

----------------------------------------------------------------------------------------

5 相关资料
5.1 相关协议和标准

11

5.2 其它相关资料


12

H3C WX 系列 AC+Fit AP 802.1x 无线认证和 iMC 配合 典型配置举例
关键词:802.1x、RADIUS、EAPoL 摘 要:介绍了 H3C WX 系列 AC+Fit AP 802.1x 无线认证和 IMC 配合典型配置举例

缩略语:
缩略语 AC AP ESS WLAN SSID AAA IMC EAP EAPoL RADIUS Access Control Access Point Extended Service Set Wireless Local Area Network Service Set Identifier Authentication Authorization Accounting Intelligent Management Center Extensible Authentication Protocol Extensible Authentication Protocol over LAN Remote Authentication Dial-In User Service 英文全名 中文解释 无线控制器 无线接入点 扩展服务集 无线局域网 服务集识别码 认证、授权和计费 智能管理中心 可扩展认证协议 局域网上的可扩展认证协议 远程认证拨号用户服务

I





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 IEEE 802.1x远程认证配置举例............................................................................................................. 1
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 2 4.4.1 配置AC...................................................................................................................................... 2 4.4.2 配置iMC .................................................................................................................................... 6 4.5 验证结果 ............................................................................................................................................ 10

5 相关资料 ............................................................................................................................................ 12
5.1 相关协议和标准 ................................................................................................................................. 12 5.2 其它相关资料..................................................................................................................................... 12

II

1 特性简介
IEEE 802.1x 定义了基于端口的网络接入控制协议(port based network access control),该协议 适用于接入设备与接入端口间点到点的连接方式,通过开关端口的状态来实现对报文转发的控制。

2 应用场合
802.1x 协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现, 这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,但在可运营、可管理 的宽带 IP 城域网中作为一种认证方式具有极大的局限性。

3 注意事项
在配置过程中,请注意以下几点: 本配置举例设置的是无线接口上的 802.1x 认证。 在配置 RADIUS 时,primary authentication、primary accounting、server-type、key 一定要 配置正确,并且和 RADIUS 服务器一致。值得注意的是如果使用的是 IMC 服务器一定要把 server-type 设置成 extended,这样 IMC 上一些私有设置才会被 WX5002 识别。 在配置域时要把 RADIUS 方案和域关联起来。 在全局下使用 dot1x authentication-method 来指定 802.1x 的认证方法,在无线网络中,当 采用 windows 客户端进行 802.1x 认证时,只能采用 EAP 方式,因为此时的 windows 客户端 只支持 EAP 方式。

4 IEEE 802.1x 远程认证配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。

随着网络应用的广泛普及,公司越来越多核心业务会依托网络平台,但由于传统共享网络的特点, 局域网网络的安全问题日趋明显,本配置案例可以实现在网络的接入层对非法用户进行控制,既可 缓解安全问题,又能节省宝贵的带宽。 本配置举例通过在 WX5002 的 WLAN-ESS 10 端口上启用 802.1x 认证来达到对接入点 Client 进行 控制的目的。
1

图4-1 802.1x 远程认证组网图

4.2 配置思路
配置远程 802.1x 认证,需要配置以下内容: 创建 802.1x 认证时使用的 RADIUS 方案。 创建 802.1x 认证时使用的域,并在域中引用 RADIUS 方案作为 AAA 的认证方案。 在系统视图下开启全局 802.1x 认证。 在需要认证的端口下使能端口的 802.1x 特性。

4.3 使用版本
<AC> display version H3C Comware Platform Software Comware Software, Version 5.00, 0001 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5002-128 uptime is 0 week, 2 days, 17 hours, 3 minutes

CPU type: BCM MIPS 1250 700MHz 512M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.13 Extend BootROM Version: 1.14 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0.

4.4 配置步骤
4.4.1 配置 AC
1. 配置信息
<AC> display current-configuration # version 5.00, 0001

2

# sysname AC # domain default enable imc # port-security enable # dot1x authentication-method eap # vlan 1 # vlan 2 # radius scheme h3c server-type extended primary authentication 8.1.1.16 primary accounting 8.1.1.16 key authentication h3c key accounting h3c # domain imc authentication default radius-scheme h3c authorization default radius-scheme h3c accounting default radius-scheme h3c access-limit disable state active # wlan service-template 10 crypto ssid joe_dot1x bind WLAN-ESS 10 authentication-method open-system cipher-suite tkip security-ie wpa service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54 # interface NULL0 # interface LoopBack0 # interface Vlan-interface1

3

ip address 20.1.1.200 255.255.255.0 # interface Vlan-interface2 ip address 8.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 port access vlan 2 # interface M-Ethernet1/0/1 # interface WLAN-ESS10 port-security port-mode userlogin-secure-ext port-security tx-key-type 11key undo dot1x multicast-trigger # wlan ap ap1 model WA2100 serial-id h3c000fe258e820 radio 1 type 11g channel 1 max-power 3 service-template 10 radio enable # dhcp enable # load xml-configuration # user-interface aux 0 user-interface vty 0 4 # return <AC>

2. 主要配置步骤 (1) 创建 RADIUS 方案。

# 创建 RADIUS 方案 h3c 并进入其视图。
[AC] radius scheme h3c

# 设置主认证 RADIUS 服务器的 IP 地址 8.1.1.16。
[AC-radius-h3c] primary authentication 8.1.1.16

# 设置主计费 RADIUS 服务器的 IP 地址 8.1.1.16。
[AC-radius-h3c] primary accounting 8.1.1.16

# 设置系统与认证 RADIUS 服务器交互报文时的共享密钥为 h3c。
[AC-radius-h3c] key authentication h3c

4

# 设置系统与计费 RADIUS 服务器交互报文时的共享密钥为 h3c。
[AC-radius-h3c] key accounting h3c

# 将 RADIUS 方案 h3c 的 RADIUS 服务器类型设置为 extended。
[AC-radius-h3c] server-type extended

(2)

创建 domain 域。

# 创建 imc 域并进入其视图。
[AC] domain imc

# 为 lan-access 用户配置认证方案为 RADIUS 方案,方案名为 h3c。
[AC-isp-imc] authentication lan-access radius-scheme h3c

# 为 lan-access 用户配置授权方案为 RADIUS 方案,方案名为 h3c。
[AC-isp-imc] authorization lan-access radius-scheme h3c

# 为 lan-access 用户配置计费方案为 RADIUS 方案,方案名为 h3c。
[AC-isp-imc] accounting lan-access radius-scheme h3c

(3) (4) (5)

全局使能 802.1x。 设置 802.1x 用户的认证方式为 EAP。 配置接口 WLAN-ESS 10。

[AC] port-security enable

[AC] dot1x authentication-method eap

# 创建接口 WLAN-ESS10 并进入其视图。
[AC] interface WLAN-ESS 10

# WLAN-ESS 10 上使能 802.1x 端口安全模式。
[AC-WLAN-ESS10] port-security port-mode userlogin-secure-ext

# 在接口 WLAN-ESS10 下使能 11key 类型的密钥协商功能。
[AC-WLAN-ESS10] port-security tx-key-type 11key

(6)

无线服务集设置。

# 创建 crypto 类型的服务模板 10 并进入其视图。
[AC] wlan service-template 10 crypto

# 设置当前服务模板的 SSID(服务模板的标识)为 joe_dot1x。
[AC-wlan-st-10] ssid joe_dot1x

# 将 WLAN-ESS10 接口绑定到服务模板 10。
[AC-wlan-st-10] bind WLAN-ESS 10

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-10] authentication-method open-system

# 使能 TKIP 加密套件。
[AC-wlan-st-10] cipher-suite tkip

# 设置在 AP 发送信标和探查响应帧时携带 WPA IE。
[AC-wlan-st-10] security-ie wpa

5

# 使能服务模板。
[AC-wlan-st-10] service-template enable

4.4.2 配置 iMC
iMC 版本:

1. 增加接入设备: (1) 在 iMC“业务”配置页面选择“接入业务管理”中的“接入设备配置”,在如下页面中单击< 增加>按钮,增加接入设备,如下图所示:

(2)

在“增加接入设备”页面单击<手工增加>按钮,如下图所示:
6

(3)

在弹出的如下对话框中输入接入设备的 IP 地址(如果只有一个接入设备,这里输入的起始 IP 地址和结束 IP 地址可以完全一样),然后单击<确定>按钮,如下图所示:

(4)

根据需要设置如下一些接入配置参数,然后单击<确定>按钮,如下图所示:

(5)

增加接入设备成功,如下图所示:

7

2. 配置服务策略: (1) 在 iMC“业务>接入业务”中选择“服务配置管理”,在“服务配置管理”页面中单击<增加> 按钮,如下图所示:

(2)

在“业务>接入业务>服务配置管理>增加服务配置”中输入服务名“joe-1x”,并在证书认证 处选择“EAP 证书认证”,在认证证书类型处选择“EAP-PEAP 认证”,如下图所示:

8

3. 配置帐号用户: (1) 在 iMC“用户>用户管理”中选择“增加用户”,在“增加用户”界面中增加用户,如下图所 示:

(2)

输入用户名“joe-peap”,证件号码可以根据需要输入相关证件号码,然后点击<确定>按钮, 提示增加用户成功,如下图所示:

9

(3)

在上面的“用户>增加用户结果”页面选择“增加用户帐号”,在“用户>增加接入用户”页 面输入帐号和密码(这里采用的用户名为 joe-peap 和密码均为 joe),选择前面配置的接入 服务“joe_1x”,其它参数可以根据需要配置,如下图所示:

4.5 验证结果
在未通过 802.1x 认证的情况下使用 PC1 访问 internet,PC 不能访问 Internet 上的资源。 在 PC1 上使用 802.1x 客户端进行认证,PC1 可以通过 802.1x 认证成功,并且可以正常访问 internet 上的资源。需根据不同设置认证方式的不同(peap)对无线客户端进行相应的配置。 (1) (2) 添加 SSID。 首先在无线网络属性中,添加 SSID,并选择相应的加密方式、认证方式。

10

(3)

在验证对话框中,选择 EAP 类型为 PEAP,点击<属性>,去掉验证服务器证书选项(此处不 验证服务器证书),点击<配置>,去掉自动使用 Windows 登陆名和密码选项,然后点击<确 定>。

11

5 相关资料
5.1 相关协议和标准
表5-1 相关协议与标准 标准号 RFC 2284 IEEE 802.1x 标题 PPP Extensible Authentication Protocol (EAP) Port-Based Network Access Control

5.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》“安全分册”中“802.1x 配置”、“MAC 地址认 证配置”和“AAA 配置”。
12

《H3C WX 系列无线控制产品 用户手册》“安全分册”中“802.1x 命令”、“MAC 地址认 证命令”和“AAA 命令”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中“WLAN 安全配置”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中“WLAN 安全命令”。

13

H3C WX 系列 AC+Fit AP 802.1x 无线认证和 IAS 配合 典型配置举例
关键词:802.1x,Radius,Eapol 摘 要:IEEE 802.1x 定义了基于端口的网络接入控制协议(port based network access control), 该协议适用于接入设备与接入端口间点到点的连接方式。 通过开关端口的状态来实现对报文转发 的控制。 缩略语:
缩略语 AC AP SSID EAP EAPOL Radius AAA Access Control Access Point Service Set Identifier Extensible Authentication Protocol EAP over Lans Remote Authentication Dial In User Service Authentication Authorization Accounting 英文全名 无线控制器 无线接入点 服务集识别码 可扩展认证协议 基于局域网的可扩展认证协议 基于用户服务的远程拨号认证 认证 授权 计费 中文解释

I





1 特性简介 .............................................................................................................................................. 1 2 使用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 IAS配置举例 ......................................................................................................................................... 1
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 2 4.4.1 主要配置步骤 ............................................................................................................................ 4 4.5 验证结果 .............................................................................................................................................. 8 4.6 注意事项 .............................................................................................................................................. 8

5 相关资料 .............................................................................................................................................. 8
5.1 相关协议和标准 ................................................................................................................................... 8 5.2 其它相关资料....................................................................................................................................... 9

II

1 特性简介
IEEE 802.1X 定义了基于端口的网络接入控制协议(port based network access control),该协议 适用于接入设备与接入端口间点到点的连接方式。通过开关端口的状态来实现对报文转发的控制。

2 使用场合
802.1x 协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现, 这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而在可运营、可管理 的宽带 IP 城域网中作为一种认证方式具有极大的局限性。

3 注意事项
接入设备上服务器端口配置正确 相关 AAA 配置正确。

4 IAS 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器, 使用的是 WA2100 无线局域网接入点。 AP AC 的 IP 地址为 192.168.1.50/24,Radius Server 的 IP 地址为 8.1.1.4/8,AP 和 Client 通过 DHCP 服 务器获取 IP 地址。

本典型配置举例简化组网为两台 PC(Client)以及一台 Fit AP 和无线控制器 AC 通过 IP 网络相连。

1

图4-1 802.1X 无线认证和 IAS 配合组网图

8.1.1.4/8

192.168.1.50/24

4.2 配置思路
(1) (2) 配置 802.1X 配置服务器

4.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.00, 0001 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jul 13 2007 14:32:12, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 2 days, 17 hours, 3 minutes

CPU type: BCM MIPS 1250 700MHz 512M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.13 Extend BootROM Version: 1.14 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0.

4.4 配置步骤
配置 802.1X:
<AC>display current-configuration # version 5.00, 0001

2

# sysname AC # configure-user count 1 # domain default enable ias # port-security enable # dot1x authentication-method eap # vlan 1 # vlan 2 to 4094 # radius scheme system primary authentication 127.0.0.1 primary accounting 127.0.0.1 key authentication h3c key accounting h3c accounting-on enable radius scheme ias server-type extended primary authentication 8.1.1.4 primary accounting 8.1.1.4 key authentication h3c key accounting h3c timer realtime-accounting 3 user-name-format without-domain undo stop-accounting-buffer enable accounting-on enablee # domain ias authentication default radius-scheme ias authorization default radius-scheme ias accounting default radius-scheme ias access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable # wlan radio-policy rp beacon-interval 500

3

# wlan service-template 2 crypto ssid h3c-dot1x bind WLAN-ESS 2 authentication-method open-system cipher-suite ccmp security-ie rsn gtk-rekey method time-based 180 service-template enable # interface NULL0 # interface Vlan-interface1 ip address 192.168.1.50 255.255.255.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS2 port-security port-mode userlogin-secure-ext port-security tx-key-type 11key # wlan ap ap3 model WA2100 serial-id 210235A29G007C000020 radio 1 type 11g radio-policy rp service-template 2 radio enable # ip route-static 0.0.0.0 0.0.0.0 192.168.1.1 #

4.4.1 主要配置步骤
1. 在 802.1X 接入端配置 802.1X 和认证 (1) 启用 port-security,配置 802.1X 认证方式为 EAP

[AC]port-security enable [AC]dot1x authentication-method eap

(2)

配置认证策略

# 创建 RADIUS 方案 ias 并进入其视图。
[AC]radius scheme ias

# 将 RADIUS 方案 ias 的 RADIUS 服务器类型设置为 extended。
[AC-radius-ias]server-type extended

# 设置主认证 RADIUS 服务器的 IP 地址 8.1.1.4。
4

[AC-radius-ias]primary authentication 8.1.1.4

# 设置主计费 RADIUS 服务器的 IP 地址 8.1.1.4。
[AC-radius-ias]primary accounting 8.1.1.4

# 设置系统与认证 RADIUS 服务器交互报文时的共享密钥为 h3c。
[AC-radius-ias]key authentication h3c

# 设置系统与计费 RADIUS 服务器交互报文时的共享密钥为 h3c。
[AC-radius-ias]key accounting h3c

# 将 RADIUS 方案 ias 的实时计费的时间间隔设置为 3 分钟。
[AC-radius-ias]timer realtime-accounting 3

# 指定发送给 RADIUS 方案 ias 中 RADIUS 服务器的用户名不得携带域名。
[AC-radius-ias]user-name-format without-domain

# 禁止在设备上缓存没有得到响应的停止计费请求报文。
[AC-radius-ias]undo stop-accounting-buffer enable

# 使能 accounting-on 功能。
[AC-radius-ias]accounting-on enable

(3)

配置认证域

# 创建 ias 域并进入其视图。
[AC-radius-ias]domain ias

# 在 ISP 域 ias 下,为所有类型的用户配置方案名为 ias 的 RADIUS 认证方案。
[AC-isp-ias]authentication default radius-scheme ias

# 在 ISP 域 ias 下,为所有类型的用户配置方案名为 ias 的 RADIUS 授权方案。
[AC-isp-ias]authorization default radius-scheme ias

# 在 ISP 域 ias 下,为所有类型的用户配置方案名为 ias 的 RADIUS 计费方案。
[AC-isp- ias]accounting default radius-scheme ias

(4) (5)

把配置的认证域 IAS 设置为系统缺省域 配置射频策略

[AC-isp-ias]domain default enable ias

# 创建一个名为 rp 的射频策略。
[AC]wlan radio-policy rp

# 设置发送信标帧的时间间隔为 500TU。
[AC-wlan-rp-rp]beacon-interval 500

(6)

配置无线接口,认证方式为 EAP

[AC-wlan-rp-rp]interface WLAN-ESS2

# 配置无线端口 WLAN-ESS2 的端口安全模式为 userlogin-secure-ext。
[AC-WLAN-ESS2]port-security port-mode userlogin-secure-ext

# 在接口 WLAN-ESS2 下使能 11key 类型的密钥协商功能。
[AC-WLAN-ESS2]port-security tx-key-type 11key

(7)

配置无线服务模板
5

# 创建 crypto 类型的服务模板 2。
[AC-wlan-rp-rp]wlan service-template 2 crypto

# 设置当前服务模板的 SSID(服务模板的标识)为 h3c-dot1x。
[AC-wlan-st-2]ssid h3c-dot1x

# 将 WLAN-ESS2 接口绑定到服务模板 2。
[AC-wlan-st-2]bind WLAN-ESS 2

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-2]authentication-method open-system

# 使能 CCMP 加密套件。
[AC-wlan-st-2] cipher-suite ccmp

# 配置信标和探查帧携带 RSN IE 信息。
[AC-wlan-st-2] security-ie rsn

# 使能服务模板。
[AC-wlan-st-2]service-template enable

(8)

配置 Fit AP

# 创建 AP 管理模板,其名称为 ap3,型号名称这里选择 WA2100。
[AC-WLAN-ESS2]wlan ap ap3 model WA2100

# 设置 AP 的序列号为 210235A29G007C000020。
[AC-wlan-ap-ap3]serial-id 210235A29G007C000020

# 设置 radio1 的射频类型为 802.11g。
[AC-wlan-ap-ap3]radio 1 type 11g

# 将射频策略 rp 映射到射频 1。
[AC-wlan-ap-ap3-radio-1]radio-policy rp

# 将在 AC 上配置的 crypto 类型的服务模板 2 与射频 1 进行关联。
[AC-wlan-ap-ap3-radio-1]service-template 2

# 使能 AP 的 radio 1。
[AC-wlan-ap-ap3-radio-1]radio enable

(9)

配置 VLAN 虚接口

[AC-wlan-ap-ap3-radio-1]interface Vlan-interface1 [AC-Vlan-interface1]ip address 192.168.1.50 255.255.255.0

(10) 配置缺省路由
[AC-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

6

2. 在 IAS 上配置 802.1X 认证项: 配置 Radius 客户端:

配置远程访问策略:

7

编辑拨入配置文件:

IAS 相关的其他配置(比如采用证书认证时需要的证书、AD 中的用户等)这里不再详细说明,请 参考 windows 相关帮助文档。

4.5 验证结果
使用 display dot1x sessions 查看 802.1X 用户,是否用户在线。

4.6 注意事项
(1) (2) 如果采用 EAP-TLS/EAP-PEAP 认证,需要 IAS 服务器上有服务器验证证书。 还需要在 AD 中配置认证用户,并允许该用户远程拨入(windows 创建一个用户后,缺省是禁 止拨入的)。 相关配置请参考 windows IAS 配置说明。

5 相关资料
5.1 相关协议和标准
表5-1 相关协议与标准 标准号 RFC 2284 IEEE 802.1x 标题 PPP Extensible Authentication Protocol (EAP) Port-Based Network Access Control

8

5.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》 “安全分册”的“端口安全配置”和“AAA 配置”。 《H3C WX 系列无线控制产品 用户手册》 “安全分册”的“端口安全命令”和“AAA 命令”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”的“WLAN 服务配置”和“WLAN 服务命令”。

9

H3C WX 系列 AC+Fit AP ADOS 报文流量攻击防护 典型配置举例
关键词:ADOS,系统安全、系统资源攻击、限速 摘 要:ADOS 功能用于防止正常的协议报文过多的对无线局域网络中的无线控制器 AC 进行访问,大量 占用无线控制器 AC 的 CPU 的处理能力。 同时 ADOS 功能用于防止限制业务报文的流量,避 免某个业务流量占用大量的带宽,达到合理分配带宽的目的。 缩略语:
缩略语 DOS ARP ICMP IGMP PIM DHCP CAPWAP NTP 英文全名 Denial of Service Address Resolution Protocol Internet Control and Management Protocol Internet Group Member Protocol Protocol-Independent Multicast Dynamic Host Control Protocol Control And Provisioning of Wireless Access Points Network Timer Protocol 拒绝服务 地址解析协议 互联网控制与管理协议 互联网组成员协议 协议无关组播 动态主机控制协议 无线接入点控制和规定 网络时钟协议 中文解释

I





1 特性简介 .............................................................................................................................................. 1 2 使用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 配置举例 .............................................................................................................................................. 1
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 3 4.4.1 配置AC...................................................................................................................................... 3 4.4.2 配置 3900 交换机 ...................................................................................................................... 5 4.4.3 配置用户(以WINDOWS XP为例)通过DHCP方式获取地址 .................................................. 7 4.5 验证结果 .............................................................................................................................................. 7

5 相关资料 .............................................................................................................................................. 9
5.1 相关协议和标准 ................................................................................................................................... 9 5.2 其它相关资料....................................................................................................................................... 9

II

1 特性简介
DoS(Denial of Service,拒绝服务)攻击就是利用合理的服务请求来占用过多的服务资源,从而 使合法用户无法得到服务的响应。针对 DoS 攻击采用下列处理流程进行防护: 对各种报文依据相应的流量门限值进行测速。 如果流量超限则将报文丢弃;否则根据管理协议报文为高优先级、用户数据报文为低优先级、 其他应用协议报文为中优先级的分类原则将其送入软件优先级队列。 管理协议报文包括:目的 IP 为本机的 TELNET、SNMP、HTTP 协议报文。 其他协议报文包括:802.11MAC 管理、802.1X、ARP、DHCP、HWTACACS、ICMP、IGMP、 MLD、LWAPP、ND、NTP、PIM、RADIUS。

2 使用场合
ADOS 功能用于防止正常的协议报文过多的对无线局域网络中的无线控制器 AC 进行访问,大量占 用无线控制器 AC 的 CPU 的处理能力。 同时 ADOS 功能用于防止限制业务报文的流量, 避免某个 业务流量占用大量的带宽,达到合理分配带宽的目的。

3 注意事项
(1) ADOS 报文流量攻击防护是专门针对协议报文目的地是无线控制器的攻击,访问目的地不是 AC 的协议报文不进行防护。 (2) (3) (4) 业务报文攻击防护是指经由 AC 转发的业务报文,这类报文的防护没有访问的目的地的限制。 在快转开启的情况下,ADOS 攻击防护功能不起作用,所以需要关闭快转功能。 ADOS 攻击防护可能检测攻击来源的 MAC,IP 或是 端口。

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。

无线客户端 Client1 和 Client2 通过无线局域网络连到无线控制器 AC 上。 要求用户对无线控制器 AC 的管理报文的数量不能超过 AC 的门限。管理报文包括目的 IP 地 址均为本设备网关的 TELNET 报文、SNMP 报文、HTTP 报文。正常情况下 CPU 分配给管理
1

报文的处理资源有限, 过多的管理报文会对 CPU 造成攻击。 当管理报文流量超过系统门限时, 将超出门限部分的管理报文丢弃并记录攻击统计。 同时要求对其它的协议报文的流量进行门限值的限定,超过门限的丢弃。其它的协议报文包 括: 802.11MAC 管理、 802.1X、 ARP、 DHCP、 HWTACACS、 ICMP、 IGMP、 MLD、 LWAPP、 ND、NTP、PIM、RADIUS。
图4-1 ADOS 报文流量攻击防护典型配置举例

4.2 配置思路
(1) (2) 在无线控制器 AC 上使能 ADOS 功能。 在 POE 供电交换机 3900 上使能 POE 功能。

4.3 使用版本
<AC>_display version H3C Comware Platform Software Comware Software, Version 5.00, Release 1103 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5002-128 uptime is 0 week, 0 day, 0 hour, 11 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.13 Extend BootROM Version: 1.14 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

2

4.4 配置步骤
4.4.1 配置 AC
1. 配置信息
[AC]display current-configuration # version 5.00, ESS 1102 # sysname AC # domain default enable system # undo l2fw fast-forwarding # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool test network 1.1.1.0 mask 255.255.255.0 # wlan radio-policy 1 # wlan service-template 1 clear ssid TEST_AP1 bind WLAN-ESS 1 authentication-method open-system service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54 # interface NULL0 # interface Vlan-interface1 ip address 1.1.1.250 255.255.255.0

3

# interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS1 # wlan ap test_ap1 model WA2100 serial-id 210235A29G007C000020 radio 1 type 11g radio-policy 1 service-template 1 radio enable # dhcp enable user-interface aux 0 user-interface vty 0 4 # return

2. 主要配置步骤 (1) 使能 ADOS 防攻击

<AC>system-view [AC]anti-attack enable

(2) (3)

取消快转使能后,ADOS 防攻击才生效 配置 AC 的地址

[AC]undo l2fw fast-forwarding

[AC]interface vlan 1 [AC-Vlan-interface1]ip address 1.1.1.250 24

(4)

配置用户地址池

# 使能 DHCP 服务。
[AC]dhcp enable

# 创建名称为 test 的 DHCP 普通模式地址池。
[AC]dhcp server ip-pool test

# 配置 DHCP 地址池 test 动态分配的地址范围为 1.1.1.0/24。
[AC-dhcp-pool-test]network 1.1.1.0 24

(5)

配置 AP

# 创建 clear 类型的服务模板 1。
[AC]wlan service-template 1 clear

# 设置当前服务模板的 SSID(服务模板的标识)为 test_ap1。
[AC-wlan-st-1]ssid test_ap1

4

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-1]authentication-method open-system

# 将 WLAN-ESS1 接口绑定到服务模板 1。
[AC-wlan-st-1]bind WLAN-ESS 1

# 使能服务模板。
[AC-wlan-st-1]service-template enable [AC-wlan-st-1]quit

# 创建一个名为 1 的射频策略。
[AC]wlan radio-policy 1 [AC-wlan-rp-1]quit

# 创建 AP 管理模板,其名称为 test_ap1,型号名称这里选择 WA2100。
[AC]wlan ap test_ap1 model wa2100

# 设置 AP 的序列号为 210235A29G007C000020。
[AC-wlan-ap-test_ap1]serial-id 210235A29G007C000020

# 设置 radio1 的射频类型为 802.11g。
[AC-wlan-ap-test_ap1]radio 1 type 11g

# 将在 AC 上配置的 clear 类型的服务模板 1 与射频 1 进行关联。
[AC-wlan-ap-test_ap1-radio-1]service-template 1

# 将射频策略 1 映射到射频 1。
[AC-wlan-ap-test_ap1-radio-1]radio-policy 1

# 使能 AP 的 radio 1。
[AC-wlan-ap-test_ap1-radio-1]radio enable [AC-wlan-ap-test_ap1-radio-1]quit [AC-wlan-ap-test_ap1]quit

4.4.2 配置 3900 交换机
1. 配置信息
[3900_poe]display current-configuration # sysname 3900_poe # radius scheme system # domain system # vlan 1 # interface Aux1/0/0 # interface Ethernet1/0/1 poe enable #

5

interface Ethernet1/0/2 # interface Ethernet1/0/3 # interface Ethernet1/0/4 # interface Ethernet1/0/5 # interface Ethernet1/0/6 # interface Ethernet1/0/7 # interface Ethernet1/0/8 # interface Ethernet1/0/9 # interface Ethernet1/0/10 # interface Ethernet1/0/11 # interface Ethernet1/0/12 # interface Ethernet1/0/13 # interface Ethernet1/0/14 # interface Ethernet1/0/15 # interface Ethernet1/0/16 # interface Ethernet1/0/17 # interface Ethernet1/0/18 # interface Ethernet1/0/19 # interface Ethernet1/0/20 # interface Ethernet1/0/21 # interface Ethernet1/0/22 # interface Ethernet1/0/23 # interface Ethernet1/0/24 # interface GigabitEthernet1/1/1 #

6

interface GigabitEthernet1/1/2 # interface GigabitEthernet1/1/3 # interface GigabitEthernet1/1/4 # undo irf-fabric authentication-mode # interface NULL0 # user-interface aux 0 7 user-interface vty 0 4 # return

2. 主要配置步骤 (1) 在于 AP 相连的以太网接口 Ethernet 1/0/1 上使能 POE 服务

<3900_poe>system-view [3900_poe]interface Ethernet 1/0/1 [3900_poe-Ethernet1/0/1]poe enable

4.4.3 配置用户(以 WINDOWS XP 为例)通过 DHCP 方式获取地址
右击桌面“网上邻居”-> 单击“属性”—>进入“网络连接”窗口,右击“网络连接”-> 进入 “本地连接属性”窗口,选择适当的“连接时使用”的无线网卡,选择“Internet 协议(TCP/IP)”, 点击“属性”-> 进入“Internet 协议(TCP/IP)属性”窗口,选择“自动获得 IP 地址”和“自动 获得 DNS 服务器地址”,即可。

4.5 验证结果
(1) (2) 下面以几个比较典型的报文的攻击防护为例验证结果: AC 在做了以上的配置后,正常情况下无 ADOS 攻击时的攻击统计。

[AC-ui-vty0]display anti-attack all The number of total all attack packets is 0 The number of the lastest all attack sources in buffer is 0

Mac

Ip

Bssid

Interface

Time

---------------------------------------------------------------------------

(3)

AC 在收到超过了系统门限的管理报文后, ADOS 功能监测到该攻击来于源 IP 地址是 1.1.1.3, 且丢掉了超过门限的包共 1470 个以及攻击发生的最新时间。

[AC]display anti-attack admin The number of total admin attack packets is 1470

7

The number of the lastest admin attack sources in buffer is 1

Mac

Ip

Bssid

Interface

Time

--------------------------------------------------------------------------1.1.1.3 05:12:33 02/12/2007

(4)

AC 的接口 GigabitEthernet1/0/1 在收到超过了系统门限的 ICMP 报文后的攻击防护统计:

[AC]dispaly anti-attack icmp The number of total icmp attack packets is 376 The number of the lastest icmp attack sources in buffer is 1

Mac

Ip

Bssid

Interface

Time

--------------------------------------------------------------------------GigabitEthernet1/0/1 05:24:56 02/12/2007

(5)

AC 收到超过了系统门限的 ARP 报文后的攻击防护统计:

[AC]dispaly anti-attack arp The number of total arp attack packets is 191 The number of the lastest arp attack sources in buffer is 1

Mac

Ip

Bssid

Interface

Time

--------------------------------------------------------------------------000f-e212-7700 05:28:54 02/12/2007

(6)

AC 收到超过了系统门限的 802.1X 报文后的攻击防护统计:

[AC]dispaly anti-attack dot1x The number of total dot1x attack packets is 304 The number of the lastest dot1x attack sources in buffer is 1

Mac

Ip

Bssid

Interface

Time

--------------------------------------------------------------------------000f-e212-7700 05:34:28 02/12/2007

(7)

AC 收到超过了系统门限的 DHCP 报文后的攻击防护统计:

[AC]dispaly anti-attack dhcp The number of total dhcp attack packets is 1478 The number of the lastest dhcp attack sources in buffer is 3

Mac

Ip

Bssid

Interface

Time

-------------------------------------------------------------------000f-e212-5100 000f-e2cc-0052 000f-e212-7702 05:48:51 02/12/2007 05:47:34 02/12/2007 05:39:31 02/12/2007

8

5 相关资料
5.1 相关协议和标准


5.2 其它相关资料
《H3C WX 系列无线控制器 用户手册》“安全分册”中的“安全防攻击”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中的“WLAN 安全”。 《H3C WX 系列无线控制产品 用户手册》“IP 业务分册”中的“DHCP”。

9

H3C WX 系列 AC+Fit AP ADOS 高优先级报文带宽保证 典型配置举例
关键词:ADOS,系统安全、系统资源攻击、限速 摘 要:如果网络中存在低优先级别的报文流量超过系统门限,正常流量的高优先级报文会被超大流量的 低优先级报文淹没并丢弃, 导致网络不可用。 ADOS 高优先级报文带宽保证功能设计用于防止这 种情况的出现,它会将高优先级的报文分离出来并优先处理。 缩略语:
缩略语 DOS ARP ICMP IGMP PIM DHCP CAPWAP NTP Denial of Service Address Resolution Protocol Internet Control and Management Protocol Internet Group Member Protocol Protocol-Independent Multicast Dynamic Host Control Protocol Control And Provisioning of Wireless Access Points Network Timer Protocol 英文全名 拒绝服务 地址解析协议 互联网控制与管理协议 互联网组成员协议 协议无关组播 动态主机控制协议 无线接入点控制和规定 网络时钟协议 中文解释

i





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 配置举例 .............................................................................................................................................. 1
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 3 4.4.1 配置AC...................................................................................................................................... 3 4.4.2 配置 3900 交换机 ...................................................................................................................... 5 4.4.3 配置用户(以WINDOWS XP为例)通过DHCP方式获取地址 .................................................. 7 4.5 验证结果 .............................................................................................................................................. 7

5 相关资料 .............................................................................................................................................. 8
5.1 相关协议和标准 ................................................................................................................................... 8 5.2 其它相关资料....................................................................................................................................... 9

ii

1 特性简介
DoS(Denial of Service,拒绝服务)攻击就是利用合理的服务请求来占用过多的服务资源, 从而使合法用户无法得到服务的响应。 管理协议报文包括:目的 IP 为本机的 TELNET、SNMP、HTTP 协议报文。 其他协议报文包括:802.11MAC 管理、 802.1X、 ARP、DHCP、HWTACACS、 ICMP、 IGMP、 MLD、LWAPP、ND、NTP、PIM、RADIUS。 各类协议的优先级不同,要确保高优先级报文的带宽。当低优先级报文流量超过系统门限时, 为了防止正常流量的高优先级报文被超大流量的低优先级报文淹没并丢弃,需要及时把高优 先级报文分离出并处理。

2 应用场合
如果网络中存在低优先级别的报文流量超过系统门限,正常流量的高优先级报文会被超大流量的低 优先级报文淹没并丢弃,导致网络不可用。ADOS 高优先级报文带宽保证功能设计用于防止这种情 况的出现,它会将高优先级的报文分离出来并优先处理。

3 注意事项
(1) ADOS 报文流量攻击防护是专门针对协议报文目的地是无线控制器的攻击,访问目的地不是 AC 的协议报文不进行防护。 (2) (3) (4) 业务报文攻击防护是指经由 AC 转发的业务报文,这类报文的防护没有访问的目的地的限制。 在快转开启的情况下,ADOS 攻击防护功能不起作用,所以需要关闭快转功能。 协议有线级别分为 3 个优先级,管理报文的优先级别最高,其它协议报文在使能相应的功能 时优先级别为中级,数据报文和其它协议报文在对应的协议功能没有使能时的优先级别为最 低。

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。

1

多个无线客户端 Client 通过无线局域网络连到无线控制器 AC 上。同时有线网络也连接到 AC 上。 要求网络用户使用超过 AC 的 ADOS 系统门限的业务报文时对 AC 的管理连接工作正常。包 括 TELNET、SNMP、HTTP。同时启动了相应功能的其它协议报文也能工作正常。 要求启动了相应功能的其它协议报文的流量超过 AC 的 ADOS 系统门限时,对 AC 的管理连 接工作正常。包括 TELNET、SNMP、HTTP。 其它的协议报文包括: 802.11MAC 管理、 802.1X、 ARP、 DHCP、 HWTACACS、 ICMP、 IGMP、 MLD、LWAPP、ND、NTP、PIM、RADIUS。
图4-1 ADOS 高优先级报文带宽保证典型配置举例

4.2 配置思路
(1) (2) 在无线控制器 AC 上使能 ADOS 功能。 在 POE 供电交换机 3900 上使能 POE 功能。

4.3 使用版本
<AC>_display version H3C Comware Platform Software Comware Software, Version 5.00, Release 1103 Comware Platform Software Version COMWAREV500R002B35D005 H3C WX5002-128 Software Version V100R001B05D005 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jul 23 2007 17:39:12, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 0 day, 0 hour, 11 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.13

2

Extend BootROM Version: 1.14 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

4.4 配置步骤
4.4.1 配置 AC
1. 配置信息
[AC]display current-configuration # version 5.00, ESS 1102 # sysname AC # domain default enable system # undo l2fw fast-forwarding # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool test network 1.1.1.0 mask 255.255.255.0 # wlan radio-policy 1 # wlan service-template 1 clear ssid TEST_AP1 bind WLAN-ESS 1 authentication-method open-system service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11

3

11g supported-rate 6 9 12 18 24 36 48 54 # interface NULL0 # interface Vlan-interface1 ip address 1.1.1.250 255.255.255.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS1 # wlan ap test_ap1 model WA2100 serial-id 210235A29G007C000020 radio 1 type 11g radio-policy 1 service-template 1 radio enable # dhcp enable user-interface aux 0 user-interface vty 0 4 # return

2. 主要配置步骤 (1) 使能 ADOS 防攻击

<AC>system-view [AC]anti-attack enable

(2) (3)

取消快转使能后,ADOS 防攻击才生效 配置 AC 的 IP 地址

[AC]undo l2fw fast-forwarding

[AC]interface vlan 1 [AC-Vlan-interface1]ip address 1.1.1.250 24

(4)

配置用户地址池

# 使能 DHCP 服务。
[AC]dhcp enable

# 创建名称为 test 的 DHCP 普通模式地址池。
[AC]dhcp server ip-pool test

# 配置 DHCP 地址池 test 动态分配的地址范围为 1.1.1.0/24。
[AC-dhcp-pool-test]network 1.1.1.0 24

4

(5)

配置 AP

# 创建 clear 类型的服务模板 1。
[AC]wlan service-template 1 clear

# 设置当前服务模板的 SSID(服务模板的标识)为 test_ap1。
[AC-wlan-st-1]ssid test_ap1

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-1]authentication-method open-system

# 将 WLAN-ESS1 接口绑定到服务模板 1。
[AC-wlan-st-1]bind WLAN-ESS 1

# 使能服务模板。
[AC-wlan-st-1]service-template enable [AC-wlan-st-1]quit

# 创建一个名为 1 的射频策略。
[AC]wlan radio-policy 1 [AC-wlan-rp-1]quit

# 创建 AP 管理模板,其名称为 test_ap1,型号名称这里选择 WA2100。
[AC]wlan ap test_ap1 model wa2100

# 设置 AP 的序列号为 210235A29G007C000020。
[AC-wlan-ap-test_ap1]serial-id 210235A29G007C000020

# 设置 radio1 的射频类型为 802.11g。
[AC-wlan-ap-test_ap1]radio 1 type 11g

# 将在 AC 上配置的 clear 类型的服务模板 1 与射频 1 进行关联。
[AC-wlan-ap-test_ap1-radio-1]service-template 1

# 将射频策略 1 映射到射频 1。
[AC-wlan-ap-test_ap1-radio-1]radio-policy 1

# 使能 AP 的 radio 1
[AC-wlan-ap-test_ap1-radio-1]radio enable [AC-wlan-ap-test_ap1-radio-1]quit [AC-wlan-ap-test_ap1]quit

4.4.2 配置 3900 交换机
1. 配置信息
[3900_poe]display current-configuration # sysname 3900_poe # radius scheme system # domain system #

5

vlan 1 # interface Aux1/0/0 # interface Ethernet1/0/1 poe enable # interface Ethernet1/0/2 # interface Ethernet1/0/3 # interface Ethernet1/0/4 # interface Ethernet1/0/5 # interface Ethernet1/0/6 # interface Ethernet1/0/7 # interface Ethernet1/0/8 # interface Ethernet1/0/9 # interface Ethernet1/0/10 # interface Ethernet1/0/11 # interface Ethernet1/0/12 # interface Ethernet1/0/13 # interface Ethernet1/0/14 # interface Ethernet1/0/15 # interface Ethernet1/0/16 # interface Ethernet1/0/17 # interface Ethernet1/0/18 # interface Ethernet1/0/19 # interface Ethernet1/0/20 # interface Ethernet1/0/21 # interface Ethernet1/0/22

6

# interface Ethernet1/0/23 # interface Ethernet1/0/24 # interface GigabitEthernet1/1/1 # interface GigabitEthernet1/1/2 # interface GigabitEthernet1/1/3 # interface GigabitEthernet1/1/4 # undo irf-fabric authentication-mode # interface NULL0 # user-interface aux 0 7 user-interface vty 0 4 # return

2. 主要配置步骤 (1) 在于 AP 相连的以太网接口 Ethernet 1/0/1 使能 POE 服务

<3900_poe>system-view [3900_poe]interface Ethernet 1/0/1 [3900_poe-Ethernet1/0/1]poe enable

4.4.3 配置用户(以 WINDOWS XP 为例)通过 DHCP 方式获取地址
右击桌面“网上邻居”-> 单击“属性”—>进入“网络连接”窗口,右击“网络连接”-> 进入 “本地连接属性”窗口,选择适当的“连接时使用”的无线网卡,选择“Internet 协议(TCP/IP)”, 点击“属性”-> 进入“Internet 协议(TCP/IP)属性”窗口,选择“自动获得 IP 地址”和“自动 获得 DNS 服务器地址”,即可。

4.5 验证结果
(1) 业务报文超过 AC 的 ADOS 系统门限,AC 的管理连接工作正常。

有经过 AC 的大流量的业务报文转发,已经超过 AC 的 ADOS 系统门限, 此时从用户端 telnet 到 AC,正常连接和工作。

7

(2)

业务报文超过 AC 的 ADOS 系统门限,启动了相应功能的其它协议报文也能工作正常。

有经过 AC 的大流量的业务报文转发,已经超过 AC 的 ADOS 系统门限, 此时从用户端 telnet 到 AC,新的用户加入到网络并能自动获取到 DHCP server 分配的 IP Address。
[AC]display dhcp server ip-in-use all Global pool: IP address Client-identifier/ Hardware address 1.1.1.1 1.1.1.2 1.1.1.3 1.1.1.4 000f-e212-5100 0017-9a00-7ba3 000f-e212-f371 000f-8901-4120 Feb 13 2007 03:45:58 Feb 13 2007 04:32:38 Feb 13 2007 04:45:21 Feb 13 2007 05:21:47 Auto:COMMITTED Auto:COMMITTED Auto:COMMITTED Auto:COMMITTED Lease expiration Type

--- total 4 entry ---

(3)

启动了相应功能的其它协议报文超过 AC 的 ADOS 系统门限,AC 的管理连接工作正常。 有大 量的 ICMP 协议报文访问 AC, 已经超过 AC 的 ADOS 系统门限, 此时从用户端 telnet 到 AC, 正常连接和工作。

[AC]display anti-attack icmp The number of total icmp attack packets is 2285 The number of the lastest icmp attack sources in buffer is 1

Mac

Ip

Bssid

Interface

Time

--------------------------------------------------------------------------GigabitEthernet1/0/1 05:24:56 02/12/2007

5 相关资料
5.1 相关协议和标准

8

5.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》“安全分册”中的“安全防攻击”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中的“WLAN 安全”。 《H3C WX 系列无线控制产品 用户手册》“IP 业务分册”中的“DHCP”。

9

H3C WX 系列 AC+Fit AP AP 自动升级版本典型配置举例
关键词:AP, AC, LWAPP 摘 要:本配置举例介绍了 AP 版本的自动升级功能。

缩略语:
缩略语 AP AC LWAPP WLAN Acess Point Access Controler Light Weigthed AP Protocol Wireless Local Network 英文全名 无线接入点 无线控制器 轻量 AP 协议 无线局域网 中文解释

i





1 特性简介 .............................................................................................................................................. 1
1.1 特性优点 .............................................................................................................................................. 1

2 应用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 配置举例 .............................................................................................................................................. 1
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 操作步骤 .............................................................................................................................................. 3 4.5 验证结果 .............................................................................................................................................. 7

5 相关资料 .............................................................................................................................................. 8
5.1 相关协议和标准 ................................................................................................................................... 8 5.2 其它相关资料....................................................................................................................................... 8

ii

1 特性简介
AP 版本自动升级功能,可以实现,人工升级 AC 后,AP 检测到 AC 的版本已经更新,会自动从 AC 上获取最新的相应版本,更新到最新版本。

1.1 特性优点
降低了管理 AP 的工作量。

2 应用场合
这个特性,当有大量 AP 需要升级版本或者 AP 布置在比较难于触及的地方时, 有极大的方便性。

3 注意事项
Bootrom 版本要能够兼容新的 AP 版本。

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。

1

图4-1 AP 自动升级版本的典型配置举例组网图
AC

PoE Switch Ftp Server AP

Client1

Client2

4.2 配置思路
需要配置以下内容: 版本升级前,AP 和 AC 处于正常工作状态。 保存 AC 的配置,并设置默认启动配置;然后从版本服务获取最新的 AC 和 AP 的版本到 AC 上面来,AP 的名称应符合要求,例如 Fit AP WA2100 的升级版本名称,必须为 wa2100.bin。 重启 AC 之后,AP 将会进行版本检测,自动升级版本;并重新恢复保存的配置。

4.3 使用版本
1. AC 版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.00, ESS 1102P01 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5002-128 uptime is 0 week, 0 day, 0 hour, 3 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.12 Extend BootROM Version: 1.13 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

2

<AC>

2. AP 版本
<AP>_display version H3C Comware Platform Software Comware Software, Version 5.00, ESS 1102P01 Comware Platform Software Version COMWAREV500R002B35D004 H3C WA2100 Software Version V100R001B05D004 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jun 12 2007 15:52:46, RELEASE SOFTWARE H3C WA2100 uptime is 0 week, 0 day, 0 hour, 0 minute

CPU type: ATHEROS MIPS 2313 180MHz 32M bytes SDRAM Memory 4M bytes Flash Memory Pcb Version: Ver.B

Basic BootROM Version: 1.08 Extend BootROM Version: 1.08 [SLOT 1]CON [SLOT 1]RADIO1/0/1 [SLOT 1]ETH1/0/1 (Hardware)Ver.B, (Driver)1.0 (Hardware)Ver.B, (Driver)1.0 (Hardware)Ver.B, (Driver)1.0

4.4 操作步骤
1. 确认网络状况良好 需要确认网络状况,AC 和 AP 之间的网络能够通畅,保证 AC 和 AP 在没有升级版本时,能够成功 连接。
<AC>display wlan ap all Total Number of APs configured: 1 Total Number of APs connected : 1 AP Profiles -----------------------------------------------------------------AP Name APID State Model Serial-ID

-----------------------------------------------------------------testap 1 Run WA2100 210235A29G007C000020

------------------------------------------------------------------

<AC>

<AC>display wlan ap all verbose Total Number of APs configured: 1 Total Number of APs connected : 1 AP Profile: testap -------------------------------------------------------------------APID AP Name State : 1 : testap : Run

3

Up Time(hh:mm:ss)

: 00:00:27

Model Serial-ID IP Address

: WA2100 : 210235A29G007C000020 : 202.1.1.2

H/W Version S/W Version Boot-Rom Version Description

: Ver.B : V100R001B05D004 : 1.08 : -NA-

Echo Interval(s)

: 10

Statistics report Interval(s) : 600

Cir(Kbps) Cbs(Bytes)

: -NA: -NA-

Jumboframe Threshold

: Disable

Configuration Failure Count Last Failure Reason

: -NA: -NA-

Last Reboot Reason

: Tunnel Initiated

-----------------------------------------------------------------AP Mode Maximum Number of Radios Current Number of Radios Client Keep-alive Interval Client Idle Interval(s) : Split : 1 : 1 : Disable : 3600

Broadcast-probe Reply Status : Enable Radio 1: Basic BSSID Current BSS Count Running Clients Count Wireless Mode Configured Channel Configured Power (dBm) Preamble Type Radio Policy Service Template Admin State Physical State Operational Rates (Mbps): 1 2 5.5 11 : mandatory : mandatory : supported : supported : 000f-e255-54f0 : 2 : 0 : 11b : auto(3) : 14 : short : testrp : 1 : UP : UP (SSID: market_department)

4

Radar detected Channels

: None

------------------------------------------------------------------

2. 从 FTP Server 上获取最新版本 在 AC 上,使用 FTP Client 的功能,登陆 FTP Server 后,使用 get 命令,把需要最新 AC 和 AP 版 本(B05D005),例如 wx5002.bin 和 wx2100.bin,都下载到 AC 的 Flash 中。这时需要注意,不 能更改 AP 的启动文件名称。
<AC>dir Directory of flash:/

1 2 3

-rw-rw-rw-

5055 Jun 12 2007 09:10:17 1879880 Jul 25 2007 15:27:34 6864272 Jun 04 2007 13:29:42

config.cfg wa2100.bin wx5002.bin

6899662 KB total (16499 KB free)

3. 保存配置,并重新启动 AC 保存当前配置,设置最新版本的 wx5002.bin 为默认启动文件,然后重新启动 AC。
<AC>boot-loader file wx5002_.bin main This command will set boot file, Continue? [Y/N]:y The specified file will be used as the main boot file at the next reboot! <AC>save config.cfg The current configuration will be saved to flash:/config.cfg. Continue? [Y/N]:y flash:/config.cfg exists, overwrite? [Y/N]:y Now saving current configuration to the device. Saving configuration flash:/config.cfg. Please wait... ............... Configuration is saved to flash successfully. <AC>startup saved-configuration config.cfg Please wait ............. Done! <AC>reboot Start to check configuration with next startup configuration file, please wait .........Checking is finished! This will reboot device. Continue? [Y/N]:y

4. AP 将自动从 AC 上面获取最新版本 这时, 将通过 CAPWAP 隧道自动获取最新版本, AP 并自动重启, 使其生效。 用命令 display version 查看 AC 的版本信息,已经显示为 B05D005。大约 2 分钟左右,可以看到 AP 已经成功重新连接, 并且版本已经更新为最新版本。
<AC>_ version H3C Comware Platform Software Comware Software, Version 5.00, Release 1103 Comware Platform Software Version COMWAREV500R002B35D005 H3C WX5002-128 Software Version V100R001B05D005 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jul 24 2007 13:45:37, RELEASE SOFTWARE

5

H3C WX5002-128 uptime is 0 week, 3 days, 18 hours, 0 minute

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.13 Extend BootROM Version: 1.14 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

<AC>display wlan ap all verbose Total Number of APs configured: 1 Total Number of APs connected : 1 AP Profile: testap ----------------------------------------------------APID AP Name State Up Time(hh:mm:ss) : 1 : testap : Run : 00:00:27

Model Serial-ID IP Address

: WA2100 : 210235A29G007C000020 : 202.1.1.2

H/W Version S/W Version Boot-Rom Version Description

: Ver.B : V100R001B05D005 : 1.08 : -NA-

Echo Interval(s)

: 10

Statistics report Interval(s) : 600

Cir(Kbps) Cbs(Bytes)

: -NA: -NA-

Jumboframe Threshold

: Disable

Configuration Failure Count Last Failure Reason

: -NA: -NA-

Last Reboot Reason

: Tunnel Initiated

----------------------------------------------------AP Mode Maximum Number of Radios : Split : 1

6

Current Number of Radios Client Keep-alive Interval Client Idle Interval(s)

: 1 : Disable : 3600

Broadcast-probe Reply Status : Enable Radio 1: Basic BSSID Current BSS Count Running Clients Count Wireless Mode Configured Channel Configured Power (dBm) Preamble Type Radio Policy Service Template Admin State Physical State Operational Rates (Mbps): 1 2 5.5 11 Radar detected Channels : mandatory : mandatory : supported : supported : None : 000f-e255-54f0 : 2 : 0 : 11b : auto(3) : 14 : short : testrp : 1 : UP : UP (SSID: market_department)

-----------------------------------------------------

4.5 验证结果
# 在 AC 上查看 AP 状态,确认已经处于连接状态,并且 ESS 口处于 UP 状态
<AC>display wlan ap all Total Number of APs configured: 1 Total Number of APs connected : 1 AP Profiles -----------------------------------------------------------------AP Name APID State Model Serial-ID

-----------------------------------------------------------------testap 1 Run WA2100 210235A29G007C000020

-----------------------------------------------------------------<AC>display brief interface The brief information of interface(s) under route mode: Interface M-E1/0/1 NULL0 Vlan1 UP Link UP UP UP Protocol-link Protocol type DOWN UP(spoofing) ETHERNET NULL --202.1.1.10 Main IP

ETHERNET

The brief information of interface(s) under bridge mode: Interface GE1/0/1 GE1/0/2 WLAN-ESS1 Link UP DOWN UP Speed 1G(a) 1G(a) --Duplex Link-type PVID 1 1 1

full(a) trunk full(a) access access

7

WLAN-DBSS1:1

UP

--

--

access

1

<AC>

5 相关资料
5.1 相关协议和标准


5.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中“WLAN 服务配置”和“WLAN 服务 命令”。

8

H3C WX 系列 AC+Fit AP AP 自动注册的典型配置举列
关键词:AC,AP,LWAPP,WLAN,Auto AP 摘 要:一个 AC 可管理多个 AP,如果分别对每个 AP 进行配置比较麻烦,而且也不易维护,采用 AP 自动注册的方法可以很方便的使 AP 注册到 AC 上。 缩略语:
缩略语 AC AP LWAPP Client WLAN 英文全名 Access Controller Access Point Light Weight Access Point Protocol Client Wireless Local Area Network 无线控制器 无线接入点 轻型接入点协议 无线客户端 无线局域网 中文解释

i





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 配置举例 .............................................................................................................................................. 1
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 3 4.4.1 配置AC...................................................................................................................................... 3 4.5 验证结果 .............................................................................................................................................. 5

5 相关资料 .............................................................................................................................................. 6
5.1 相关协议和标准 ................................................................................................................................... 6 5.2 其它相关资料....................................................................................................................................... 6

ii

1 特性简介
AP 自动注册功能是 AC 从 AP 发送的报文中获取 AP 的 serial-id,完成 AP 的配置,从而自动完成 连接的建立。

2 应用场合
当需要管理的 AP 数量较多时,逐个查看 AP 的 serial-id 并进行配置是非常麻烦的,而且浪费时间, 通过 AP 自动注册功能可以在相对较短的时间内自动完成 AP 的注册, 大大减少管理人员的工作量。

3 注意事项
在配置过程中,请注意以下几点: 首先,要在全局视图下使能 Auto AP 功能,并配置一个 serial-id 为 auto 的 AP 模板。 如果已有 AP 模板配置了某个 AP 的 serial-id,那么将优先使用该 AP 模板与 AC 进行连接。

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。

当无线网络中包括多台 AP 时,通过手工方式为每一台 AP 进行配置比较麻烦且耗时较多,通过 AP 自动注册可以方便完成 AP 与 AC 之间的关联,对管理人员来说既省时又省力。

1

图4-1 AP 自动注册配置举例组网图
AC
GE1/0/1 192.168.1.1/24

Eth1/0/1

PoE switch FTP server

AP
192.168.1.2/24

Client001
192.168.1.101/24

Client002
192.168.1.200/24

4.2 配置思路
为 GE1/0/1 所在的 VLAN 1 接口配置 IP 地址,并配置 DHCP 地址池为 AP 分配地址。 在 AC 全局视图下使能 auto AP 功能。 在 AC 上配置 AP 模板为 auto 类型,并配置相应的服务模板。 待 auto AP 注册完成后将其转换为可配置 AP。

4.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5002-128 uptime is 0 week, 0 day, 0 hour, 2 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.15 Extend BootROM Version: 1.15 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

<AC>

2

4.4 配置步骤
4.4.1 配置 AC
1. 配置信息
[AC]display current-configuration # version 5.20, Release 1106 # sysname AC # domain default enable system # telnet server enable # wlan auto-ap enable # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 # user-group system # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # interface NULL0 # interface Vlan-interface1 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 #

3

interface M-Ethernet1/0/1 # interface WLAN-ESS1 # wlan ap autoap model WA2100 serial-id auto radio 1 # dhcp enable # user-interface aux 0 idle-timeout 0 0 user-interface vty 0 4 authentication-mode none user privilege level 3 # return [AC]

2. 主要配置步骤 (1) 配置 VLAN 1 的 IP 地址

# 创建 VLAN 1 接口并配置 IP 地址
<AC>system-view System View: return to User View with Ctrl+Z. [AC]interface Vlan-interface 1 [AC-Vlan-interface1]ip address 192.168.1.1 24 [AC-Vlan-interface1]quit

(2)

配置 DHCP 地址池

# 全局下使能 DHCP
[AC]dhcp enable DHCP is enabled successfully!

# 配置 DHCP 地址池 # 创建标识为 1 的 DHCP 普通模式地址池。
[AC]dhcp server ip-pool 1

# 配置 DHCP 地址池 1 动态分配的地址范围为 192.168.1.0/24。
[AC-dhcp-pool-1]network 192.168.1.1 24

# 配置 DHCP 地址池 1 为 DHCP 客户端分配的网关地址为 192.168.1.1。
[AC-dhcp-pool-1]gateway-list 192.168.1.1 [AC-dhcp-pool-1]quit

(3)

配置全局 auto AP 功能。

# 在全局视图下使能 auto AP 功能。
[AC]wlan auto-ap enable % Info: auto-AP feature enabled.

4

(4)

配置 AP 模板。

# 配置 AP 模板类型为 WA2100。
[AC]wlan ap autoap model WA2100

# 配置 serial-id 为自动发现。
[AC-wlan-ap-autoap]serial-id auto [AC-wlan-ap-autoap]quit [AC]

(5)

将 auto AP 转换为可配置 AP。

# 待 auto AP 注册完成后将其转换为可配置 AP。
[AC]wlan auto-ap persistent all

# 可对 AP 进行配置
[AC]wlan ap auto_001 [AC-wlan-ap-auto_001]display this # wlan ap auto_006 model WA2100 serial-id 210235A22W0079000260 radio 1 # return [AC-wlan-ap-auto_001]

4.5 验证结果
按照如上配置,AC 与 AP 可以进行关联。查看 AP 的信息可以看到 AP 的状态为 run。
[AC]display wlan ap all Total Number of APs configured : 1

Total Number of configured APs connected : 0 Total Number of auto APs connected AP Profiles -------------------------------------------------------------------------AP Name APID State Model Serial-ID : 1

-------------------------------------------------------------------------autoap autoap_001 1 2 Idle Run WA2100 WA2100 auto 210235A22W0079000260

--------------------------------------------------------------------------

5

5 相关资料
5.1 相关协议和标准
表5-1 相关协议与标准 标准号 ietf draft 标题 Light Weight Access Point Protocol draft-ohara-capwap-lwapp-04.txt

5.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”的“WLAN 服务配置”和“WLAN 服务 命令”。

6

H3C WX 系列 AC+Fit AP EAD 典型配置举例
关键词:EAD,Dot1x 摘 要:EAD 的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、安全策略服务器以 及防病毒服务器、补丁服务器的联动实现的。H3C 的无线局域网端点准入防御方案主要针对企 业广域网络,整合网络接入控制与终端安全产品,强制实施企业安全策略,从而加强网络终端的 主动防御能力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延,在终端接入层 面帮助管理员统一实施企业安全策略,大幅度提高网络的整体安全。 缩略语:
缩略语 AC AP EAD Client Access Controller Access Point Endpoint Admission Defense Client 英文全名 中文解释 无线控制器 无线接入点 端点准入防御 无线客户端

i





1 简介 ..................................................................................................................................................... 1
1.1 特性简介 .............................................................................................................................................. 1 1.2 特性优点 .............................................................................................................................................. 2

2 应用场合 .............................................................................................................................................. 2 3 注意事项 .............................................................................................................................................. 2 4 配置举例 .............................................................................................................................................. 3
4.1 组网需求 .............................................................................................................................................. 3 4.2 配置思路 .............................................................................................................................................. 3 4.3 使用版本 .............................................................................................................................................. 3 4.4 配置步骤 .............................................................................................................................................. 4 4.4.1 配置AC...................................................................................................................................... 4 4.4.2 配置iMC .................................................................................................................................... 8 4.4.3 iNode客户端配置 ..................................................................................................................... 15 4.5 验证结果 ............................................................................................................................................ 16 4.6 注意事项 ............................................................................................................................................ 16

5 相关资料 ............................................................................................................................................ 16

ii

1 简介
1.1 特性简介
H3C 的无线局域网端点准入防御(EAD,Endpoint Admission Defense)方案主要针对企业广域网 络,整合网络接入控制与终端安全产品,强制实施企业安全策略,从而加强网络终端的主动防御能 力,防止“危险”、“易感”终端接入网络,控制病毒、蠕虫的蔓延。这种端到端的安全防护体系, 可以在终端接入层面帮助管理员统一实施企业安全策略,大幅度提高网络的整体安全。该方案充分 发挥企业互联网络设备层路由器的作用,尤其是以 H3C 公司最新发布新一代硬件平台的 AC+Fit AP 的无线局域网基础上配合 EAD 安全理念,极大的提升企业网的性能和安全,彻底改变传统的安 全观点,使网络的安全上升到一个新的高度,由原有的被动防御向主动防御和抵抗转化,由单点防 御向整体防御过渡,由分散管理向集中管理迁移;同时配合“检查”、“隔离”、“修复”、“管 理和监控”等多种手段。 EAD 的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、安全策略服务器以及防 病毒服务器、补丁服务器的联动实现的,其基本原理如下图所示:
图1-1 EAD 基本原理

架构

端点
安全客户端 防病毒客 户端 认证 插件 其他 插件 安 全 客 户 端 平 台

设备层
安全联动设备

控制层
安全策略 服务器

隔离区
防病毒服务器 补丁服务器

R

流程
身份认证(用户名、密码、MAC、VLAN) 安全认证(病毒库版本、补丁、安全设置) 策略实施(访问策略、QoS策略、安全设置) 非法用户拒绝接入 不合格用户进入隔离区,进 行补丁升级、病毒库升级 为合格用户提供个性化服务

用户终端试图接入网络时,首先通过安全客户端进行用户身份认证,非法用户将被拒绝接入网络。 合法用户将被要求进行安全状态认证,由安全策略服务器验证补丁版本、病毒库版本是否合格,不 合格用户将被安全联动设备隔离到隔离区。 进入隔离区的用户可以进行补丁、病毒库的升级,直到安全状态合格。 安全状态合格的用户将实施由安全策略服务器下发的安全设置,并由安全联动设备提供基于身份的 网络服务。 结合 EAD 的安全理念以及企业网目前网络架构,H3C 公司推出 AC+Fit AP 的无线局域网 EAD 方 案。 H3C 公司 EAD 安全理念结合 AC+Fit AP 的无线局域网以及 CAMS 服务器, 可以实现 802.1x、 Portal 以及扩展 Portal 认证方式,在企业网出口处对网络用户的端点准入控制。
1

1.2 特性优点
作为一种结合企业网络现有架构,为企业量身定做的 AC+Fit AP 的无线局域网端点准入方案可以 大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力,同时在目前主流认证方式的基础上 结合客户需求独家扩展 Portal 认证条件,使网络安全性大大增加。H3C 的 AC+Fit AP 的无线局域 网端点准入防御方案具有以下特点: (1) 在支持 802.1x 和 Portal 基本认证基础上,为企业网客户实际应用扩展 Portal 认证条件:客户 实际应用中只有通过 IE 才可以激活 Portal 认证, 扩展 Portal 激活条件规定只要出现 TCP/UDP 报文就可以激活 Portal 认证,例如客户不一定启动 IE,有 FTP 等流量经过端口既可以激活认 证。双因素决定客户安全和权限,在原有的基础上增加对客户身份认证之后,在决定客户的 访问权限。这样操作可以使不同的客户具备不同的权限,访问不同的网络资源,IT 资源细化 分层。 (2) 整合防病毒与网络接入控制,大幅提高安全性,EAD 可以确保所有正常接入网络的用户终端 符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离 区”,只能访问网络管理员指定的资源,直到按要求完成相应的升级操作。 (3) 全面隔离“危险”终端,可以配合设备采用 ACL 隔离的方式,以到达物理或网络隔离的效果, 实现对“危险”终端的全面隔离。 (4) (5) 详细的安全事件日志与审计。 专业防病毒厂商的合作,通过 EAD 的联动,防病毒软件的价值得到提升,从单点防御转化为 整体防御。

2 应用场合
EAD 是一种通用接入安全解决方案,具有很强的灵活性和适应性,配合 H3C 的 AC+Fit AP 的无 线局域网,实现对企业网络入口安全保护。EAD 可以为以下应用场景提供安全防护解决方案: 大型企业往往拥有分支或下属机构,分支机构可以通过专线或 WAN 连接企业总部,某些企业甚至 允许家庭办公用户或出差员工直接访问企业内部网络。这种组网方式在开放型的商业企业中比较普 遍, 受到的安全威胁也更严重。 为了确保接入企业内部网的用户具有合法身份且符合企业安全标准, 可以在企业入口路由器或 BAS 中实施 EAD 准入认证, 强制接入用户进行 Portal 认证和安全状态检 查,以达到企业网络入口安全防护的目的。

3 注意事项
在配置过程中,请注意以下几点: 接入设备上服务器端口配置正确。 相关 AAA 配置正确。

2

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。

本配置举例简化组网为两台无线客户端 Client 以及一台 Fit AP 和无线控制器 AC 通过 IP 网络相连。
图4-1 EAD 典型配置组网图
Radius server

8 .1.1.16/8

8.20.1.20/ 24

IP network
AP AC

Client 1

Client 2

4.2 配置思路
配置 Dot1x 配置服务器

4.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.00, ESS 1102P01 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jun 13 2007 22:14:11, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 5 days, 17 hours, 55 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.12

3

Extend BootROM Version: 1.13 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

4.4 配置步骤
4.4.1 配置 AC
1. 配置信息
<AC>display current-configuration # version 5.00, 0001 # sysname AC # configure-user count 1 # domain default enable radius1 # port-security enable # dot1x authentication-method chap # vlan 1 # vlan 2 to 4094 # radius scheme system primary authentication 127.0.0.1 primary accounting 127.0.0.1 key authentication h3c key accounting h3c accounting-on enable radius scheme radius1 server-type extended primary authentication 8.1.1.16 primary accounting 8.1.1.16 key authentication h3c key accounting h3c security-policy-server 8.1.1.16 timer realtime-accounting 3 user-name-format without-domain undo stop-accounting-buffer enable accounting-on enable #

4

domain radius1 authentication default radius-scheme radius1 authorization default radius-scheme radius1 accounting default radius-scheme radius1 access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable # acl number 3000 rule 0 permit ip acl number 3001 rule 5 permit udp rule 10 deny tcp # wlan radio-policy rp beacon-interval 500 # wlan service-template 1 clear ssid h3c-clear bind WLAN-ESS 1 authentication-method open-system service-template enable # interface NULL0 # interface Vlan-interface1 ip address 8.20.1.20 255.255.255.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS1 port-security port-mode userlogin-secure # wlan ap ap3 model WA2100 serial-id 210235A29G007C000020 radio 1 type 11g radio-policy rp service-template 1

5

radio enable # ip route-static 0.0.0.0 0.0.0.0 8.20.1.3 #

2. 主要配置步骤 在 Dot1x 接入端配置 802.1x 和认证。 (1) 启用 port-security,配置 802.1x 认证方式为 chap

[AC]port-security enable [AC]dot1x authentication-method chap

(2)

配置认证策略

# 创建 RADIUS 方案 radius1 并进入其视图。
[AC]radius scheme radius1

# 将 RADIUS 方案 radius1 的 RADIUS 服务器类型设置为 extended。
[AC-radius-radius1]server-type extended

# 设置主认证 RADIUS 服务器的 IP 地址 8.1.1.16。
[AC-radius-radius1]primary authentication 8.1.1.16

# 设置主计费 RADIUS 服务器的 IP 地址 8.1.1.16。
[AC-radius-radius1]primary accounting 8.1.1.16

# 设置系统与认证 RADIUS 服务器交互报文时的共享密钥为 h3c。
[AC-radius-radius1]key authentication h3c

# 设置系统与计费 RADIUS 服务器交互报文时的共享密钥为 h3c。
[AC-radius-radius1]key accounting h3c

# 设置 RADIUS 方案 radius1 的安全策略服务器 IP 地址为 8.1.1.16。
[AC-radius-radius1]security-policy-server 8.1.1.16

# 将 RADIUS 方案 radius1 的实时计费的时间间隔设置为 3 分钟。
[AC-radius-radius1]timer realtime-accounting 3

# 指定发送给 RADIUS 方案 radius1 中 RADIUS 服务器的用户名不得携带域名。
[AC-radius-radius1]user-name-format without-domain

# 禁止在设备上缓存没有得到响应的停止计费请求报文。
[AC-radius-radius1]undo stop-accounting-buffer enable

# 使能 accounting-on 功能,即设备重启后,发送 accounting-on 报文通知 RADIUS 服务器该设备 已经重启,要求 RADIUS 服务器强制该设备的用户下线。
[AC-radius-radius1]accounting-on enable

(3)

配置认证域 radius1,并把它设置为系统缺省域

[AC]domain radius1

# 在 ISP 域 radius1 下,为所有类型的用户配置方案名为 radius1 的 RADIUS 认证、授权、计费方 案,作为缺省方案。
[AC-isp-radius1]authentication default radius-scheme radius1 [AC-isp-radius1]authorization default radius-scheme radius1

6

[AC-isp-radius1]accounting default radius-scheme radius1 [AC-isp-radius1]quit

# 设置 radius1 为系统缺省的 ISP 域。
[AC]domain default enable radius1

(4)

配置下发的 ACL

# 创建一个序号为 3000 的 IPv4 ACL。
[AC]acl number 3000

# 定义一个规则,允许 IP 报文通过。
[AC-acl-adv-3000]rule permit ip

# 创建一个序号为 3001 的 IPv4 ACL。
[AC-acl-adv-3000]acl number 3001

# 定义一个规则,允许 UDP 报文通过。
[AC-acl-adv-3001]rule permit udp

# 定义一个规则,禁止 TCP 报文通过。
[AC-acl-adv-3001]rule deny tcp [AC-acl-adv-3001]quit

(5)

配置射频策略

# 创建一个名为 rp 的射频策略。
[AC]wlan radio-policy rp

# 设置发送信标帧的时间间隔为 500TU(Time Unit)。
[AC-wlan-rp-rp]beacon-interval 500 [AC-wlan-rp-rp]quit

(6)

配置无线服务模板

[AC]interface WLAN-ESS1

# 配置无线端口 WLAN-ESS1 的端口安全模式为 userlogin-secure。
[AC-WLAN-ESS1]port-security port-mode userlogin-secure

# 创建 clear 类型的服务模板 1。
[AC-WLAN-ESS1]wlan service-template 1 clear

# 设置当前服务模板的 SSID(服务模板的标识)为 h3c-clear。
[AC-wlan-st-1]ssid h3c-clear

# 将 WLAN-ESS1 接口绑定到服务模板 1。
[AC-wlan-st-1]bind WLAN-ESS 1

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-1]authentication-method open-system

# 使能服务模板。
[AC-wlan-st-1]service-template enable [AC-wlan-st-1]quit

(7)

配置 AP
7

# 创建 AP 管理模板,其名称为 ap3,型号名称这里选择 WA2100。
[AC]wlan ap ap3 model WA2100

# 设置 AP 的序列号为 210235A29G007C000020。
[AC-wlan-ap-ap3]serial-id 210235A29G007C000020

# 设置 radio1 的射频类型为 802.11g。
[AC-wlan-ap-ap3]radio 1 type 11g

# 将射频策略 rp 映射到射频 1。
[AC-wlan-ap-ap3-radio-1]radio-policy rp

# 将在 AC 上配置的 clear 类型的服务模板 1 与射频 1 进行关联。
[AC-wlan-ap-ap3-radio-1]service-template 1

# 使能 AP3 的 radio 1。
[AC-wlan-ap-ap3-radio-1]radio enable

(8)

配置 VLAN 接口及缺省路由

[AC-wlan-ap-ap3-radio-1]interface Vlan-interface1 [AC-Vlan-interface1]ip address 8.20.1.20 255.255.255.0 [AC-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 8.20.1.3 [AC-Vlan-interface1]quit

4.4.2 配置 iMC
1. iMC 版本:

2. 在 iMC 上配置 MAC 认证项: 接入设备配置: (1) 在 iMC“业务>接入业务”中选择“接入设备配置”,在“接入设备配置”页面中单击<增加> 按钮,增加接入设备;

8

(2)

在“增加接入设备”页面,单击<手工增加>按钮,手工增加接入设备;

(3)

在弹出的对话框中输入接入设备的 IP 地址 (如果只有一台接入设备, 这里输入的起始 IP 地址 和结束 IP 地址可以完全一样),然后单击<确定>按钮;

9

(4)

根据实际需求在“增加接入设备”页面设置如下接入配置参数,单击<确定>按钮,增加接入 设备成功;

显示增加接入设备成功页面:

3. 配置安全策略: (1) 在 iMC“业务>EAD 业务”中选择“安全策略管理”,在“安全策略管理”页面中单击<增加 >按钮,增加安全策略;

10

(2)

在弹出的“增加安全策略”页面中: 在“基本信息”栏中,输入安全策略名“h3c-ead”,安全级别选择“监控模式”; 在“ACL 配置”栏中选择“向设备下发 ACL”,并设置安全 ACL 为“3000”,隔离 ACL 为 “3001”; 在“防病毒软件联动”栏中选择“高级联动软件优先”的联动模式,并选择“进行病毒扫描”;

(3)

点击该页面下方的<确定>按钮,完成安全策略配置:

11

显示增加安全策略成功页面:

4. 配置服务策略: (1) 在 iMC“业务>接入业务”中选择“服务配置管理”,在“服务配置管理”页面中单击<增加> 按钮,增加服务配置;

(2)

在“增加服务配置”页面中,输入服务名“h3c-1X”,并在安全策略参数中选择刚才配置的 安全策略“h3c-ead”,其它配置都可以采用缺省值,点击该页面下方的<确定>按钮,完成服 务配置;

12

单击<确定>按钮后,显示增加服务成功页面:

5. 配置帐号用户: (1) 在 iMC“用户>用户管理”中选择“增加用户”,在“增加用户”页面中单击<增加>按钮,增 加用户;

(2)

输入用户名“gxtest”,证件号码可以根据需要输入相关证件号码,然后点击<确定>按钮,提 示增加用户成功;

13

显示增加用户成功页面:

(3)

在上面的“用户>增加用户结果”页面选择“增加用户帐号”,在“增加接入用户”页面输入 帐号和密码(这里采用的用户名和密码均为 gx-test),选择前面配置的接入服务“h3c-1x”, 其它参数可以根据需要配置;

然后点击该页面下方的<确定>按钮,完成配置:

14

完成配置后,显示增加接入用户成功页面:

到此,在 iMC 上的 MAC 认证配置已经完成。

4.4.3 iNode 客户端配置
iNode 客户端配置如下所示: (1) 在 User 页签上配置用户名和密码(用户名和密码均为 gx-test):

(2)

在 General 页签上配置数据包类型和用户认证选项:
15

4.5 验证结果
(1) (2) 使用 display dot1x sessions 查看 Dot1x 用户,是否用户在线。 在 iMC 上查看用户是否在线。

4.6 注意事项
目前,在 EAD 解决方案中,对于客户端可以下发 ACL 和 VLAN。

5 相关资料
《H3C WX 系列无线控制产品 用户手册》“安全分册”中的“端口安全”和“安全防攻击”。 《H3C WX 系列无线控制产品 用户手册》 “安全分册“中的“802.1x”和“MAC 地址认证”。 《H3C WX 系列无线控制产品 用户手册》“安全分册”中的“AAA”和“ACL”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中的“WLAN 服务”。

16

H3C WX 系列 AC+Fit AP PPPoE Server 功能 典型配置举例
关键词:PPPoE,AC,AP 摘 要:本配置举例主要介绍如何通过配置实现 AC 的 PPPoE Server 功能。

缩略语:
缩略语 AC AP PPPoE Client 英文全名 Access Controller Access Point point-to-point protocol over Ethernet Client 无线控制器 无线接入点 以太网承载点到点协议 无线客户端 中文解释

i





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 配置举例 .............................................................................................................................................. 1
3.1 组网需求 .............................................................................................................................................. 1 3.2 使用版本 .............................................................................................................................................. 1 3.3 配置步骤 .............................................................................................................................................. 2 3.3.1 配置AC...................................................................................................................................... 2 3.3.2 配置client .................................................................................................................................. 4 3.4 验证结果 .............................................................................................................................................. 9

4 相关资料 ............................................................................................................................................ 10
4.1 相关协议和标准 ................................................................................................................................. 10 4.2 其它相关资料..................................................................................................................................... 10

ii

1 特性简介
PPPoE 是 Point-to-Point Protocol over Ethernet 的简称, 它可以通过一个远端接入设备为以太网上 的主机提供因特网接入服务,并对接入的每个主机实现控制、计费功能。由于很好地结合了以太网 的经济性及 PPP 良好的可扩展性与管理控制功能,PPPoE 在包括小区组网建设等一系列应用中被 广泛采用。

2 应用场合
PPPoE Server 的功能,支持动态分配 IP 地址,提供本地认证、RADIUS/TACACS+等多种认证方 式,配合访问包过滤防火墙及状态防火墙,可以对内部网络提供安全保障,适用于校园、智能小区 等通过以太网接入 Internet 的组网应用。

3 配置举例
3.1 组网需求
本配置举例中的 AC 使用的是 LSQM1WCMB0 无线控制器业务板,AP 使用的是 WA2100 无线局 域网接入点。

Client 运行 PPPoE Client,通过设备 AC 接入到 Internet。设备 AC 作为 PPPoE Server,配置本 地认证,并通过地址池为用户分配 IP 地址。
图3-1 PPPoE Server 功能组网图

3.2 使用版本
[AC]display version H3C Comware Platform Software Comware Software, Version 5.20, Ess 2106P01 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. LSQ1WCMB0 uptime is 0 week, 4 days, 22 hours, 40 minutes LSQ1WCMB0 with 1 BCM MIPS 1125H 600MHz Processor 1024M bytes DDR

1

261M bytes CFCard Memory Config Register points to CFCARD Hardware Version is VER.C CPLD Version is CPLD 006 Backboard CPLD Version is CPLD 006 Basic Bootrom Version is 1.11 Extend Bootrom Version is 1.11 [Subslot 0]LSQ1WCMB0 Hardware Version is VER.C

3.3 配置步骤
3.3.1 配置 AC
1. 配置信息
<AC>display current-configuration # version 5.20, 0000 # sysname AC # domain default enable system # vlan 1 # domain system authentication ppp local access-limit disable state active idle-cut disable self-service-url disable ip pool 1 1.1.1.2 1.1.1.10 # dhcp server ip-pool 1 network 151.0.0.0 mask 255.255.255.0 # local-user user1 password simple pass1 service-type ppp # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54 # wlan service-template 1 clear

2

ssid fl bind WLAN-ESS 1 authentication-method open-system service-template enable # wlan service-template 2 clear ssid fl2 bind WLAN-ESS 2 authentication-method open-system service-template enable # interface Virtual-Template1 ppp authentication-mode chap ppp chap user user1 remote address pool 1 ip address 1.1.1.1 255.0.0.0 # interface NULL0 # interface Vlan-interface1 pppoe-server bind Virtual-Template 1 ip address 151.0.0.1 255.255.255.0 # interface Ten-GigabitEthernet1/0/1 # interface WLAN-ESS1 # interface WLAN-ESS2 # wlan ap ap4_008 model WA2210-AG serial-id 210235A29D0081000085 radio 1 service-template 1 service-template 2 radio enable # dhcp enable # user-interface con 0 user-interface aux 0 user-interface vty 0 4 # return

2. 主要配置步骤 (1) 增加一个 PPPoE 用户。

<AC> system-view

# 添加名称为 user1 的本地用户。
3

[AC] local-user user1

# 设置名称为 user1 的密码为明文显示,密码为 pass1。
[AC-luser-user1] password simple pass1

# 指定用户可以使用 PPP 服务。
[AC-luser-user1] service-type ppp [AC-luser-user1] quit

(2)

在设备 AC 上配置虚拟模板参数。

# 创建虚拟接口模板 1。
[AC] interface virtual-template 1

# 采用 CHAP 方法验证对端设备,使用指定的域 system 进行验证。
[AC-Virtual-Template1] ppp authentication-mode chap domain system

# 配置采用 CHAP 认证时的用户名为 user1。
[AC-Virtual-Template1] ppp chap user user1

# 为对端分配 IP 地址使用地址池 1。
[AC-Virtual-Template1] remote address pool 1

# 配置虚拟接口模板的 IP 地址为 1.1.1.1/8。
[AC-Virtual-Template1] ip address 1.1.1.1 255.0.0.0 [AC-Virtual-Template1] quit

(3)

在设备 AC 上配置 PPPoE 参数。

[AC] interface Vlan-interface1

# 在接口 Vlan-interface1 上使能 PPPoE, 将接口 Vlan-interface1 与虚拟模板接口 Virtual-Template1 绑定。
[AC-Vlan-interface1] pppoe-server bind virtual-template 1 [AC-Vlan-interface1] quit

(4)

配置域用户使用本地认证方案。

[AC] domain system [AC-isp-system] authentication ppp local

(5)

增加一个本地 IP 地址池 1(9 个 IP 地址)。

[AC-isp-system] ip pool 1 1.1.1.2 1.1.1.10

这样,Client 安装 PPPoE 客户端软件后,配置好用户名和密码(此处为 user1 和 pass1)就能使 用 PPPoE 协议,通过设备 AC 接入到 Internet。

3.3.2 配置 client
如何配置 Client,下面以 windows 为例进行配置。 (1) 首先在“网上邻居”上,点击鼠标右键,显示“属性”菜单。

4

(2)

打开“属性”菜单

(3)

打开“网络任务”中的“创建一个新的连接”

5

(4)

继续点击“下一步”

(5)

选择“连接到 Internet,继续点击“下一步”。

6

(6)

选择“手动设置我的连接”,继续点击“下一步”。

(7)

选择“用要求用户名和密码的宽带来连接”,继续点击“下一步”。

7

(8)

在对话框“ISP 名称”中填入 ISP 名称,比如:test,然后继续点击“下一步”。

(9)

在对话框 “用户名、 密码与确认密码” 中分别填入相应的 PPPoE server 定义的用户名与密码, 本例中用户名为 user1,密码为 PPP1。然后继续点击“下一步”。

8

(10) 点击“完成”,显示下面的对话框。

(11) 点击“连接”按钮,即可完成 PPPoE client 对 PPPoE sever 的登录。

3.4 验证结果
可通过以下方式验证上述配置: # 在 AC 上查看 PPPoE Sever 的相关信息。
9

[AC]display pppoe-server session all Total PPPoE Session(s): 1

SID Intf 8 Virtual-Template1:0

State OIntf UP VLAN1

RemMAC

LocMAC

001b111db46f 000fe2555555

[AC]display pppoe-server session packet Total PPPoE Session(s): 1

SID RemMAC 8

LocMAC

InP

InO 1941

InD 0

OutP 150

OutO 1771

OutD 0

001b111db46f 000fe2555555 150

4 相关资料
4.1 相关协议和标准
表4-1 相关协议与标准 标准号 RFC 2516 标题 Transmitting PPP Over Ethernet

4.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》“接入分册”中的“PPP 配置”和“PPP 命令”。 《H3C WX 系列无线控制产品 用户手册》“安全分册”中的“AAA 配置”和“AAA 命令”。 《H3C WX 系列无线控制产品 用户手册》“安全分册”中的“WLAN 服务配置”和“WLAN 服务命令”。

10

H3C WX 系列 AC+Fit AP PSK 认证方式典型配置举例
关键词:PSK 摘 要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安全问题凸显出来,本配置举 例可以实现利用预共享密钥认证方式对无线用户进行控制,对无线数据机密进行保护。 缩略语:
缩略语 AC AP PSK Client Access Controller Access Point Preshared Key Client 英文全名 中文解释 无线控制器 无线接入点 预共享密钥 无线客户端

i





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 配置举例 .............................................................................................................................................. 1
3.1 组网需求 .............................................................................................................................................. 1 3.2 配置思路 .............................................................................................................................................. 1 3.3 使用版本 .............................................................................................................................................. 1 3.4 配置步骤 .............................................................................................................................................. 2 3.4.1 配置AC...................................................................................................................................... 2 3.5 验证结果 .............................................................................................................................................. 5

4 相关资料 .............................................................................................................................................. 5
4.1 相关协议和标准 ................................................................................................................................... 5 4.2 其它相关资料....................................................................................................................................... 5

ii

1 特性简介
PSK(Preshared Key,预共享密钥)用来以预共享密钥的方式对无线用户的接入进行控制,并能 够动态产生密钥保护无线局域网中的授权用户所交换的数据的机密性,防止这些数据被随机窃听。

2 应用场合
PSK 对无线报文的一种预共享密钥的认证方式和产生动态密钥对无线数据报文进行加密, 该协议适 用于接入设备与无线客户端点到点的连接方式。通过预共享密钥的方式来进行认证,并产生动态密 钥对数据进行加密。

3 配置举例
3.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器,AP 使用的是 WA2100 无线局域网接入点。

本配置举例通过在 AC 的 WLAN-ESS 40 端口上启用预共享密钥的方式来达到对接入点 Client 进行 控制的目的。
图3-1 PSK 认证组网图
20.1.1.200 AP AC

Client

3.2 配置思路
配置 PSK 认证,需要配置以下内容: 创建启用 PSK 认证的服务模版。 在 AP 模版中引用该服务模版。

3.3 使用版本
<AC>display version H3C Comware Platform Software

1

Comware Software, Version 5.00, 0001 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Jul 13 2007 14:32:12, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 2 days, 16 hours, 48 minutes

CPU type: BCM MIPS 1250 700MHz 512M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.13 Extend BootROM Version: 1.14 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

3.4 配置步骤
3.4.1 配置 AC
1. 配置信息
<AC>display current-configuration # version 5.00, 0001 # sysname AC # domain default enable cams # port-security enable # dot1x authentication-method eap # vlan 1 # dhcp server ip-pool 20 network 20.1.1.0 mask 255.255.255.0 # wlan service-template 40 crypto ssid H3C_psk bind WLAN-ESS 40 authentication-method open-system cipher-suite tkip security-ie wpa service-template enable # wlan rrm

2

11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54 # interface NULL0 # interface LoopBack0 # interface Vlan-interface1 ip address 20.1.1.200 255.255.255.0 # interface Vlan-interface2 ip address 8.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 port access vlan 2 # interface M-Ethernet1/0/1 # interface WLAN-ESS40 port-security port-mode psk port-security tx-key-type 11key port-security preshared-key pass-phrase 12345678 # wlan ap ap1 model WA2100 serial-id h3c000fe258e820 radio 1 type 11g channel 1 max-power 3 service-template 40 radio enable # dhcp enable # load xml-configuration # user-interface aux 0 user-interface vty 0 4 # return

2. 主要配置步骤 (1) 无线接口配置
3

# 使能端口安全功能。
<AC>system-view [AC]port-security enable [AC]interface WLAN-ESS 40

# 配置无线端口 WLAN-ESS40 的端口安全模式为 psk。
[AC-WLAN-ESS40]port-security port-mode psk

# 在接口 WLAN-ESS40 下使能 11key 类型的密钥协商功能。
[AC-WLAN-ESS40]port-security tx-key-type 11key

# 在接口 WLAN-ESS40 下配置预共享密钥为 12345678。
[AC-WLAN-ESS40]port-security preshared-key pass-phrase 12345678 [AC-WLAN-ESS40]quit

(2)

无线服务集设置

# 创建 crypto 类型的服务模板 40。
[AC]wlan service-template 40 crypto

# 设置当前服务模板的 SSID(服务模板的标识)为 H3C_PSK。
[AC-wlan-st-40]ssid H3C_PSK

# 将 WLAN-ESS40 接口绑定到服务模板 40。
[AC-wlan-st-40]bind WLAN-ESS 40

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-40]authentication-method open-system

# 使能 TKIP 加密套件。
[AC-wlan-st-40]cipher-suite tkip

# 配置信标和探查帧携带 WPA IE 信息。
[AC-wlan-st-40]security-ie wpa

# 使能服务模板。
[AC-wlan-st-40]service-template enable [AC-wlan-st-40]quit

(3)

在相应的 AP 模版上引用服务模版

# 进入 AP 模版
[AC]wlan ap ap1

# 进入 RADIO 试图
[AC-wlan-ap-ap1]radio 1

# RADIO 去使能
[AC-wlan-ap-ap1-radio 1]radio disable

# 引用服务模板
[AC-wlan-ap-ap1-radio 1] service-template 40

# RADIO 使能
[AC-wlan-ap-ap1-radio 1]radio enable

4

3.5 验证结果
(1) (2) 在配置错误预共享密钥的情况下,Client 不能访问 Internet 上的资源。 在配置正确预共享密钥的情况下,使用 Client 访问 Internet,Client 可以成功关联,并且可以 正常访问 Internet 上的资源。

4 相关资料
4.1 相关协议和标准
表4-1 相关协议与标准 标准号 IEEE 802.11i 标题 802.11i IEEE Standard for Information technology—Telecommunications and information exchange between systems—Local and metropolitan area networks—Specific requirements

4.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》“安全分册”中的“端口安全”和“安全防攻击”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中的“WLAN 服务”和“WLAN 安全”。

5

H3C WX 系列 AC+Fit AP Rogue AP 检测功能 典型配置举例
关键词:Rouge AP 摘 要:介绍 Rouge AP 的发现与反制措施。

缩略语:
缩略语 AC AP Rogue AP Monitor AP Client 英文全名 Access Controller Access Point Rouge Access Point Monitor Access Point Client 无线控制器 无线接入点 非法 AP 监控 AP 无线客户端 中文解释

i





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 配置举例 .............................................................................................................................................. 1
3.1 组网需求 .............................................................................................................................................. 1 3.2 使用版本 .............................................................................................................................................. 2 3.3 配置步骤 .............................................................................................................................................. 2 3.3.1 配置AC...................................................................................................................................... 2 3.4 验证结果 .............................................................................................................................................. 4

4 相关资料 .............................................................................................................................................. 5
4.1 其它相关资料....................................................................................................................................... 5

ii

1 特性简介
Rouge AP 是指网络中未经授权或者有恶意的 AP, 它可以是私自接入到网络中的 AP、 未配置的 AP、 邻居 AP 或者攻击者操作的 AP。 如果在这些 AP 上存在漏洞的话, 黑客就有机会危害你的网络安全。 Monitor AP 是网络中用于扫描或监听无线介质,并试图检测无线网络中的攻击。 Rouge AP 检测系统比较适合于大型的 WLAN 网络,用来发现已有的 WLAN 网络中非法 AP 的存 在。在检测到 Rogue AP 后,可以使能反制功能,根据反制的模式,Monitor AP 从无线控制器下载 攻击列表,通过使用 Rogue AP 的地址发送假的解除认证帧来对 Rogue AP 进行反制,使试图与之 连接的 Client 无法成功。

2 应用场合
需要检测并制约网络中的 Rouge AP 设备。

3 配置举例
3.1 组网需求
本配置举例中的 AC 使用的是 WX6103 无线控制器,Monitor AP 使用的是 WA2100 无线局域网接 入点。

(1)

PC 和 Client 属于同一 VLAN,Client 试图通过 Rouge AP(AP1)连接到 PC,Rouge AP 为 Fat AP 设备。

(2)

Monitor AP(AP2)通过不断的监听所有空口报文,发现 Rogue AP(AP1),并发起反制。

图3-1 Rouge AP 检测配置举例组网图
AC

Switch

PC

Rouge AP (AP 1) Monitor AP (AP 2) Client

1

3.2 使用版本
[AC]display version H3C Comware Platform Software Comware Software, Version 5.20, Ess 2106P01 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX6103 uptime is 1 week, 1 day, 22 hours, 2 minutes

H3C WX6103 with 1 BCM MIPS 1125H 600MHz Processor 1024M bytes DDR 259M bytes CFCard Memory Config Register points to CFCARD

Hardware Version is VER.C CPLD Version is CPLD 006 Backboard CPLD Version is CPLD 002 Basic Bootrom Version is 1.11 Extend Bootrom Version is 1.11 [Subslot 0]EWPX1WCMB0 Hardware Version is VER.C

3.3 配置步骤
3.3.1 配置 AC
1. 配置信息
[AC]display current-configuration # version 5.20, Ess 2106P01 # sysname AC # tcp window 3 # domain default enable system # vlan 1 # vlan 10 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 21 network 21.0.0.0 mask 255.0.0.0 #

2

wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54 # wlan service-template 1 clear ssid h3c bind WLAN-ESS 1 authentication-method open-system service-template enable # interface NULL0 # interface LoopBack0 # interface Vlan-interface1 ip address 21.1.1.1 255.0.0.0 # interface M-GigabitEthernet2/0/1 # interface Ten-GigabitEthernet2/0/1 port link-type hybrid port hybrid vlan 1 to 10 tagged # interface WLAN-ESS1 port access vlan 10 # wlan ap ap2 model WA2100 serial-id 210235A22W0079000239 work-mode monitor radio 1 type 11g channel 6 radio enable # wlan ids countermeasures enable device permit ssid h3c # dhcp enable # naturemask-arp enable # user-interface con 0 user-interface vty 0 4 authentication-mode none

3

user privilege level 3 history-command max-size 256 idle-timeout 0 0 # return

2. 主要配置步骤
<AC>system-view [AC]wlan ap ap2

# 配置 AP2 的工作模式为 monitor 模式。
[AC-wlan-ap-ap2]work-mode monitor [AC-wlan-ap-ap2]radio 1

# 使能 AP2 的射频。
[AC-wlan-ap-ap2-radio-1]radio enable

# 进入 WLAN IDS 视图。
[AC]wlan ids

# 将 h3c 的这个 SSID 添加到允许 SSID 列表。
[AC-wlan-ids]device permit ssid h3c

# 使能反制 rogue 设备的功能。
[AC-wlan-ids]countermeasures enable

3.4 验证结果
(1) 通过命令可以查看到 Monitor AP(AP2)发现的 Rouge AP.

[AC-wlan-ids]display wlan ids detected all Total Number of Entries : 3 Flags: r = rogue, i = ignore, a = adhoc, w = ap, c = client #AP = number of active APs detecting, Ch = channel number Detected Device(s) List -------------------------------------------------------------------------MAC Address Vendor Type #AP Ch Last Detected SSID

-------------------------------------------------------------------------000f-e263-c914 Hangzhou H.. r--w- 1 000f-e263-c918 Hangzhou H.. -i-w- 1 000f-e2cc-ff08 Hangzhou H.. r---c 1 153 2006-01-20/11:26:12 "h3c" 153 2006-01-20/11:26:12 "test2" 153 2006-01-20/11:25:40 -

--------------------------------------------------------------------------

其中 Type 前面有 r 的表示是 Rogue 设备。 (2) Client 试图通过 Rogue AP(AP1)和 PC 通信,但启用反制功能后,Client 和 PC 的通信时 断时续。
C:\Documents and Settings\h3c>ping 21.1.1.1 -t

Pinging 21.1.1.1 with 32 bytes of data:

Request timed out.

4

Request timed out. Request timed out. Request timed out. Request timed out. Reply from 21.1.1.1: bytes=32 time=1433ms TTL=255 Reply from 21.1.1.1: bytes=32 time=40ms TTL=255 Reply from 21.1.1.1: bytes=32 time=11ms TTL=255 Reply from 21.1.1.1: bytes=32 time=46ms TTL=255 Reply from 21.1.1.1: bytes=32 time=17ms TTL=255 Requser timed out. Requser timed out.

4 相关资料
4.1 其它相关资料
《H3C WX 系列无线控制产品 用户手册》 “WLAN 分册” 中的 “WLAN IDS 配置” “WLAN 和 服务配置”。 《H3C WX 系列无线控制产品 用户手册》 “WLAN 分册” 中的 “WLAN IDS 命令” “WLAN 和 服务命令”。

5

H3C WX 系列 AC+Fit AP RSN 安全服务 ESS 典型配置举例
关键词:RSN,CCMP 摘 要:当使用明文传输数据时,由于无线的开发性,其他无线用户能够窃听到所传输的数据,这对用户 的数据安全提出了挑战。通过对数据进行加密,能够有效的防止信息泄漏。目前 WLAN 数据加 密有 WEP、TKIP、CCMP 等方式。 缩略语:
缩略语 AC AP SSID ESS RSN CCMP WLAN Access Control Access Point Service Set Identifier Extended Service Set Robust Security Network Counter mode with CBC-MAC Protocol Wireless Local Area Network 英文全名 无线控制器 无线接入点 服务集识别码 扩展服务集 固安网络 计数器模式搭配[区块密码锁链-信 息真实性检查码]协议 无线局域网 中文解释

i





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 配置举例 .............................................................................................................................................. 1
4.1 组网需求 .............................................................................................................................................. 1 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 3 4.4.1 配置AC...................................................................................................................................... 3 4.5 验证结果 .............................................................................................................................................. 5

5 相关资料 .............................................................................................................................................. 6
5.1 相关协议和标准 ................................................................................................................................... 6 5.2 其它相关资料....................................................................................................................................... 6

ii

1 特性简介
802.11 协议提供的无线安全性能可以很好地抵御一般性网络攻击, 但是仍有少数黑客能够入侵无线 网络,从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络,需要实施一 种性能高于 802.11 的高级安全机制。为了克服以上问题,将 WLAN 安全特性合入 Comware 系统 来增强系统的安全性和健壮性,该特性通过检查 WLAN-MAC 的方式提供 802.11 客户端的安全接 入。

2 应用场合
当使用明文传输数据时,由于无线的开发性,其他无线用户能够窃听到所传输的数据,这对用户的 数据安全提出了挑战。通过对数据进行加密,能够有效的防止信息泄漏。目前 WLAN 数据加密有 WEP、TKIP、CCMP 等方式。TKIP、CCMP 相对于 WEP 来说,要安全的多。在 WX5002 产品上, 无论 WPA 网络还是 RSN 网络,都支持 TKIP 和 CCMP 两种加密方式或者混合加密。

3 注意事项
AP 应处于 RUN 状态。

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 LS8M1WCM128A0 无线控制业务板,AP 使用的是 WA2100 无线局 域网接入点。

1

图4-1 RSN 安全服务 ESS 配置举例组网图
AC

10.18.1.1/24

L2 Switch DHCP Server
10.18.1.254

AP1
10.18.1.14/24

AP2
10.18.1.10/24

4.2 配置思路
(1) (2) (3) (4) 配置服务模板为 RSN 方式。 配置 WLAN-ESS 口的端口安全方式为 PSK 方式。 启动全局端口安全。 将模板绑定到 AP 的 Radio 上。

4.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.00, ESS 1102 Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C LS8M1WCM128A0 uptime is 0 week, 0 day, 19 hours, 23 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: B Version: 1.0

Basic BootROM Version: 1.12 Extend BootROM Version: 1.13 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]M-E1/0/1 (Hardware)B, (Hardware)B, (Hardware)B, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

2

4.4 配置步骤
4.4.1 配置 AC
1. 配置信息
[AC]dispplay current-configuration # version 5.00, 0001 # sysname AC # domain default enable system # port-security enable # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 0 network 18.0.0.0 mask 255.0.0.0 # wlan radio-policy rp1 # wlan service-template 1 crypto ssid h3c-rsn bind WLAN-ESS 1 authentication-method open-system cipher-suite ccmp security-ie rsn service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11 11g supported-rate 6 9 12 18 24 36 48 54 # interface NULL0 # interface Vlan-interface1 ip address 10.18.1.1 255.255.255.0 # interface GigabitEthernet1/0/1

3

# interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS1 port-security port-mode psk port-security tx-key-type 11key port-security preshared-key pass-phrase 12345678 undo dot1x multicast-trigger # wlan ap ap1 model WA2100 serial-id vb radio 1 type 11g channel 6 service-template 1 radio enable # dhcp enable # load xml-configuration # user-interface aux 0 user-interface vty 0 4 # return #

2. 主要配置步骤 (1) 配置服务模板

# 创建 crypto 类型的服务模板 1。
[AC]wlan service-template 1 crypto

# 设置当前服务模板的 SSID(服务模板的标识)为 h3c-rsn。
[AC-wlan-st-1]ssid h3c-rsn

# 将 WLAN-ESS1 接口绑定到服务模板 1。
[AC-wlan-st-1]bind WLAN-ESS 1

# 设置无线客户端接入该无线服务(SSID)的认证方式为开放式系统认证。
[AC-wlan-st-1]authentication-method open-system

# 使能 CCMP 加密套件。
[AC-wlan-st-1]cipher-suite ccmp

# 配置信标和探查帧携带 RSN IE 信息。
[AC-wlan-st-1]security-ie rsn

# 使能服务模板。
[AC-wlan-st-1]service-template enable

4

(2)

配置 WLAN-ESS 口

[AC]interface WLAN-ESS 1

# 配置无线端口 WLAN-ESS1 的端口安全模式为 psk。
[AC-WLAN-ESS1]port-security port-mode psk

# 在接口 WLAN-ESS1 下使能 11key 类型的密钥协商功能。
[AC-WLAN-ESS1]port-security tx-key-type 11key

# 在接口 WLAN-ESS1 下配置预共享密钥为 12345678。
[AC-WLAN-ESS1]port-security preshared-key pass-phrase 12345678

# 关闭 802.1X 的组播触发功能。
[AC-WLAN-ESS1]undo dot1x multicast-trigger

(3) (4)

启动端口安全 将模板绑定到 AP 的 Radio 上。

[AC]port-security enable

[AC]wlan ap 1 [AC-wlan-ap-ap1]radio 1 [AC-wlan-ap-ap1-radio-1]service-template 1

4.5 验证结果
(1) (2) 配置客户端采用 RSN,CCMP 方式可以正常连接到 AP 上。 调用 display wlan client verbose,可以看到连接的客户端确实是以 RSN、CCMP 方式连接 上来的。
[AC]display wlan client verbose Total Number of Clients : 1

Total Number of Clients Connected : 1 Client Information ------------------------------------------------------------------------------MAC Address AID AP Name Radio Id SSID BSSID VLAN State Power Save Mode QoS Mode : 000f-e2cc-ff08 : 1 : ap1 : 1 : h3c-rsn : 000f-e288-9900 : 1 : Running : Active : WMM

Listen Interval (Beacon Interval) : 10 RSSI SNR Client Type Authentication Method 4-Way Handshake State Group Key State : 22 : -NA: RSN : PSK : PTKINITDONE : IDLE

5

Encryption Cipher Roam Status Up Time (hh:mm:ss)

: CCMP : Normal : 02:48:36

-------------------------------------------------------------------------------

5 相关资料
5.1 相关协议和标准
表5-1 相关协议与标准 标准号 IEEE 802.11i-2004 标题 Medium Access Control(MAC) Security Enhancements

5.2 其它相关资料
《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中“WLAN 服务配置”和“WLAN 安全配置”。 《H3C WX 系列无线控制产品 用户手册》“WLAN 分册”中“WLAN 服务命令”和“WLAN 安全命令”。 《H3C WX 系列无线控制产品 用户手册》 “安全分册” “端口安全配置” “802.1x 配置” 中 和 。 《H3C WX 系列无线控制产品 用户手册》 “安全分册” “端口安全命令” “802.1x 命令” 中 和 。

6

H3C WX 系列 AC+Fit AP WAPI 典型配置举例
关键词:WAPI 摘 要:WAPI 是无线局域网鉴别和保密基础结构的英文术语 WLAN Authentication and Privacy Infrastructure 的首字母缩写。这是中国具有自主知识产权的 802.11 无线局域网络的用户身份 认证和数据报文加解密的标准。该标准提供了基于预共享密钥、标准证书认证和 AAA 证书认证 等三种用户认证方式。对于数据报文,该标准采用了 WPI-SMS4 算法,分别对单播和组(广) 播报文加解密。从而提供了全面的用户身份认证和数据报文加解密的功能。 缩略语:
缩略语 AC AP AAA RADIUS SSID WMM Client WAPI Access Controller Access Point Authentication, Authorization and Accounting Remote Authentication Dial-In User Service Service Set Identifier Wi-Fi Multimedia Client WLAN Authentication and Privacy Infrastructure 英文全名 无线控制器 无线接入点 认证、授权和计费 远程认证拨号用户服务 服务集识别码 Wi-Fi 多媒体 无线客户端 无线局域网鉴别和保密基础结构 中文解释

i





1 特性简介 .............................................................................................................................................. 1 2 应用场合 .............................................................................................................................................. 1 3 注意事项 .............................................................................................................................................. 1 4 预共享密钥认证配置举例 ..................................................................................................................... 2
4.1 典型组网 .............................................................................................................................................. 2 4.2 配置思路 .............................................................................................................................................. 2 4.3 使用版本 .............................................................................................................................................. 2 4.4 配置步骤 .............................................................................................................................................. 3 4.4.1 配置AC...................................................................................................................................... 3 4.4.2 配置WAPI无线网卡 ................................................................................................................... 6 4.5 验证结果 .............................................................................................................................................. 6

5 标准证书认证配置举例......................................................................................................................... 7
5.1 典型组网 .............................................................................................................................................. 7 5.2 配置思路 .............................................................................................................................................. 7 5.3 使用版本 .............................................................................................................................................. 7 5.4 配置步骤 .............................................................................................................................................. 8 5.4.1 配置AC...................................................................................................................................... 8 5.4.2 配置WAPI无线网卡 ................................................................................................................. 13 5.5 验证结果 ............................................................................................................................................ 13

6 AAA证书认证配置举例........................................................................................................................ 14
6.1 典型组网 ............................................................................................................................................ 14 6.2 配置思路 ............................................................................................................................................ 14 6.3 使用版本 ............................................................................................................................................ 16 6.4 配置步骤 ............................................................................................................................................ 17 6.4.1 配置AC.................................................................................................................................... 17 6.4.2 配置WAPI无线网卡 ................................................................................................................. 23 6.5 验证结果 ............................................................................................................................................ 23

7 相关资料 ............................................................................................................................................ 24
7.1 其它相关资料..................................................................................................................................... 24

ii

1 特性简介
由于 WAPI 是中国自主提出的 802.11 用户身份认证和数据报文加解密标准,而且到目前为止,尚 未得到国际上大多数厂商的支持。因此,希望使用 WAPI 认证和加密的无线网络,必需使用 WAPI 专用的无线网卡,例如:西电捷通 WAPI 无线网卡,是其中的一种。 无线局域网鉴别和保密基础结构(WAPI)标准,提供了三种用户身份认证方式,预共享密钥认证、 标准证书认证和 AAA 证书认证。预共享密钥认证,是在无线设备上进行本地认证,完成对用户的 鉴别。而标准证书认证和 AAA 证书认证,都需要专用的认证服务器,进行配合完成对用户的身份 鉴别。其中,H3C 公司的 iMC 服务器,可以提供该认证服务。本配置举例中以 iMC 服务器作为 WAPI 的认证服务器。 采用预共享密钥认证的方式时,只需要在无线设备上配置合适的 WAPI 无线服务,并且配置 WAPI 网络的认证方式,为 PSK(预共享密钥)方式,以及用户接入时所需要的密钥即可。 采用标准证书或 AAA 证书认证时,需要在设备配置 WAPI 无线网络服务的认证方式为证书方式, 并且需要在 iMC 服务器、无线设备、WAPI 客户端分别导入适当的证书。其中,AAA 证书认证时需 要在认证服务器上根据证书中信息,正确配置 WAPI 用户。

2 应用场合
WAPI 既可以应用到小型无线网络,也应用于大规模部署的无线网络。预共享密钥认证方式,提供 一种简单的不需要专门认证服务器的认证机制。而且,标准证书或 AAA 证书认证机制,借助专门 的认证服务器,可以为大规模部署的无线网络,提供安全易于管理的接入方案。

3 注意事项
在配置过程中,请注意以下几点: 需要准备专用的无线网卡和认证服务器,比如:西电捷通的 WAPI 无线网卡,H3C 的 iMC 认 证服务器。并且准备支持 WAPI 无线网络服务的无线设备。 使用 AC&Fit AP 模式的无线组网结构,在建立无线服务之前,需要先把 Fit AP 注册到 AC 上 面。由于这不是本文档描述的重点,并且为了保持文档的简洁,如果需要了解 Fit AP 在 AC 注册方面的信息,请查阅相关的技术文档。 由于西电捷通的 WAPI 无线网卡,在通报 WMM 能力时存在误报现象,而导致连接上后数据 不通的现象。 为了避免该问题, 需要把需要应用 WAPI 无线服务的 AP 的射频接口的 WMM 功 能关闭。

1

4 预共享密钥认证配置举例
4.1 典型组网
用户通过 WAPI 预共享密钥方式认证接入有线网络,这里采用 AC+Fit AP 的模式布置无线网络, 如下图所示:
图4-1 预共享密钥认证配置举例组网图
Wired Network

AC
Uplink interface

AP

Client1 Client2

Client3

4.2 配置思路
使用预共享密钥方式的无线服务,只需要在无线设备(比如 WX5002)上面配置合适的 WAPI 的无 线服务,并且在相应的无线接口上面配置 WAPI 认证方式为 PSK,同时配置需要采用的密码。 在使用 WAPI 无线网卡(比如西电捷通 WAPI 无线网卡)尝试接入该无线网络时,选择该 WAPI 无线网络后,只需输入正确的密码即可。

4.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Apr 1 2008 15:54:12, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 0 day, 0 hour, 6 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory

2

32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.15 Extend BootROM Version: 1.15 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

4.4 配置步骤
4.4.1 配置 AC

在进行 WAPI 的配置之前,假设 Fit AP 和 AC 已经成功注册,例如:该 AP 在 AC(WX5002)上 面的名称为 ap_wapi,而且已经处于 run 状态。

<AC>display wlan ap all AC Work Mode Total Number of APs configured : Master : 1

Total Number of configured APs connected : 0 Total Number of auto APs connected AP Profiles ------------------------------------------------------------------------------AP Name APID State Model Serial-ID : 0

------------------------------------------------------------------------------ap_wapi 1 Run WA2100 210235A29G007C000020

------------------------------------------------------------------------------<AC>

1. 配置信息
<AC>display current-configuration # version 5.20, 0001 # sysname AC # domain default enable system # port-security enable # vlan 1 # domain system access-limit disable state active

3

idle-cut disable self-service-url disable # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan radio-policy 1 undo wmm enable # wlan service-template 1 wapi ssid wapi_psk bind WLAN-ESS 1 service-template enable # interface NULL0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS1 wapi authentication method psk wapi psk pass-phrase simple 12345678 port-security port-mode wapi # wlan ap ap_wapi model WA2100 serial-id 210235A29G007C000020 radio 1 radio-policy 1 service-template 1 radio enable # user-interface aux 0 user-interface vty 0 4 # return

2. 主要配置步骤 (1) (2) 开启端口安全。 配置无线接口,并启用 WAPI PSK 认证,密码为 12345678。
4

[AC]port-security enable

# 创建编号为 1 的 WLAN-ESS 接口。
[AC]interface wlan-ess 1

# 配置无线端口 WLAN-ESS1 的端口安全模式为 WAPI。
[AC-WLAN-ESS1]port-security port-mode wapi

# 在接口 WLAN-ESS1 上配置 WAPI 采用预共享密钥鉴别方式。
[AC-WLAN-ESS1]wapi authentication method psk

# 在接口 WLAN-ESS1 上配置预共享密钥为 123456,用字符串格式输入,显示方式为明文方式。
[AC-WLAN-ESS1]wapi psk pass-phrase simple 12345678 [AC-WLAN-ESS1]quit

(3)

配置 WAPI 无线服务,SSID 为 wapi_psk,并绑定上面配置的无线接口。

# 创建 WAPI 类型的服务模板 1。
[AC]wlan service-template 1 wapi

# 设置当前服务模板的 SSID(服务模板的标识)为 wapi_psk。
[AC-wlan-st-1]ssid wapi_psk

# 将 WLAN-ESS1 接口绑定到服务模板 1。
[AC-wlan-st-1]bind wlan-ess 1

# 使能服务模板。
[AC-wlan-st-1]service-template enable [AC-wlan-st-1]quit

(4)

配置射频策略,关闭 WMM 功能,因为一些 WAPI 无线网卡,在协商 WMM 功能时存在误报 现象。

[AC]wlan radio-policy 1 [AC-wlan-rp-1]undo wmm enable [AC-wlan-rp-1]quit

(5)

把该 WAPI 无线服务和射频策略,绑定到需要提供 WAPI 无线服务的 AP 上面,下面关闭 AP 的射频功能,是因为需要绑定新的射频策略;如果不需要重新绑定射频策略,则不需要关闭 该射频功能。

# 进入 AP 管理模板视图 ap_wapi。
[AC]wlan ap ap_wapi

# 进入射频视图 1。
[AC-wlan-ap-ap_wapi]radio 1

# 关闭 AP 的射频功能。
[AC-wlan-ap-ap_wapi-radio-1]radio disable

# 配置 radio1 的射频策略为 1。
[AC-wlan-ap-ap_wapi-radio-1]radio-policy 1

# 将服务模板 1 与射频 1 进行关联。
[AC-wlan-ap-ap_wapi-radio-1]service-template 1

# 使能 AP 的射频功能。

5

[AC-wlan-ap-ap_wapi-radio-1]radio enable [AC-wlan-ap-ap_wapi-radio-1]quit [AC-wlan-ap-ap_wapi]quit

当这些配置生效后,就可使用该 WAPI 无线服务了。

4.4.2 配置 WAPI 无线网卡
在配置 WAPI 的无线网卡之前,首先应当正确的安装网卡驱动。这里以西电捷通的 WAPI 无线网卡 为例,说明其配置方法。 (1) 当西电捷通的无线网卡正确安装后,可以点击其专用的无线管理软件。在“参数设置”的界 面中,钩选“改变设置”后,更改“网络 SSID”。 (2) 正确填入“网络 SSID”后,点击“更新设置”按钮。然后,在“安全管理”界面中选择“鉴 别模式”为“共享密钥”。 (3) 然后在弹出的“共享密钥配置”对话框中,输入密码 12345678 后,单击<确定>按钮。

这样,就可以成功接入了。

4.5 验证结果
在无线设备上查看 WAPI 用户接入状态,如果已经成功接入,将会看到类似下面信息。
[AC] display wapi user Total number of users: 2 User information ------------------------------------------------------MAC address VLAN Interface Authentication method Current state : 00-0b-c0-02-5e-39 : 1 : WLAN-DBSS1:0 : PSK : Online

Authentication state : Idle USK handshake state : Establish MSK handshake state : Establish AAA handshake state : Idle Online time (hh:mm:ss) : 00:02:26

------------------------------------------------------User information ------------------------------------------------------MAC address VLAN Interface Authentication method Current state : 00-0b-c0-02-5e-2f : 1 : WLAN-DBSS1:0 : PSK : Online

Authentication state : Idle USK handshake state : Establish MSK handshake state : Establish AAA handshake state : Idle Online time (hh:mm:ss) : 00:02:40

6

-------------------------------------------------------

5 标准证书认证配置举例
5.1 典型组网
用户通过 WAPI 标准证书方式认证接入有线网络,这里采用 AC+Fit AP 的模式布置无线网络,如 下图所示:
图5-1 标准证书认证配置举例组网图
Wired Network

iMC server

AC
Uplink interface

AP

Client1 Client2

Client3

注:假设 iMC 服务器的配置的 IP 地址为 8.1.1.5/8,AC 的 IP 地址为 8.50.100.100/8. 这里只要求 AC 与 iMC 服务器路由可达即可。

5.2 配置思路
需要在认证服务器,AC 和 WAPI Client 上分别正确导入证书,并做相关配置即可。

5.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Apr 1 2008 15:54:12, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 0 day, 0 hour, 6 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory

7

32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.15 Extend BootROM Version: 1.15 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

<AC>

5.4 配置步骤
5.4.1 配置 AC

在进行 WAPI 的配置之前,假设 Fit AP 和 AC 已经成功注册,例如:该 AP 在 AC(WX5002)上 面的名称为 ap_wapi, 而且已经处于 run 状态。

<AC>display wlan ap all AC Work Mode Total Number of APs configured : Master : 1

Total Number of configured APs connected : 0 Total Number of auto APs connected AP Profiles ------------------------------------------------------------------------------AP Name APID State Model Serial-ID : 0

------------------------------------------------------------------------------ap_wapi 1 Run WA2100 210235A29G007C000020

------------------------------------------------------------------------------<AC>

1. 配置信息
<AC>display current-configuration # version 5.20, 0001 # sysname AC # domain default enable system # port-security enable # vlan 1 #

8

domain system access-limit disable state active idle-cut disable self-service-url disable # pki domain pki1 crl check disable signature-algorithm ecdsa peer-entity as1 import # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan radio-policy 1 undo wmm enable # wlan service-template 1 wapi ssid wapi_psk bind WLAN-ESS 1 service-template enable # wlan service-template 2 wapi ssid wapi_std_wapi bind WLAN-ESS 2 service-template enable # interface NULL0 # interface Vlan-interface1 ip address 8.50.100.100 255.0.0.0 # interface GigabitEthernet1/0/1 # interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS1 wapi authentication method psk wapi psk pass-phrase simple 12345678 port-security port-mode wapi #

9

interface WLAN-ESS2 wapi authentication-server ip 8.1.1.5 wapi certificate domain pki1 authentication-server as1 port-security port-mode wapi # wlan ap ap_wapi model WA2100 serial-id 210235A29G007C000020 radio 1 radio-policy 1 service-template 1 service-template 2 radio enable # user-interface aux 0 user-interface vty 0 4 # return

2. 主要配置步骤 (1) (2) 开启端口安全。 配 置 PKI 域 并 且 导 入 相 应 证 书 , 这 需 要 先 把 需 要 的 证 书 上 传 到 设 备 上 面 。 这 里 以

[AC]port-security enable

Root.cer

Root.key

, Ae.cer Ae.key 和 Asue.cer

Asue.key

证书组为例。这些证书是文件对

象,可以拆下来,作为试验使用。假设设备需要导入的证书 root.cer 和 ae.cer 已经上传到 AC 上。
<AC>dir Directory of flash:/

0 1 10 11

-rw-rw-rw-rw-

9270 Mar 14 2008 10:23:40 9718892 Apr 15 2008 10:00:15 615 Apr 18 2008 09:58:24 805 Apr 18 2008 09:59:37

config.cfg wx5002.bin root.cer ae.cer

31750 KB total (22248 KB free)

<AC>

(3)

配置 PKI 域。

# 创建 PKI 域 pki1 并进入其视图。
[AC]pki domain pki1

# 禁止 CRL 检查。CRL 是由 CA 签发的文件,其中包含所有被 CA 废除的证书列表,表明某些证 书已被废除。
[AC-pki-domain-pki1]crl check disable

# 指定证书的签名算法为 ECDSA 算法。
10

[AC-pki-domain-pki1]signature-algorithm ecdsa Note: Change signature algorithm will impact the use of existing certificates, please delete all certificates of the domain.

# 指定外部实体的名称为 as1,并指定该外部实体的证书要用手工导入。
[AC-pki-domain-pki1]peer-entity as1 import [AC-pki-domain-pki1]quit

(4)

配置 PKI 域,按照下面顺序导入证书。注意,如果导入证书时顺序不正确,将会导入失败。

[AC]pki import-certificate peer-entity as1 domain pki1 pem filename root.cer Importing certificates. Please wait a while...... %Apr 18 10:54:12:327 2008 H3C PKI/4/Verify_Cert:Verify certificate CN=root.cer of the domain pki1 successfully..... Import peer entity certificate successfully. %Apr 18 10:54:17:215 2008 H3C PKI/4/Import_Peer_Entity_Cert:Import peer entity certificate of the domain pki1 successfully. [AC]pki import-certificate ca domain pki1 pem filename root.cer Importing certificates. Please wait a while...... The trusted CA's finger print is: MD5 fingerprint:F02E 4528 8269 791A 6A70 0D41 C7D0 5516 SHA1 fingerprint:2FAF 6D42 BC52 A8FA CB77 49B7 3972 2069 3728 E302

Is the finger print correct?(Y/N):y

%Apr 18 10:54:40:258 2008 H3C PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain pki1 is trusted..... Import CA certificate successfully. %Apr 18 10:54:45:155 2008 H3C PKI/4/Update_CA_Cert:Update CA certificates of the Domain pki1 successfully. [AC] %Apr 18 10:54:45:165 2008 H3C PKI/4/Import_CA_Cert:Import CA certificates of the domain pki1 successfully. [AC]pki import-certificate local domain pki1 pem filename ae.cer Importing certificates. Please wait a while...... %Apr 18 10:55:48:267 2008 H3C PKI/4/Verify_Cert:Verify certificate CN=ae.cer of the domain pki1 successfully... Import local certificate successfully. %Apr 18 10:55:50:715 2008 H3C PKI/4/Import_Local_Cert:Import local certificate of the domain pki1 successfully... Import key pair successfully. %Apr 18 10:55:53:185 2008 H3C PKI/4/Import_Local_Key:Import local private key of the domain pki1 successfully. [AC]

(5)

正确导入这些证书后,将会在设备的文件系统中,看到重新生成的证书。

[AC]return <AC>dir Directory of flash:/

0

-rw-

9270 Mar 14 2008 10:23:40

config.cfg

11

1 10 11 12 13 14

-rw-rw-rw-rw-rw-rw-

9718892 Apr 15 2008 10:00:15 615 Apr 18 2008 09:58:24 805 Apr 18 2008 09:59:37 615 Apr 18 2008 10:54:14 615 Apr 18 2008 10:54:42 611 Apr 18 2008 10:55:48

wx5002.bin root.cer ae.cer pki1_peerentity_as1.cer pki1_ca.cer pki1_local.cer

31750 KB total (22229 KB free)

<AC>

如果按照上面顺序,重新导入证书时,有如下提示信息:
[AC]pki import-certificate local domain pki1 pem filename ae.cer Both local device and import file has a key, please choose one of them.

则需要把原来已经导入的密钥删除,然后按照上面顺序,重新导入证书。 # 销毁 ECDSA 本地密钥对。
[AC]public-key local destroy ecdsa Warning: Confirm to destroy these keys? [Y/N]: y ........... [AC]

(6)

正确配置无线接口,设置为证书认证方式,并指定认证模式为 standard,同时指定认证服务 器地址,然后配置 WAPI 无线服务模板。

# 创建 WLAN-ESS 接口 2。
[AC]interface wlan-ess 2

# 配置无线端口 WLAN-ESS2 的端口安全模式为 WAPI。
[AC-WLAN-ESS2]port-security port-mode wapi

# 在接口 WLAN-ESS2 上配置 WAPI 采用证书认证方式。
[AC-WLAN-ESS2]wapi authentication method certificate

# 在接口 WLAN-ESS2 上配置 WAPI 采用标准鉴别模式。
[AC-WLAN-ESS2]wapi authentication mode standard

# 指定证书所属的 PKI 域为 pki1 和 AS 的实体名为 as1。
[AC-WLAN-ESS2]wapi certificate domain pki1 authentication-server as1

# 在接口 WLAN-ESS2 上指定 AS 的 IP 地址为 8.1.1.5。
[AC-WLAN-ESS2]wapi authentication-server ip 8.1.1.5 [AC-WLAN-ESS2]quit

# 创建 wapi 类型的服务模板 2。
[AC]wlan service-template 2 wapi

# 设置当前服务模板的 SSID(服务模板的标识)为 wapi_std_cert。
[AC-wlan-st-2]ssid wapi_std_cert

# 将 WLAN-ESS2 接口绑定到服务模板 2。
[AC-wlan-st-2]bind wlan-ess 2

12

# 使能服务模板。
[AC-wlan-st-2]service-template enable [AC-wlan-st-2]quit

(7)

把该 WAPI 无线服务,绑定到需要应用 WAPI 无线服务的 AP 上面。

[AC]wlan ap ap_wapi [AC-wlan-ap-ap_wapi]radio 1

# 将在 AC 上配置的 wapi 类型的服务模板 2 与射频 1 进行关联。
[AC-wlan-ap-ap_wapi-radio-1]service-template 2 [AC-wlan-ap-ap_wapi-radio-1]display this # radio 1 radio-policy 1 service-template 2 radio enable # return [AC-wlan-ap-ap_wapi-radio-1]quit [AC-wlan-ap-ap_wapi]quit [AC]wlan radio-policy 1 [AC-wlan-rp-1]display this # wlan radio-policy 1 undo wmm enable # return [AC] //关闭 WMM 功能 //配置 radio1 的射频策略为 1

当 iMC 认证服务器上面配置也生效后,WAPI 无线服务就可以使用了。iMC 认证服务器的配置,请 参考业务软件相关配置手册。

5.4.2 配置 WAPI 无线网卡
在西电捷通的无线控制管理软件的“参数设置”界面修改“网络SSID”后,进入“安全配置”界面, 选择“证书鉴别”方式。然后,在WAPI Client上面,正确安装证书asue.cer和root.cer证书。其他 部分,请参考“4.4.2 配置WAPI无线网卡”。

然后,就可以成功接入 WAPI 无线网络了。

5.5 验证结果
WAPI 用户接入后,检查设备上面 WAPI 用户接入情况,可以看到如下信息:
[AC] display wapi user Total number of users: 1 User information ------------------------------------------------------MAC address VLAN Interface : 00-0b-c0-02-5e-39 : 1 : WLAN-DBSS2:0

13

Authentication method Current state

: Certificate : Online

Authentication state : Authenticate success USK handshake state : Establish MSK handshake state : Establish AAA handshake state : Idle Online time (hh:mm:ss) : 00:02:26

-------------------------------------------------------

6 AAA 证书认证配置举例
6.1 典型组网
用户通过 WAPI AAA 证书认证方式认证接入有线网络, 这里采用 AC+Fit AP 的模式布置无线网络, 如下图所示:
图6-1 WAPI 典型组网
Wired Network

iMC server

AC
Uplink interface

AP

Client1 Client2

Client3

注:假设 iMC 服务器的配置的 IP 地址为 8.1.1.5/8,AC 的 IP 地址为 8.50.100.100/8. 这里只要求 AC 与 iMC 服务器路由可达即可。

6.2 配置思路
需要在认证服务器,AC 和 WAPI Client 上分别正确导入证书,并做相关配置。 需要注意是:AAA 认证时,iMC 服务器上创建的账号和密码为 asue.cer 证书中“主题”名称。示 例证书的主题名称为“asue.cer”。

14

图6-2 证书的主题名称

iMC 上相关配置如下
图6-3 在 iMC 上添加和主题名相同的用户

该用户绑定 wapi 的服务
图6-4 绑定 wapi 的服务

该服务配置如下:

15

图6-5 wapi 服务选择证书认证

6.3 使用版本
<AC>display version H3C Comware Platform Software Comware Software, Version 5.20, 0001 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Apr 1 2008 15:54:12, RELEASE SOFTWARE H3C WX5002-128 uptime is 0 week, 0 day, 0 hour, 6 minutes

CPU type: BCM MIPS 1250 700MHz 1024M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Version: A Version: 1.0

Basic BootROM Version: 1.15 Extend BootROM Version: 1.15 [SLOT 1]CON [SLOT 1]GE1/0/1 [SLOT 1]GE1/0/2 [SLOT 1]M-E1/0/1 (Hardware)A, (Hardware)A, (Hardware)A, (Hardware)A, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

16

6.4 配置步骤
6.4.1 配置 AC

在进行 WAPI 的配置之前,假设 Fit AP 和 AC 已经成功注册,例如:该 AP 在 AC(WX5002)上 面的名称为 ap_wapi, 而且已经处于 run 状态。

<AC>display wlan ap all AC Work Mode Total Number of APs configured : Master : 1

Total Number of configured APs connected : 0 Total Number of auto APs connected AP Profiles ------------------------------------------------------------------------------AP Name APID State Model Serial-ID : 0

------------------------------------------------------------------------------ap_wapi 1 Run WA2100 210235A29G007C000020

------------------------------------------------------------------------------<AC>

1. 配置信息
<AC>display current-configuration # version 5.20, 0001 # sysname AC # domain default enable system # port-security enable # vlan 1 # radius scheme radius1 server-type extended primary authentication 8.1.1.5 primary accounting 8.1.1.5 key authentication admin key accounting admin user-name-format without-domain # domain domain1 authentication wapi radius-scheme radius1 authorization wapi radius-scheme radius1 accounting wapi radius-scheme radius1

17

access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable # pki domain pki1 crl check disable signature-algorithm ecdsa peer-entity as1 import # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan radio-policy 1 undo wmm enable # wlan service-template 1 wapi ssid wapi_psk bind WLAN-ESS 1 service-template enable # wlan service-template 2 wapi ssid wapi_std_wapi bind WLAN-ESS 2 service-template enable # wlan service-template 3 wapi ssid wapi_aaa_cert bind WLAN-ESS 3 service-template enable # interface NULL0 # interface Vlan-interface1 ip address 8.50.100.100 255.0.0.0 # interface GigabitEthernet1/0/1 #

18

interface GigabitEthernet1/0/2 # interface M-Ethernet1/0/1 # interface WLAN-ESS1 wapi authentication method psk wapi psk pass-phrase simple 12345678 port-security port-mode wapi # interface WLAN-ESS2 wapi authentication-server ip 8.1.1.5 wapi certificate domain pki1 authentication-server as1 port-security port-mode wapi # interface WLAN-ESS3 wapi authentication mode scheme wapi certificate domain pki1 authentication-server as1 wapi mandatory-domain domain1 port-security port-mode wapi # wlan ap ap_wapi model WA2100 serial-id 210235A29G007C000020 radio 1 radio-policy 1 service-template 1 service-template 2 service-template 3 radio enable # user-interface aux 0 user-interface vty 0 4 # return

2. 主要配置步骤 (1) 开启端口安全。

[AC]port-security enable

(2)

配置 PKI 域并且导入相应证书, 这需要先把证书上传到设备上面。 这里以 Root.cer

Root.key



Ae.cer

Ae.key

和 Asue.cer

Asue.key

证书组为例。这些证书是文件对象,可以拆下来作为试

验使用。假设设备需要导入的证书 root.cer 和 ae.cer 已经上传到设备(WX5002)上面。
<AC>dir Directory of flash:/

0

-rw-

9270 Mar 14 2008 10:23:40

config.cfg

19

1 10 11

-rw-rw-rw-

9718892 Apr 15 2008 10:00:15 615 Apr 18 2008 09:58:24 805 Apr 18 2008 09:59:37

wx5002.bin root.cer ae.cer

31750 KB total (22248 KB free)

<AC>

(3)

配置 PKI 域。

# 创建 PKI 域 pki1 并进入其视图。
[AC]pki domain pki1

# 禁止 CRL 检查。CRL 是由 CA 签发的文件,其中包含所有被 CA 废除的证书列表,表明某些证 书已被废除。
[AC-pki-domain-pki1]crl check disable

# 指定证书的签名算法为 ECDSA 算法。
[AC-pki-domain-pki1]signature-algorithm ecdsa Note: Change signature algorithm will impact the use of existing certificates, please delete all certificates of the domain.

# 指定外部实体的名称为 as1,并指定该外部实体的证书要用手工导入。
[AC-pki-domain-pki1]peer-entity as1 import [AC-pki-domain-pki1]quit

(4)

配置 PKI 域,按照下面顺序导入证书。注意,如果导入证书时顺序不正确,将会导入失败。

[AC]pki import-certificate peer-entity as1 domain pki1 pem filename root.cer Importing certificates. Please wait a while...... %Apr 18 10:54:12:327 2008 H3C PKI/4/Verify_Cert:Verify certificate CN=root.cer of the domain pki1 successfully..... Import peer entity certificate successfully. %Apr 18 10:54:17:215 2008 H3C PKI/4/Import_Peer_Entity_Cert:Import peer entity certificate of the domain pki1 successfully. [AC]pki import-certificate ca domain pki1 pem filename root.cer Importing certificates. Please wait a while...... The trusted CA's finger print is: MD5 fingerprint:F02E 4528 8269 791A 6A70 0D41 C7D0 5516 SHA1 fingerprint:2FAF 6D42 BC52 A8FA CB77 49B7 3972 2069 3728 E302

Is the finger print correct?(Y/N):y

%Apr 18 10:54:40:258 2008 H3C PKI/4/Verify_CA_Root_Cert:CA root certificate of the domain pki1 is trusted..... Import CA certificate successfully. %Apr 18 10:54:45:155 2008 H3C PKI/4/Update_CA_Cert:Update CA certificates of the Domain pki1 successfully. [AC] %Apr 18 10:54:45:165 2008 H3C PKI/4/Import_CA_Cert:Import CA certificates of the domain pki1 successfully. [AC]pki import-certificate local domain pki1 pem filename ae.cer

20

Importing certificates. Please wait a while...... %Apr 18 10:55:48:267 2008 H3C PKI/4/Verify_Cert:Verify certificate CN=ae.cer of the domain pki1 successfully... Import local certificate successfully. %Apr 18 10:55:50:715 2008 H3C PKI/4/Import_Local_Cert:Import local certificate of the domain pki1 successfully... Import key pair successfully. %Apr 18 10:55:53:185 2008 H3C PKI/4/Import_Local_Key:Import local private key of the domain pki1 successfully. [AC]

(5)

正确导入这些证书后,将会在设备的文件系统中,看到重新生成的证书。

[AC]return <AC>dir Directory of flash:/

0 1 10 11 12 13 14

-rw-rw-rw-rw-rw-rw-rw-

9270 Mar 14 2008 10:23:40 9718892 Apr 15 2008 10:00:15 615 Apr 18 2008 09:58:24 805 Apr 18 2008 09:59:37 615 Apr 18 2008 10:54:14 615 Apr 18 2008 10:54:42 611 Apr 18 2008 10:55:48

config.cfg wx5002.bin root.cer ae.cer pki1_peerentity_as1.cer pki1_ca.cer pki1_local.cer

31750 KB total (22229 KB free)

<AC>

如果按照上面顺序,重新导入证书时,有如下提示信息:
[AC]pki import-certificate local domain pki1 pem filename ae.cer Both local device and import file has a key, please choose one of them. [AC]

则需要把原来已经导入的密钥删除,然后按照上面顺序,重新导入证书。 # 销毁 ECDSA 本地密钥对。
[AC]public-key local destroy ecdsa Warning: Confirm to destroy these keys? [Y/N]: y ........... [AC]

(6)

配置 WAPI 使用的 AAA 的 radius 模式。

# 创建 RADIUS 方案 radius1 并进入其视图。
[AC] radius scheme radius1

# 设置主认证 RADIUS 服务器的 IP 地址 8.1.1.5。
[AC-radius-radius1] primary authentication 8.1.1.5

# 设置主计费 RADIUS 服务器的 IP 地址 8.1.1.5。
[AC-radius-radius1] primary accounting 8.1.1.5

# 设置系统与认证 RADIUS 服务器交互报文时的共享密钥为 admin。
21

[AC-radius-radius1] key authentication admin

# 设置系统与计费 RADIUS 服务器交互报文时的共享密钥为 admin。
[AC-radius-radius1] key accounting admin

# 将 RADIUS 方案 radius1 的 RADIUS 服务器类型设置为 extended。
[AC-radius-radius1] server-type extended

# 指定发送给 RADIUS 方案 radius1 中 RADIUS 服务器的用户名不得携带域名。
[AC-radius-radius1] user-name-format without-domain [AC-radius-radius1] quit

(7)

配置 WAPI 认证使用的域。

# 创建 domain1 域并进入其视图。
[AC] domain domain1

# 为 WAPI 用户配置认证方案为 RADIUS 方案,方案名为 radius1。
[AC-isp-domain1] authentication wapi radius-scheme radius1

# 为 WAPI 用户配置授权方案为 RADIUS 方案,方案名为 radius1。
[AC-isp-domain1] authorization wapi radius-scheme radius1

# 为 WAPI 用户配置计费方案为 RADIUS 方案,方案名为 radius1。
[AC-isp-domain1] accounting wapi radius-scheme radius1 [AC-isp-domain1] quit

(8)

配置无线接口。

# 创建 WLAN-ESS 接口 3。
[AC]interface wlan-ess 3

# 配置无线端口 WLAN-ESS3 的端口安全模式为 WAPI。
[AC-WLAN-ESS3]port-security port-mode wapi

# 在接口 WLAN-ESS3 上配置 WAPI 采用证书认证方式。
[AC-WLAN-ESS3]wapi authentication method certificate

# 在接口 WLAN-ESS3 上配置 WAPI 采用 AAA 鉴别模式。
[AC-WLAN-ESS3]wapi authentication mode scheme

# 指定证书所属的 PKI 域为 pki1 和 AS 的实体名为 as1。
[AC-WLAN-ESS3]wapi certificate domain pki1 authentication-server as1

# 在接口 WLAN-ESS3 上指定 AAA 证书鉴别所属的 ISP 域为 domain1。
[AC-WLAN-ESS3]wapi mandatory-domain domain1 [AC-WLAN-ESS3]quit

# 创建 wapi 类型的服务模板 3。
[AC]wlan service-template 3 wapi

# 设置当前服务模板的 SSID(服务模板的标识)为 wapi_aaa _cert。
[AC-wlan-st-3]ssid wapi_aaa _cert

# 将 WLAN-ESS3 接口绑定到服务模板 3。
[AC-wlan-st-3]bind wlan-ess 3

22

# 使能服务模板。
[AC-wlan-st-3]service-template enable [AC-wlan-st-3]quit [AC]

(9)

把该 WAPI 无线服务,绑

相关文章:
H3C WX系列AC+Fit AP PSK认证方式典型配置举例
H3C WX 系列 AC+Fit AP PSK 认证方式典型配置举例 关键词:PSK 摘要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安全 问题凸显出来, 本配置举例...
06-H3C WX系列AC+Fit AP AP自动升级版本典型配置举例
06-H3C WX系列AC+Fit AP AP自动升级版本典型配置举例_机械/仪表_工程科技_专业资料。H3C WX 系列 AC+Fit AP AP 自动升级版本典型配置举例关键词: 关键词:AP,...
H3C WX系列AC+Fit AP WEP加密典型配置举例
H3C WX 系列 AC+Fit AP WEP 加密典型配置举例 关键词:WEP 摘要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安全 问题凸显出来,本配置举例可以实现...
H3C WX系列AC 1+1热备份典型配置举例 1
H3C WX系列AC 1+1热备份典型配置举例 1_IT/计算机_专业资料。AC的配置举例。H3C WX 系列 AC 1+1 热备份典型配置举例 关键词:1+1 热备份 摘要: 本文介绍了...
H3C WX系列AC实现Portal+LDAP功能的典型配置(账号的姓名使用中文)
H3C WX系列AC实现Portal+LDAP功能的典型配置(账号的姓名使用中文)_计算机硬件及网络_IT/计算机_专业资料。H3C WX系列AC实现Portal+LDAP功能的典型配置(账号的姓名...
H3C WX系列AC+Fit AP二层IPv4网络连接典型配置举例
H3C WX 系列 AC+Fit AP 二层 IPv4 网络连接典型配置举例 关键词:AP,AC,二层网络 摘要:AP 和 AC 间的连接最常用的情况就是通过 IPv4 二层网络连接,这种...
H3C WX系列AC+Fit AP双机直连IRF典型配置举例(V7)
H3C WX系列AC+Fit AP双机直连IRF典型配置举例(V7)_计算机硬件及网络_IT/计算机_专业资料。H3C WX 系列 AC+Fit AP 双机直连 IRF 典型配 置举例(V7) ...
33-H3C WX系列基于SSID+VLAN的本地转发典型配置举例
33-H3C WX系列基于SSID+VLAN的本地转发典型配置举例_信息与通信_工程科技_专业资料。本文介绍了用H3C公司WX系列AC部署本地转发解决方案时必需的配置。...
H3C_WX系列AC+Fit_AP二层IPv4网络连接典型配置举例
H3C WX 系列 AC+Fit AP 二层 IPv4 网络连接典型配置举例 关键词:AP,AC,二层网络 摘要:AP 和 AC 间的连接最常用的情况就是通过 IPv4 二层网络连接,这种...
WX系列AC关于中文SSID配置的指导说明
WX系列AC关于中文SSID配置的指导说明_计算机硬件及网络_IT/计算机_专业资料。文档...[WX3010E-wlan-st-1]display this # 2016-05-03 H3C 机密,未经许可不得...
更多相关标签:
h3c wx3024e | h3c wx3024e 配置案例 | h3c wx3010e 配置手册 | h3c wx3010e 配置案例 | h3c wx5004 | h3c wx3510e | h3c wx3010e | h3c wx2540h 配置 |