由浅入深玩转华为WLAN—-9 安全认证配置(2)基于无线的MAC地址认证 | 网络之路博客(公众号同名)(其他平台网络之路Blog)
登录
  • 欢迎网络之路博客网站,分享有用的知识点,公众号:网络之路博客,B站:网络之路Blog
  • 如果您觉得本站对您有帮助,那么赶紧使用Ctrl+D 收藏吧,支持我们下
  • 远程技术支持的淘宝店铺已经开张了哦,传送门:需要的朋友可以点击查看

由浅入深玩转华为WLAN—-9 安全认证配置(2)基于无线的MAC地址认证

【汇总】实战华为无线

文档帖子汇总实战系列学习视频学习必备软件
    博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com

简介

之前已经介绍过无线的认证了,包括open以及WPA的方式,这次介绍一个在企业网络中比较特殊的方式,基于客户的MAC地址认证,它必须实现知道客户端的MAC地址,然后在本地或者基于radius外部数据库的方式。

掌握目标

一、AC的基本配置
二、测试是否正常拨入
三、基于本地MAC地址的方式
四、基于radius

拓扑说明(省略)

这里拓扑很简单,具体配置都在AC上面,所以参考之前的拓扑即可。

一、AC的基本配置

Dhcp enable

[Huawei-AC6605]int vlan 1
[Huawei-AC6605-Vlanif1]ip address 192.168.1.251 24
[Huawei-AC6605-Vlanif1]dhcp sel intaface
说明:配置一个IP地址,该接口地址用来与AP通信的。

[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wlan ac source interface Vlanif 1
[Huawei-AC6605-wlan-view]ap-auth-mode sn-auth
[Huawei-AC6605-wlan-view]ap id 1 type-id 19 sn 21023544831069236750
说明:定义了AC的源地址为VLAN 1,该地址是与AP进行建立CAPWAP隧道的,启用了AP认证功能,使用序列号,然后在AP定义了一个ID为1,然后AP类型为19,序列号为那个。其中type-id是可以查看的,SN则在AP上面查看。

wireless

可以通过display ap-type all 查看该AC支持的AP类型,其中AP6010DN ID为19,所以定义ID为19,至于序列号怎么查看,在AP上面通过displa system-information 查看。

wireless

结果验证

wireless

目前来看,AP还没有获取到地址,这个是定期发送DHCP报文获取的。

wireless

通过查看已经获取到了IP地址了,然后即可与AC建立CAPWAP隧道,这个过程需要一定的时间,后面可以看到CAPWAP隧道已经建立了

wireless

查看隧道状态为RUN。

wireless

可以看到AC上面也有对应的AP信息了。至此AP上线完成。

2、AC 配置第二部【定义AP域 、业务功能】

[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap-region id 1
[Huawei-AC6605-wlan-ap-region-1]ap id 1
说明:默认存在一个与为 0,建议的是不同业务或者部门可以加入不同的域,这样的话后续调整射频参数、调优等参数则只影响该域的参数。

WMM模板定义
WMM模板是提供了QOS等服务等级,将数据报文按照优先级从高到低分为4个接入类AC(Access Category):AC_VO(语音)、AC_VI(视频)、AC_BE(尽力而为)、AC_BK(背景),高优先级的AC占用信道的机会大于低优先级的AC。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wmm-profile name Ap1
说明:WMM默认情况下有默认策略的,没有特别需求的话,可以直接使用默认的。

射频模板定义
射频模板参数内容包括:射频类型、射频速率、射频信道模式、射频功率模式、丢包/错包率门限、冲突率门限、分段门限、RTS/CTS门限、短/长帧最大重传次数门限、是否支持短前导码、DTIM周期、beacon帧周期、WMM参数等。
[Huawei-AC6605-wlan-view]radio-profile name 2.4G
[Huawei-AC6605-wlan-radio-prof-2.4G]wmm-profile name ap1

[Huawei-AC6605-wlan-view]radio-profile name 5G
[Huawei-AC6605-wlan-radio-prof-5G]wmm-profile name ap1
[Huawei-AC6605-wlan-radio-prof-5G]radio-type 80211an
说明:这里模板默认情况下只需要调用WMM模板,其余的都有默认策略,比如默认情况下,信道模式为Auto,也就是AC会自动根据AP周围的信道自动合理规划信道,射频类型等。这里定义2个是一个作为2.4G使用,另外一个使用5G

安全模板定义
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]security-profile name open

[Huawei-AC6605-wlan-view]security-profile name pre-authen
[Huawei-AC6605-wlan-sec-prof-pre-authen]security-policy wpa2
[Huawei-AC6605-wlan-sec-prof-pre-authen]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
说明:安全模板定了2个,一个为Open,即默认策略,也就是后续定义的Guest,不进行认证,而后面定义了一个pre-auten则为WPA2进行密码认证,这个是给内部用的。

流量模板
流量模板可以实现为某个无线网络定制特定的优先级映射和流量监管功能。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]traffic-profile name AP-1
说明:默认情况下流量模板下,有默认策略,比如802.1P映射,用户的限速、VAP限速等功能,这里先使用默认的,后续需求的话在进行调整。

定义WLAN-ESS接口
WLAN-ESS接口类似于一个模板,它的作用主要给一个AP可以虚拟多个VAP出来,VAP提供给不同的服务接入,而一个VAP对应一个WLAN-BDSS接口,而WLAN-ESS则是WLAN-BDSS属性模板,也就是AC动态创建一个VAP,则自动创建一个WLAN-BDSS,而属性则继承WLAN-ESS定义的。
[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1]port hybrid untagged vlan 19
说明:创建了一个WLAN-ESS接口,并且允许了VLAN 19的流量不打标签进入该接口,默认情况下VLAN 1已经通过了,所以这里的流量即为VLAN 19与1。当然该接口还可以部署其他策略,比如dot1x、MAC认证等功能,注意的是,V200R3的版本是不需要启用DHCP功能的,默认就开启了。

定义WLAN服务集
服务集的功能就是来汇集之前定义的业务参数功能,比如定义SSID,转发模式,关联射频模板,认证策略等,然后调用在AP下,进行下发。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]service-set name open
[Huawei-AC6605-wlan-service-set-open]ssid Guest
[Huawei-AC6605-wlan-service-set-open]forward-mode direct-forward
[Huawei-AC6605-wlan-service-set-open]wlan-ess 1
[Huawei-AC6605-wlan-service-set-open]service-vlan 19
[Huawei-AC6605-wlan-service-set-open]security-profile name open
[Huawei-AC6605-wlan-service-set-open]traffic-profile name AP-1

[Huawei-AC6605-wlan-view]service-set name intrenet
[Huawei-AC6605-wlan-service-set-intrenet]ssid intrent
[Huawei-AC6605-wlan-service-set-intrenet]service-vlan 19
[Huawei-AC6605-wlan-service-set-intrenet]wlan-ess 1
[Huawei-AC6605-wlan-service-set-intrenet]security-profile name pre-authen
[Huawei-AC6605-wlan-service-set-intrenet]forward-mode direct-forward
[Huawei-AC6605-wlan-service-set-intrenet]traffic-profile name AP-1
说明:这里创建了2个服务集,一个用于Guest用的,一个用于intrenet,除了SSID与安全策略不一样外,其余的都一致。

射频配置
每个AP都有一个或多个射频模块,这个射频模块负责无线信号的收发、功率的调整以及信道的配置等功能。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap 1 radio 0
[Huawei-AC6605-wlan-radio-1/0]radio-profile name 2.4G
[Huawei-AC6605-wlan-radio-1/0]service-set name open

[Huawei-AC6605-wlan-view]ap 1 radio 1
[Huawei-AC6605-wlan-radio-1/1]radio-profile name 5G
[Huawei-AC6605-wlan-radio-1/1]service-set name intrenet
说明:这里定义了2个射频,一个给2.4G用,另外一个给intrenet,2.4G主要提供给Guest使用,而5G在内企业网内部使用,这里说明的是,radio 0为2.4G频率,而1为5G频率。

AC配置第三步【下放业务配置给AP】

[Huawei-AC6605-wlan-view]commit ap 1

环境测试验证

wireless
wireless
wireless

可以看到2个客户端都已经连接上去了,默认情况下访客是不需要用户名密码认证,而内部用户则需要。

wireless
wireless

可以看到已经正常获取到IP地址了。

无线MAC认证功能

说明:在有时候我们希望这用对客户的PC做确认,用MAC地址进行认证登陆,而认证方式则Open的,那么我们需要开启MAC认证功能,该功能对客户来说是透明的,也就是说客户只要MAC地址符合了要求,则看起来没有经过认证的样子,直接关联登陆了,而不在对应的列表内的话,则直接关联不上。
(1)直接调用之前的Open的策略
说明:之前有策略存在,所以这里直接调用即可,先把服务集在ap 1中去掉。
(2)开启MAC地址功能
[Huawei-AC6605]mac-authen
(3)WLAN-ESS接口开启mac-auth功能
[Huawei-AC6605]interface Wlan-Ess 0
[Huawei-AC6605-Wlan-Ess0]mac-authentication enable
[Huawei-AC6605-Wlan-Ess0]force-domain default
[Huawei-AC6605-Wlan-Ess0]permit-domain default
说明:这里在WLAN-ESS接口开启MAC认证,并且必须指定从哪个域来的,然后允许。

(4)本地定义用户名密码。
[Huawei-AC6605]aaa
[Huawei-AC6605-aaa]local-user 548998283f0e password cipher 548998283f0e
说明:注意转换为小写。

(5)调用在服务集下【调用WLAN-ESS】
说明:直接调用在WLAN-ES下就行了
(6)下放业务
[Huawei-AC6605-wlan-view]commit all
(7)结果测试

wireless

已经成功了。有正常认证的。

四、Radius配置定义

Radius服务器定义,与AAA,Domain
[Huawei-AC6605]radius-server template mac-authen
[Huawei-AC6605-radius-dot1x]radius-server authentication 192.168.2.253 1812
[Huawei-AC6605-radius-dot1x]radius-server shared-key test
[Huawei-AC6605-radius-dot1x]undo radius-server user-name domain-included

[Huawei-AC6605]aaa
[Huawei-AC6605-aaa]authentication-scheme mac-authen
[Huawei-AC6605-aaa-authen-dot1x]authentication-mode radius

[Huawei-AC6605-aaa]domain ccieh3c.taobao.com
[Huawei-AC6605-aaa-domain-ccieh3c.taobao.com]authentication-scheme mac-authen
[Huawei-AC6605-aaa-domain-ccieh3c.taobao.com]radius-server mac-authen

[Huawei-AC6605]interface Wlan-Ess 0
[Huawei-AC6605-Wlan-Ess0]mac-authentication enable
[Huawei-AC6605-Wlan-Ess0]force-domain mac-authen
[Huawei-AC6605-Wlan-Ess0]permit-domain mac-authen
说明:这个需要把服务集去掉,然后去掉关来呢,然后才能设置WLAN-ESS接口,最后在关联。

服务器配置

wireless
wireless
wireless
wireless
wireless
wireless

测试

由于模拟器不支持该方式,只支持本地的,所以这里没办法进行测试,配置方法是没错的。可以在模拟器上面进行测试就可以了,类似于这样。

wireless

AC上面也可以进行test测试的。

源文件:http://pan.baidu.com/s/1gfuhVc3

关于博客资源下载说明

首先,感谢大家对网络之路博客的支持,本站所有资源都是开放下载,不做任何限制,资源都是上传在百度盘,分为两种类型:
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
想第一时间收到最新更新内容吗,点击获取~~~

点击查看详情

(广告)博主自主原创最新实战课程

点击查看详情


(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题

远程技术调试与技术支持,点击查看详情


原创与收集的内容,允许转载,转载时请务必以超链接形式标明文章原始出处,博客地址http://ccieh3c.com。

喜欢 (1)
[]
分享 (0)
公众号:网络之路博客(其他平台网络之路Blog)
分享一些自己懂的技术知识点,希望对大家有帮助。
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址