03-H3C WX系列AC+Fit AP 802.1x无线认证和IAS配合典型配置举例

H3C？WX2220？AP？？WPA＋802.1X无线认证和IAS配合应用_clocker...H3C WX2220 AP WPA＋802.1X无线认证和IAS配合应用1. 组网需求通过配置AP实现RADIUS服务器对登录AP的用户进行认证和计费：l 一台RADIUS服务器（担当认证、计费服务器的职责）通过Swtich与AP相连，服务器IP地址为8.20.1.2/8。

l AP与认证、计费RADIUS服务器交互报文时的共享密钥均为h3c，发送给RADIUS服务器的用户名中不带域名。

l 在RADIUS服务器上设置与AP交互报文时的共享密钥为h3c。

l AP每隔3分钟就向RADIUS服务器发送一次实时计费报文。

l AP取消缓存没有得到响应的停止计费请求报文。

l 使能accounting-on功能，即要求AP重启后，发送accounting-on报文通知RADIUS server AP已经重启，要求RADIUS server强制该AP的用户下线。

2. 组网图WPA＋802.1X无线认证和IAS配合应用组网图3. 配置步骤(1) 配置AP# 启用端口安全，并配置802.1X的认证方式为EAP。

[AP] port-security enable[AP] dot1x authentication-method eap# 配置RADIUS方案。

[AP] radius scheme ias[AP-radius-ias] server-type extended[AP-radius-ias] primary authentication 8.20.1.2[AP-radius-ias] primary accounting 8.20.1.2[AP-radius-ias] key authentication h3c[AP-radius-ias] key accounting h3c[AP-radius-ias] user-name-format without-domain[AP-radius-ias] timer realtime-accounting 3[AP-radius-ias] undo stop-accounting-buffer enable[AP-radius-ias] accounting-on enable# 配置认证域的AAA方案。

目录1 802.1x配置1.1 802.1x简介1.1.1 802.1x的体系结构1.1.2 802.1x的基本概念1.1.3 EAPOL消息的封装1.1.4 EAP属性的封装1.1.5 802.1x的认证触发方式1.1.6 802.1x的认证过程1.1.7 802.1x的定时器1.1.8 802.1x在设备中的实现1.1.9 和802.1x配合使用的特性1.2 配置802.1x1.2.1 配置准备1.2.2 配置全局802.1x1.2.3 配置端口的802.1x1.3 配置802.1x的Guest VLAN1.3.1 配置准备1.3.2 配置Guest VLAN1.4 802.1x显示和维护1.5 802.1x典型配置举例1.6 Guest VLAN、VLAN下发典型配置举例1 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。

后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制协议（port based network access control protocol）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

1.1.1 802.1x的体系结构802.1x系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。

图1-1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

H3CWX无线控制器配置宁盾WIFI认证指南H3CWX无线控制器是一种集中式的无线局域网解决方案，它可以管理和控制大量的无线接入点，提供高效稳定的无线网络服务。

宁盾WIFI认证是一种基于用户行为的认证系统，可以提供更安全、更便捷的无线网络用户认证方式。

本文将详细介绍在H3CWX无线控制器上配置宁盾WIFI认证的指南。

第一步：连接和初始化控制器首先，您需要将H3CWX无线控制器连接到您的网络中。

在完成连接后，您需要执行初始化操作，包括设置管理IP地址、管理员用户名和密码等。

第二步：配置无线接入点（AP）在配置宁盾WIFI认证之前，您需要先配置无线接入点（AP）。

在H3CWX无线控制器上，您可以通过以下步骤配置AP：1. 登录控制器的Web管理界面，并选择“设备管理”->“设备清单”。

2.选择待配置的AP，并点击“AP详细信息”。

3.在AP详细信息界面的左侧菜单栏中选择“无线配置”->“无线接口”。

4.在无线接口界面中，配置AP的无线参数，包括SSID、频段、加密方式等。

确保您将宁盾WIFI认证系统所使用的SSID与配置的AP的SSID保持一致。

第三步：配置宁盾WIFI认证在配置了无线接入点后，您需要在H3CWX无线控制器上配置宁盾WIFI认证。

具体步骤如下：1. 登录控制器的Web管理界面，并选择“认证管理”->“认证服务配置”。

2.在认证服务配置界面中，选择“添加”创建一个新的认证服务配置。

3.在添加认证服务配置界面中，按照宁盾WIFI认证系统的要求，配置认证服务器的IP地址、端口号等信息。

4.配置认证策略。

您可以根据需求添加不同的认证策略，如访客认证、员工认证等。

根据宁盾WIFI认证系统的要求，配置认证策略的参数，如认证方式、认证服务器等。

5.配置认证方案。

在认证服务器配置界面的左侧菜单栏中选择“认证方案”，然后选择“添加认证方案”。

根据宁盾WIFI认证系统的要求，配置认证方案的参数，如认证方式、认证服务器等。

H3C-802.1x典型配置举例802.1x典型配置举例关键词：802.1x，AAA摘要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到的802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤。

缩略语：AAA（Authentication，Authorization and Accounting，认证、授权和计费）第1章 802.1x功能介绍说明：本章中的802.1x功能适用于H3C S3600、H3C S5600、H3C S3100、H3C S5100、H3C S3100-52P、E352&E328、E126和E152这一系列以太网交换机。

1.1 802.1x简介IEEE 802协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问网络上的设备或资源。

但是对于如电信接入、写字楼、局域网以及移动办公等应用场合，网络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接入控制需求。

802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。

802.1x作为一种基于端口的用户访问控制机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。

1.2 产品特性支持情况1.2.1 全局配置●开启全局的802.1x特性●设置时间参数●设置认证请求帧的最大可重复发送次数●打开静默定时器功能●打开设备重启用户再认证功能1.2.2 端口视图下的配置●开启端口dot1x●配置Guest VLAN功能●配置端口允许的最大用户数●端口接入控制方式(基于端口或基于MAC)●端口接入控制模式（强制授权、非强制授权、自动）●客户端版本检测●代理检测1.2.3 注意事项●只有全局开启dot1x特性后，dot1x的配置才会生效。

H3C WX系列智能带宽保障和基于AP的用户限速策略典型配置举例关键词：智能带宽保障，用户限速摘要：本文介绍了如何配置基于SSID对用户进行带宽保障以及基于AP对用户进行限速。

缩略语：缩略语英文全名中文解释Control 无线控制器AC AccessPonit 无线接入点AP AccessESS Extended Service Set 扩展服务集WLAN Wireless Local Area Network 无线局域网SSID Service Set Identifier 服务集识别码RADIUS Remote Authentication Dial-In User Service 远程认证拨号用户服务目录1 特性简介 (1)1.1 特性介绍 (1)1.2 特性优点 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (2)4.1 组网需求 (2)4.2 配置思路 (2)4.3 使用版本 (3)4.4 配置步骤 (3)4.4.1 智能带宽保障 (3)4.4.2 基于AP的用户限速 (9)5 相关资料 (10)5.1 相关协议和标准 (10)5.2 其它相关资料 (10)1 特性简介1.1 特性介绍(1) 智能带宽保障在实际应用中，网络中的流量不会一直处于某个稳定的状态。

同一信道中，当某一个SSID的流量非常大时，会挤占其他SSID的可用带宽。

如果采取简单地对某个SSID的报文进行限速，在总体流量较小时，又会导致闲置带宽被浪费。

在这种情况下，可以开启智能带宽保障功能，即，在流量未拥塞时，确保所有SSID的报文都可以自由通过；在流量拥塞时，确保每个SSID可以保证各自配置的保障带宽。

通过这种方式，既确保了网络带宽的充分利用，又兼顾了不同无线服务之间带宽占用的公平原则。

(2) 基于AP的用户限速目前我司已支持基于SSID的用户限速功能，而运营商的组网中，SSID都是统一的。

因此产生了基于AP进行限速的需求，其他规格及用户接口形式应与基于SSID的限速功能保持一致。

H3C WX系列无线控制器与Windows IAS配合实现用户ACL属性的下发典型配置案例关键词：DOT1X，ACL摘要：本文介绍了H3C公司WX系列无线控制产品与Windows IAS配合实现用户ACL属性下发时必需的配置。

缩略语：缩略语英文全名中文解释IAS Internet Authentication Server 因特网认证服务器ACL Access control list 访问控制列表C3H目 录1 特性简介 (1)1.1 特性介绍 (1)1.2 特性优点 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (2)4.3 使用版本 (2)4.4 配置步骤 (2)4.5 注意事项 (9)5 相关资料 (10)5.1 相关协议和标准 (10)5.2 其它相关资料 (10)H3C1 特性简介1.1 特性介绍下发ACL 是接入设备与Radius 服务器配合来对用户访问网络的权限进行控制。

用户认证通过后根据Radius 服务器报文中的ACL 内容，对用户可以访问哪些网络资源，不可以访问哪些网络资源进行控制。

1.2 特性优点网络管理员可以通过下发ACL 对用户访问网络的权限进行控制，具有很强的灵活性和适应性。

2 应用场合下发ACL 可以作为EAD 安全解决方案一个补充，从而实现对企业无线网络入口安全保护。

3 注意事项(1) Windows IAS 配置正确 (2) 接入设备相关的DOT1X 、AAA 配置正确4 配置举例4.1 组网需求本配置举例中的AP 使用的是WA2200系列无线局域网接入点设备，AC 使用的是WX6103系列无线控制器。

Radius server 的IP 地址为8.1.45.67/24。

Client 和AP 通过DHCP 服务器获取IP 地址。

Client 通过认证后允许访问网络8.1.0.0/16即VLAN210，其他网络资源不允许访问。

最近实施了一个楼宇室内无线覆盖项目，在无线用户认证上客户希望采用他们已经配置好的AD帐号，最终决定采用AD+IAS的802.1x认证方案，现在把配置过程记录下来。

整个楼宇一共使用了50多个瘦AP，基本实现了全面覆盖，这些AP由无线控制器统一管理。

其他方面的配置这里不多说，主要介绍认证方面的配置。

一、认证架构1、当无线客户端在AP的覆盖区域内，就会发现以SSID标识出来的无线信号，从中可以看到SSID名称和加密类型，以便用户判断选择。

2、无线AP配置成只允许经过802.1X认证过的用户登录，当用户尝试连接时，AP会自动设置一条限制通道，只让用户和RADIUS服务器通信，RADIUS服务器只接受信任的RADIUS客户端（这里可以理解为AP或者无线控制器），用户端会尝试使用802.1X，通过那条限制通道和RADIUS服务器进行认证。

3、RADIUS收到认证请求之后，首先会在AD中检查用户密码信息，如果通过密码确认，RADIUS会收集一些信息，来确认该用户是否有权限接入到无线网络中，包括用户组信息和访问策略的定义等来决定拒绝还是允许，RADIUS把这个决定传给radius客户端（在这里可以理解为AP或者无线控制器），如果是拒绝，那客户端将无法接入到无线网，如果允许，RADIUS还会把无线客户端的KEY传给RADIUS客户端，客户端和AP会使用这个KEY 加密并解密他们之间的无线流量。

4、经过认证之后，AP会放开对该客户端的限制，让客户端能够自由访问网络上的资源，包括DHCP，获取权限之后客户端会向网络上广播他的DHCP请求，DHCP服务器会分配给他一个IP地址，该客户端即可正常通信。

二、安装活动目录、建立帐号这一步就不多说了。

三、安装IAS1、添加删除程序—》添加删除windows组件2、选择“网络服务”，点击“详细信息”3、选择“Internet验证服务”，点击“确定”4、点击“下一步”，windows会自动安装IAS。

案H3C WX系列AC下两个FIT AP桥接配置指导关键词:作者：杰2012年6月1日发布•2推荐，601浏览•10收藏，我的收藏功能需求H3C WX系列AC下两个FIT AP桥接配置一、组网需求无线控制器（AC）、无线接入点（FIT AP）、无线笔记本二、组网图本次配置举例中使用AC为WX3010，FIT AP为WA2210-AG/WA2220-AG，AC作为DHCP 服务器，AP在AC上自动获取IP地址（192.168.1.0），并在AC上注册成功；笔记终端通过5GHz接入无线服务，在AC上获取IP地址（192.168.2.0），并通过AC转发外网数据。

三、特性介绍无线网桥是无线射频技术和传统的有线网桥技术相结合的产物，无线网桥可以无缝地将相隔较远距离的局域网络连接在一起，创建统一的企业或小型城域网络系统，在最简单的网络构架中，网桥的以太网端口连接到局域网中的某个接入层的交换机上，信号发射端口则通过电缆和天线相连接；通过这样的方式实现现有网络系统的扩展。

其优势和特点就是省去了有线的架设难度，可以简单的将有线网络或者无线网络孤岛连接到一个现有的网络中，或者将几个有线或者无线网络的孤岛一个局域网络。

并且在两点之间提供数据传输，具备基本功能：链路的建立：通过在对等体之间交换消息来建立连接链路的安全：提供PSK＋CCMP的无线安全连接AC + FIT AP建立桥接组网中，近端AP 2通过有线与AC 通信，远端AP 1是通过默认的桥接与AP 2建立桥接连接（该桥接可以维持2分钟，2分钟之后将断开连接），AP 1通过默认的桥接链路到AC注册，并下载新的桥接配置，然后使用新的桥接配置建立桥接关系。

AP 1上通过无线接入的终端数据报文，使用桥接链路将数据报文上传到AC，由AC统一转发；如果数据报文从AP的以太网口传送过来，那数据报文通过桥接链路传送到AP 2之后，AP 2二层转发数据。

四、主要配置步骤1.开启端口安全[AC]port-security enable2.使能MKD服务绑定，为Mesh Profile使能MKD服务[AC]mkd-service enable mesh-profile13.配置桥接接口[AC]int wlan-mesh 1[AC-WLAN-MESH1] port link-type trunk[AC-WLAN-MESH1] port trunk permit vlan all[AC-WLAN-MESH1]port-security port-mode psk[AC-WLAN-MESH1] port-security tx-key-type 11key[AC-WLAN-MESH1]port-security preshared-keypass-phrase mesh12344.配置桥接mesh-profile[AC]wlan mesh-profile1[AC-wlan-mshp-1]mesh-id mesh1[AC-wlan-mshp-1]bind WLAN-MESH 1[AC-wlan-mshp-1]mesh-profile enable5.配置无线服务[AC]wlan ser 1 clear[AC-wlan-st-1]wlan service-template 1 clear[AC-wlan-st-1]ssid H3C-WLAN[AC-wlan-st-1]bind WLAN-ESS 0[AC-wlan-st-1]service-template enable6.配置AP模板[AC]wlan ap 1 model WA2220-AG id 1[AC-wlan-ap-1]serial-id 000F-E2F2-0340[AC-wlan-ap-1]radio 1[AC-wlan-ap-1-radio-1]service-template 1[AC-wlan-ap-1-radio-1] radio enable[AC-wlan-ap-1-radio-1]quit[AC-wlan-ap-1]radio 2[AC-wlan-ap-1-radio-2]channel 11[AC-wlan-ap-1-radio-2]mesh-profile 1[AC-wlan-ap-1-radio-2]mesh peer-mac-address0023-892f-42a0[AC-wlan-ap-1-radio-2]radio enable[AC]wlan ap 2 model WA2210-AG id 2[AC-wlan-ap-2] serial-id 0023-892F-42A0[AC-wlan-ap-2] portal-service enable[AC-wlan-ap-2]radio 1[AC-wlan-ap-2-radio-1]channel 11[AC-wlan-ap-2-radio-1]mesh-profile 1[AC-wlan-ap-2-radio-1]mesh peer-mac-address0023-892f-42a0[AC-wlan-ap-2-radio-1]radio enableAP 1为远端AP，AP 2 为近端AP。

802.1X与LDAP组合认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 配置注意事项 (2)3.4 配置步骤 (2)3.5 验证配置 (5)3.6 配置文件 (6)4 相关资料 (8)1 简介本文档介绍在无线控制器上配置本地802.1X认证，通过LDAP协议将AC设备解析出的用户名和密码传到LDAP服务器上对无线用户进行认证的典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA和802.1X特性。

3 配置举例3.1 组网需求如图1所示，Client和AP通过DHCP服务器获得IP地址，要求：•在AC上配置EAP中继方式的802.1X认证，以控制Client对网络资源的访问。

•通过LDAP服务器对Client进行身份信息的存储和验证。

•配置WLAN-ESS接口使能密钥协商功能。

•对AC和Client之间的数据传输进行加密，加密套件采用AES-CCMP。

•EAP认证方式采用TLS和PEAP-GTC，优先使用TLS。

图1802.1X与LDAP组合认证组网图LDAP server8.1.1.22/8 ClientDHCP server3.2 配置思路•由于网络中部署了LDAP服务器对Client进行身份认证，因此需要在AC上配置本地EAP服务器来协助完成EAP认证。

H3C WX系列无线控制器与Windows IAS配合实现用户ACL属性的下发典型配置案例关键词：DOT1X，ACL摘要：本文介绍了H3C公司WX系列无线控制产品与Windows IAS配合实现用户ACL属性下发时必需的配置。

缩略语：缩略语英文全名中文解释AC AccessControl 无线控制器AP AccessPoint 无线接入点ESS Extended Service Set 扩展服务集WLAN Wireless Local Area Network 无线局域网SSID Service Set Identifier 服务集识别码IAS InternetAuthentication Server 因特网认证服务器ACL Access control list 访问控制列表CHAP Challenge Handshake AuthenticationProtocal质询握手验证协议AAA Authentication, Authorization andAccounting认证、授权和计费RADIUS Remote Authentication Dial-In UserService远程认证拨号用户服务目录1 特性简介 (1)1.1 特性介绍 (1)1.2 特性优点 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (2)4.3 使用版本 (2)4.4 配置步骤 (2)4.5 注意事项 (11)5 相关资料 (11)5.1 相关协议和标准 (11)5.2 其它相关资料 (11)1 特性简介1.1 特性介绍下发ACL是接入设备与Radius服务器配合来对用户访问网络的权限进行控制。

用户认证通过后根据Radius服务器报文中的ACL内容，对用户可以访问哪些网络资源，不可以访问哪些网络资源进行控制。

1.2 特性优点网络管理员可以通过下发ACL对用户访问网络的权限进行控制，具有很强的灵活性和适应性。