特性介绍
基于User Profile机制和无线自身的AP Group机制,实现对无线用户(Client)在无线接入网中的接入位置的控制,确保Client只能通过特定的授权AP访问网络资源。
在集中控制的WLAN架构的组网环境中,这一访问权限的控制在AC上实现,而且控制策略的应用与接入网中采用的Client身份认证方式无关。此控制策略在Client漫游过程中也同样生效。
特性优点
通过本设置,可以控制用户的接入位置,即接入的AP。控制策略在STA漫游过程中也需要生效。对漫游的支持包含两方面的含义,其一为当已经接入的STA在同一AC控制的不同AP之间漫游时,AC应用同一策略对接入权限进行判断。另一方面,Mobility Group内各AC将会同步控制策略信息。当已经接入的STA在AC之间漫游时,不同的AC也能根据同步信息,控制该STA的接入权限。
一、组网需求
Radius server的IP地址为8.1.1.4/8。三层交换机L3SW的两个接口地址分别是100.1.1.254/16和8.100.1.254/8,同时作为DHCP Server。
二、使用版本和详细命令
请下载文档查阅:http://pan.baidu.com/s/1mg9ban2
三、主要步骤解释
在dot1x接入端配置802.1x和认证
# 启用端口安全port-security,配置dot1x认证方式为eap
[AC]port-security enable [AC]dot1x authentication-method eap
# 配置认证策略
[AC]radius scheme cams [AC-radius-cams]server-type extended [AC-radius-cams]primary authentication 8.1.1.4 [AC-radius-cams]primary accounting 8.1.1.4 [AC-radius-cams]key authentication admin [AC-radius-cams]key accounting admin [AC-radius-cams]user-name-format without-domain [AC-radius-cams]quit
# 配置认证域
[AC]domain cams [AC-isp-cams]authentication default radius-scheme cams [AC-isp-cams]authorization default radius-scheme cams [AC-isp-cams]accounting default radius-scheme cams [AC-isp-cams]quit
# 把配置的认证域cams设置为系统缺省域
[AC]domain default enable cams
# 配置无线口,并在无线口启用端口安全(802.1x认证)
[AC]interface WLAN-ESS 5 [AC-WLAN-ESS5]port-security port-mode userlogin-secure-ext [AC-WLAN-ESS5]port-security tx-key-type 11key [AC-WLAN-ESS5]undo dot1x handshake [AC-WLAN-ESS5]undo dot1x multicast-trigger [AC-WLAN-ESS5]quit
# 配置无线服务模板
[AC]wlan service-template 5 crypto [AC-wlan-st-5]ssid apgroup [AC-wlan-st-5]bind WLAN-ESS 5 [AC-wlan-st-5]cipher-suite tkip [AC-wlan-st-5]security-ie wpa [AC-wlan-st-5]service-template enable
# 在AC下绑定无线服务模板
注意:AP的配置需要根据具体AP的型号和序列号进行配置
[AC]wlan ap ap22 model WA2220E-AG [AC-wlan-ap-ap22]serial-id 210235A29F007C000182 [AC-wlan-ap-ap22] [AC-wlan-ap-ap22]radio 2 [AC-wlan-ap-ap22-radio-2]service-template 5 [AC-wlan-ap-ap22-radio-2]radio enable [AC-wlan-ap-ap22-radio-2]quit [AC-wlan-ap-ap22]quit [AC]wlan ap ap31 model WA2220E-AG [AC-wlan-ap-ap31]serial-id 210235A29F009A000231 [AC-wlan-ap-ap31]radio 2 [AC-wlan-ap-ap31-radio-2]service-template 5 [AC-wlan-ap-ap31-radio-2]radio enable [AC-wlan-ap-ap31-radio-2]quit
# 配置AP组,在AP组内添加允许接入的AP列表
[AC]wlan ap-group 1 [wx3024-ap-group1]ap ap22 //请注意该在此位置需要跟平台或者产品进一步确认修改
# 配置基于dot1x用户的user-profile,添加允许接入的AP组,并使能user-profile
[AC]user-profile dot DOT1X [wx3024-user-profile-DOT1X-dot]wlan permit-ap-group 1 [wx3024-user-profile-DOT1X-dot]quit [wx3024]user-profile dot enable
# 配置vlan虚接口
[AC]interface Vlan-interface1 [AC-Vlan-interface1]ip address 100.1.1.1 255.255.0.0
# 配置静态路由
[AC-Vlan-interface1]ip route-static 8.1.0.0 255.255.0.0 100.1.1.254
四、CAMS配置
请参考步骤二下载的文档。
