|
在企業(yè)中���,不同部門之間采用VLAN進行隔離�����,但是隨著人員流動��,部門人員不集中��,網(wǎng)絡(luò)管理難度加大����,導(dǎo)致網(wǎng)絡(luò)權(quán)限劃分復(fù)雜。故引入動態(tài)vlan與AD域用戶��,員工登錄無論在哪里登錄�����,都在部門vlan中���,獲取的IP不變�����,下面介紹具體實現(xiàn)步驟 實驗拓?fù)淙缦?/strong> 
一��、環(huán)境準(zhǔn)備以下配置較為簡單��,故此處不展開 包括:DHCP服務(wù)器配置、主干鏈路vlan接口類型配置
設(shè)備如下: 域控可與Radius為同一臺windows server
二���、AD域控用戶管理1.AD域安裝(已有此環(huán)境請忽略) 
一直下一步 
2.配置AD域控
3.AD用戶創(chuàng)建
創(chuàng)建OU
創(chuàng)建組
創(chuàng)建用戶
添加到對應(yīng)組
二�����、Radius安裝前提:該服務(wù)器加入AD域
1.安裝AD證書
一直下一步
等待安裝完成 裝完成
2.配置AD證書
3.申請CA證書
4.安裝NPS
5.配置NPS
6.注冊AD服務(wù)器
三、配置802.1x有線認(rèn)證1.配置802.1x策略
2.配置客戶端IP與秘鑰
3.配置證書
4.配置生效組
5.配置EAP認(rèn)證類型
6.添加該組對應(yīng)的vlan
配置完成 四��、客戶端H3C交換機配置1.開啟全局802.1x[QY_A_4F_IT_S5024_W1]dot1x
[QY_A_4F_IT_S5024_W1]dot1x authentication-method eap
2.配置Radius方案[QY_A_4F_IT_S5024_W1]radius scheme dgqy# 配置主認(rèn)證/計費服務(wù)器IP[QY_A_4F_IT_S5024_W1-radius-dgqy]primary authentication 192.168.0.193[QY_A_4F_IT_S5024_W1-radius-dgqy]primary accounting 192.168.0.193#(可選)配置備認(rèn)證/計費服務(wù)器IP[QY_A_4F_IT_S5024_W1-radius-dgqy]secondary authentication 192.168.0.194[QY_A_4F_IT_S5024_W1-radius-dgqy]secondary accounting 192.168.0.194# 配置認(rèn)證/計費秘鑰[QY_A_4F_IT_S5024_W1-radius-dgqy] key authentication simple XXXX[QY_A_4F_IT_S5024_W1-radius-dgqy] key accounting simple XXXX# 配置給Raiuds服務(wù)器發(fā)送不帶域名[QY_A_4F_IT_S5024_W1-radius-dgqy]user-name-format without-domain[QY_A_4F_IT_S5024_W1-radius-dgqy]quit 3.配置ISP域[QY_A_4F_IT_S5024_W1]domain dgqy
[QY_A_4F_IT_S5024_W1-isp-dgqy]authentication lan-access radius-scheme dgqy
[QY_A_4F_IT_S5024_W1-isp-dgqy]authorization lan-access radius-scheme dgqy
#由于沒有采用計費����,故設(shè)置為none
[QY_A_4F_IT_S5024_W1-isp-dgqy]accounting lan-access none
[QY_A_4F_IT_S5024_W1-isp-dgqy]quit
4.端口802.1x配置#開啟端口dot1x[QY_A_4F_IT_S5024_W1]int GigabitEthernet 1/0/13[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]dot1x#指定接入控制方式(默認(rèn)采用MAC地址)[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]dot1x port-method macbased#指定認(rèn)證域[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]dot1x mandatory-domain dgqy[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]quit 以上就完成了端口的802.1x認(rèn)證配置����,但是由于采用了windows自帶的802.1x認(rèn)證��,無法回應(yīng)H3C的心跳報文��,故要將心跳握手�、組播告警關(guān)閉,如果采用H3C自帶iNode客戶端�����,可以忽略
[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]undo dot1x handshake
[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]undo dot1x multicast-trigger
[QY_A_4F_IT_S5024_W1-GigabitEthernet1/0/13]dot1x unicast-trigger
端口默認(rèn)配置 interface GigabitEthernet1/0/13
port access vlan 11
stp edged-port #按照實際需求進行配置�,建議采用hybrid接口 5.客戶端驗證1.開啟802.1x認(rèn)證 啟動服務(wù)��,找到Wired AutoConfig
2.查看交換機動態(tài)vlan是否生效 [QY_A_4F_IT_S5024_W1]display interface brief
可以看得vlan自動更改為NPS中設(shè)置的vlan 五�、配置802.1x無線認(rèn)證連接AP的交換機配置如下
interface GigabitEthernet1/0/22
description WLAN-AP-TEST
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 114# 默認(rèn)AP獲取到114網(wǎng)段的管理IP����,通過放行對應(yīng)vlan即可 1.AC自動發(fā)現(xiàn)AP,需要在DHCP上配置option43
2.AC配置
3.新增Raidus服務(wù)器
4.測試有效性
新增SSID
5.設(shè)置認(rèn)證類型
6.認(rèn)證服務(wù)器配置
7.VLAN設(shè)置
8.點擊提交���,使用無線連接,查看獲取網(wǎng)段
無線獲取完成 六、故障排查思路如果無法正常獲取網(wǎng)段��,排查思路 1.NPS服務(wù)器認(rèn)證日志
可以看得報錯原因�,常見的原因有 賬號密碼錯誤、EAP協(xié)議不支持��、NPS端口類型配置錯誤���、AD證書錯誤等 2.交換機故障排查 查看dot1x認(rèn)證狀態(tài) # 查看接口的配置情況[QY_A_4F_IT_S5024_W1]display dot1x interface GigabitEthernet 1/0/13# 查看dot1x連接情況[QY_A_4F_IT_S5024_W1]display dot1x connection
交換機debugging調(diào)試 <QY_A_4F_IT_S5024_W1>debugging radius all<QY_A_4F_IT_S5024_W1>debugging dot1x all<QY_A_4F_IT_S5024_W1>t m<QY_A_4F_IT_S5024_W1>t d 查看debugging日志,能查看報文具體到哪一個地方 EAP中繼認(rèn)證過程(該圖轉(zhuǎn)載至H3C配置手冊)
查看報文 發(fā)送request packet
收到reply packet
通過對比報文就可以查到在哪個環(huán)節(jié)出了問題
綜上 以上對windwos server 完成802.1x認(rèn)證+動態(tài)vlan大致思路進行了整理,不僅用到了AD域控����、DHCP、Radius服務(wù)器����,還需要對H3C等品牌交換機的配置進行掌握,同時采用了無線信銳AC+AP的形式完成網(wǎng)絡(luò)認(rèn)證場景全覆蓋�����,后續(xù)將介紹在此場景中���,訪客網(wǎng)絡(luò)的接入與認(rèn)證失敗網(wǎng)絡(luò)接入場景����。
|
