由淺入深玩轉(zhuǎn)華為WLAN—-8 安全認(rèn)證配置（2）基于無線的MAC地址認(rèn)證

2020-03-31 17:47:46 224

轉(zhuǎn)載自微信公眾號(hào)：網(wǎng)絡(luò)之路博客

簡介

之前已經(jīng)介紹過無線的認(rèn)證了，包括open以及WPA的方式，這次介紹一個(gè)在企業(yè)網(wǎng)絡(luò)中比較特殊的方式，基于客戶的MAC地址認(rèn)證，它必須實(shí)現(xiàn)知道客戶端的MAC地址，然后在本地或者基于radius外部數(shù)據(jù)庫的方式。

掌握目標(biāo)

一、AC的基本配置
二、測試是否正常撥入
三、基于本地MAC地址的方式
四、基于radius的MAC

關(guān)于拓?fù)?/strong>

這里拓?fù)浜芎唵?，具體配置都在AC上面，所以參考之前的拓?fù)浼纯伞?/span>

1、AC的基本配置

（1）初始化與上線

Dhcp enable

[Huawei-AC6605]int vlan 1
[Huawei-AC6605-Vlanif1]ip address 192.168.1.251 24
[Huawei-AC6605-Vlanif1]dhcp sel intaface
說明：配置一個(gè)IP地址，該接口地址用來與AP通信的。

[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wlan ac source interface Vlanif 1
[Huawei-AC6605-wlan-view]ap-auth-mode sn-auth
[Huawei-AC6605-wlan-view]ap id 1 type-id 19 sn 21023544831069236750
說明：定義了AC的源地址為VLAN 1，該地址是與AP進(jìn)行建立CAPWAP隧道的，啟用了AP認(rèn)證功能，使用序列號(hào)，然后在AP定義了一個(gè)ID為1，然后AP類型為19，序列號(hào)為那個(gè)。其中type-id是可以查看的，SN則在AP上面查看。

可以通過display ap-type all 查看該AC支持的AP類型，其中AP6010DN ID為19，所以定義ID為19，至于序列號(hào)怎么查看，在AP上面通過displa system-information 查看。

結(jié)果驗(yàn)證

目前來看，AP還沒有獲取到地址，這個(gè)是定期發(fā)送DHCP報(bào)文獲取的。

通過查看已經(jīng)獲取到了IP地址了，然后即可與AC建立CAPWAP隧道，這個(gè)過程需要一定的時(shí)間，后面可以看到CAPWAP隧道已經(jīng)建立了

查看隧道狀態(tài)為RUN。

可以看到AC上面也有對應(yīng)的AP信息了。至此AP上線完成。

（2）定義域、業(yè)務(wù)功能

[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap-region id 1
[Huawei-AC6605-wlan-ap-region-1]ap id 1
說明：默認(rèn)存在一個(gè)與為 0，建議的是不同業(yè)務(wù)或者部門可以加入不同的域，這樣的話后續(xù)調(diào)整射頻參數(shù)、調(diào)優(yōu)等參數(shù)則只影響該域的參數(shù)。

WMM模板定義
WMM模板是提供了QOS等服務(wù)等級，將數(shù)據(jù)報(bào)文按照優(yōu)先級從高到低分為4個(gè)接入類AC（Access Category）：AC_VO(語音)、AC_VI(視頻)、AC_BE(盡力而為)、AC_BK(背景)，高優(yōu)先級的AC占用信道的機(jī)會(huì)大于低優(yōu)先級的AC。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wmm-profile name Ap1
說明：WMM默認(rèn)情況下有默認(rèn)策略的，沒有特別需求的話，可以直接使用默認(rèn)的。

射頻模板定義
射頻模板參數(shù)內(nèi)容包括：射頻類型、射頻速率、射頻信道模式、射頻功率模式、丟包/錯(cuò)包率門限、沖突率門限、分段門限、RTS/CTS門限、短/長幀最大重傳次數(shù)門限、是否支持短前導(dǎo)碼、DTIM周期、beacon幀周期、WMM參數(shù)等。
[Huawei-AC6605-wlan-view]radio-profile name 2.4G
[Huawei-AC6605-wlan-radio-prof-2.4G]wmm-profile name ap1

[Huawei-AC6605-wlan-view]radio-profile name 5G
[Huawei-AC6605-wlan-radio-prof-5G]wmm-profile name ap1
[Huawei-AC6605-wlan-radio-prof-5G]radio-type 80211an
說明：這里模板默認(rèn)情況下只需要調(diào)用WMM模板，其余的都有默認(rèn)策略，比如默認(rèn)情況下，信道模式為Auto，也就是AC會(huì)自動(dòng)根據(jù)AP周圍的信道自動(dòng)合理規(guī)劃信道，射頻類型等。這里定義2個(gè)是一個(gè)作為2.4G使用，另外一個(gè)使用5G

安全模板定義
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]security-profile name open

[Huawei-AC6605-wlan-view]security-profile name pre-authen
[Huawei-AC6605-wlan-sec-prof-pre-authen]security-policy wpa2
[Huawei-AC6605-wlan-sec-prof-pre-authen]wpa2 authentication-method psk pass-phrase simple ccieh3c.taobao.com encryption-method ccmp
說明：安全模板定了2個(gè)，一個(gè)為Open，即默認(rèn)策略，也就是后續(xù)定義的Guest，不進(jìn)行認(rèn)證，而后面定義了一個(gè)pre-auten則為WPA2進(jìn)行密碼認(rèn)證，這個(gè)是給內(nèi)部用的。

流量模板
流量模板可以實(shí)現(xiàn)為某個(gè)無線網(wǎng)絡(luò)定制特定的優(yōu)先級映射和流量監(jiān)管功能。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]traffic-profile name AP-1
說明：默認(rèn)情況下流量模板下，有默認(rèn)策略，比如802.1P映射，用戶的限速、VAP限速等功能，這里先使用默認(rèn)的，后續(xù)需求的話在進(jìn)行調(diào)整。

定義WLAN-ESS接口
WLAN-ESS接口類似于一個(gè)模板，它的作用主要給一個(gè)AP可以虛擬多個(gè)VAP出來，VAP提供給不同的服務(wù)接入，而一個(gè)VAP對應(yīng)一個(gè)WLAN-BDSS接口，而WLAN-ESS則是WLAN-BDSS屬性模板，也就是AC動(dòng)態(tài)創(chuàng)建一個(gè)VAP，則自動(dòng)創(chuàng)建一個(gè)WLAN-BDSS，而屬性則繼承WLAN-ESS定義的。
[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1]port hybrid untagged vlan 19
說明：創(chuàng)建了一個(gè)WLAN-ESS接口，并且允許了VLAN 19的流量不打標(biāo)簽進(jìn)入該接口，默認(rèn)情況下VLAN 1已經(jīng)通過了，所以這里的流量即為VLAN 19與1。當(dāng)然該接口還可以部署其他策略，比如dot1x、MAC認(rèn)證等功能，注意的是，V200R3的版本是不需要啟用DHCP功能的，默認(rèn)就開啟了。

定義WLAN服務(wù)集
服務(wù)集的功能就是來匯集之前定義的業(yè)務(wù)參數(shù)功能，比如定義SSID，轉(zhuǎn)發(fā)模式，關(guān)聯(lián)射頻模板，認(rèn)證策略等，然后調(diào)用在AP下，進(jìn)行下發(fā)。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]service-set name open
[Huawei-AC6605-wlan-service-set-open]ssid Guest
[Huawei-AC6605-wlan-service-set-open]forward-mode direct-forward
[Huawei-AC6605-wlan-service-set-open]wlan-ess 1
[Huawei-AC6605-wlan-service-set-open]service-vlan 19
[Huawei-AC6605-wlan-service-set-open]security-profile name open
[Huawei-AC6605-wlan-service-set-open]traffic-profile name AP-1

[Huawei-AC6605-wlan-view]service-set name intrenet
[Huawei-AC6605-wlan-service-set-intrenet]ssid intrent
[Huawei-AC6605-wlan-service-set-intrenet]service-vlan 19
[Huawei-AC6605-wlan-service-set-intrenet]wlan-ess 1
[Huawei-AC6605-wlan-service-set-intrenet]security-profile name pre-authen
[Huawei-AC6605-wlan-service-set-intrenet]forward-mode direct-forward
[Huawei-AC6605-wlan-service-set-intrenet]traffic-profile name AP-1
說明：這里創(chuàng)建了2個(gè)服務(wù)集，一個(gè)用于Guest用的，一個(gè)用于intrenet，除了SSID與安全策略不一樣外，其余的都一致。

射頻配置
每個(gè)AP都有一個(gè)或多個(gè)射頻模塊，這個(gè)射頻模塊負(fù)責(zé)無線信號(hào)的收發(fā)、功率的調(diào)整以及信道的配置等功能。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]ap 1 radio 0
[Huawei-AC6605-wlan-radio-1/0]radio-profile name 2.4G
[Huawei-AC6605-wlan-radio-1/0]service-set name open

[Huawei-AC6605-wlan-view]ap 1 radio 1
[Huawei-AC6605-wlan-radio-1/1]radio-profile name 5G
[Huawei-AC6605-wlan-radio-1/1]service-set name intrenet
說明：這里定義了2個(gè)射頻，一個(gè)給2.4G用，另外一個(gè)給intrenet，2.4G主要提供給Guest使用，而5G在內(nèi)企業(yè)網(wǎng)內(nèi)部使用，這里說明的是，radio 0為2.4G頻率，而1為5G頻率。

（3）下發(fā)業(yè)務(wù)配置給AP

[Huawei-AC6605-wlan-view]commit ap 1

二、環(huán)境測試驗(yàn)證

可以看到2個(gè)客戶端都已經(jīng)連接上去了，默認(rèn)情況下訪客是不需要用戶名密碼認(rèn)證，而內(nèi)部用戶則需要。

可以看到已經(jīng)正常獲取到IP地址了。

三、無線MAC認(rèn)證功能

說明：在有時(shí)候我們希望這用對客戶的PC做確認(rèn)，用MAC地址進(jìn)行認(rèn)證登陸，而認(rèn)證方式則Open的，那么我們需要開啟MAC認(rèn)證功能，該功能對客戶來說是透明的，也就是說客戶只要MAC地址符合了要求，則看起來沒有經(jīng)過認(rèn)證的樣子，直接關(guān)聯(lián)登陸了，而不在對應(yīng)的列表內(nèi)的話，則直接關(guān)聯(lián)不上。
（1）直接調(diào)用之前的Open的策略
說明：之前有策略存在，所以這里直接調(diào)用即可，先把服務(wù)集在ap 1中去掉。
（2）開啟MAC地址功能
[Huawei-AC6605]mac-authen
（3）WLAN-ESS接口開啟mac-auth功能
[Huawei-AC6605]interface Wlan-Ess 0
[Huawei-AC6605-Wlan-Ess0]mac-authentication enable
[Huawei-AC6605-Wlan-Ess0]force-domain default
[Huawei-AC6605-Wlan-Ess0]permit-domain default
說明：這里在WLAN-ESS接口開啟MAC認(rèn)證，并且必須指定從哪個(gè)域來的，然后允許。

（4）本地定義用戶名密碼。
[Huawei-AC6605]aaa
[Huawei-AC6605-aaa]local-user 548998283f0e password cipher 548998283f0e
說明：注意轉(zhuǎn)換為小寫。

（5）調(diào)用在服務(wù)集下【調(diào)用WLAN-ESS】
說明：直接調(diào)用在WLAN-ES下就行了
（6）下放業(yè)務(wù)
[Huawei-AC6605-wlan-view]commit all
（7）結(jié)果測試

已經(jīng)成功了。有正常認(rèn)證的。

四、基于radius的MAC

（1）Radius服務(wù)器定義，與AAA，Domain
[Huawei-AC6605]radius-server template mac-authen
[Huawei-AC6605-radius-dot1x]radius-server authentication 192.168.2.253 1812
[Huawei-AC6605-radius-dot1x]radius-server shared-key test
[Huawei-AC6605-radius-dot1x]undo radius-server user-name domain-included

[Huawei-AC6605]aaa
[Huawei-AC6605-aaa]authentication-scheme mac-authen
[Huawei-AC6605-aaa-authen-dot1x]authentication-mode radius

[Huawei-AC6605-aaa]domain ccieh3c.taobao.com
[Huawei-AC6605-aaa-domain-ccieh3c.taobao.com]authentication-scheme mac-authen
[Huawei-AC6605-aaa-domain-ccieh3c.taobao.com]radius-server mac-authen

[Huawei-AC6605]interface Wlan-Ess 0
[Huawei-AC6605-Wlan-Ess0]mac-authentication enable
[Huawei-AC6605-Wlan-Ess0]force-domain mac-authen
[Huawei-AC6605-Wlan-Ess0]permit-domain mac-authen
說明：這個(gè)需要把服務(wù)集去掉，然后去掉關(guān)來呢，然后才能設(shè)置WLAN-ESS接口，最后在關(guān)聯(lián)。

（2）服務(wù)器配置