目录
Ⅰ 客户需求描述
XX大学极简环境中N18K VSU+双WS卡+双MSC方案需求
注:本案例所有的配置相关配置不完整,主要涉及到的配置为N18K和MSC卡,以及N18K和WS卡之间的联动理解以及配置。所以阅读本案例前需要先理解《 接入隔离方案+无线隔离方案配置举例》。
2、客户需求
1、 使用两台N18K组成VSU,作为用户的网关
2、 使用Supervlan方案,将多个vlan的ip区域通过sub vlan和super vlan的关系映射为同一网段,解决Ip地址浪费及广播域过大问题
3、 学校分宿舍区、教学区、办公区等,每个区分为有线和无线网络,IP地址简单规划如下:
注:学校还有许多其他区、一些特殊设备的IP地址规划,相关的subvlan请根据实际情况来配置, 此处不一一列出。
4、 使用两张WS-ED卡作为AC进行AA模式热备实现集中转发。
5、 使用SAM+作为认证服务器实现web认证以及1X,进行包月周期计费以及根据流量计费等套餐的设定
6、 将宿舍AB区、教师宿舍区,流量引入MSC1卡;宿舍CD区、教学区、办公区,流量引入MSC2卡(其余一些地区以及设备可自行规划)
7、 所有有线无线WEB认证以及有线1X认证都在18K上开启,少数学校领导等一些特殊群体在WS卡上开启无线1X认证(18K无法实现无线1X认证)
Ⅱ IP地址规划
1、IP地址规划
注:具体一些IP地址的规划,这边的IP地址分配仅让阅读本方案的工程师对本案例IP地址规划有一定的了解,这边就不再罗列,根据实际情况分配
2、18K和MSC卡内联接口对接配置
注:route表示接口为三层口,switch表示接口为二层接口。
其中18K的Te1/2/5和Te2/2/5配置成二层端口,划入到VLAN500的三层端口中,实际案例中也可划成3层端口,18K和MSC卡同步用户数据时必须使用该端口同步
3、WS-ED卡和18K内联IP地址
注:switch表示为二层接口,未用表示接口不启用。
其中Te1/1/4、 Te1/1/5以及 Te2/1/4、 Te2/1/5,内联口虽然链路已经连接上,但是本案例中就没有启用。
18K通过Te1/1/3和Te2/1/3和WS卡连接,和普通的二层口除了必须将该接口划入AP口中,其他都一样。
Ⅲ N18K与MSC卡内联口对应关系以及引流说明
1、MSC线卡与18K连接说明
如图所示,线卡与18K之间的数据交互是通过内联接口进行的;
在18K侧,可以看到对应槽位的端口数有7个,仅有3个可以使用;
其中可以使用的端口为:3、4、5
分别对应MSC线卡接口1、2、3
端口有严格的业务规划,部署业务时切勿颠倒使用
端口解释:
LAN接口:用户侧通往互联网的上行流量端口,需要进入LAN接口;
WAN接口:互联网返回到用户侧的下行流量端口,需要进入WAN接口;
管理口:用户18K与MSC线卡之间内部数据库(如用户上下线信息以及流量同步)、时钟同步的通道。
2、引流业务上行逻辑介绍
Step1:业务到达18K的入端口,在supervlan上配置PBR引流,将流下一跳引入MSC的LAN接口TenG0/1;
Step2:进入MSC的LAN接口通过PBR引流,将流下一跳引入18K的WAN接口TenG1/2/4;
Step3:进入18K WAN接口后业务走正常业务转发。
Step1:回程业务到达18K的入端口,在端口上配置PBR引流,将流下一跳引入MSC的WAN接口 TenG0/2 ;
Step2:进入MSC的WAN接口通过PBR引流,将流下一跳引入18K的LAN接口 TenG1/2/3 ;
Step3:进入18K LAN接口后业务走正常业务转发。
3、限速功能原理介绍
Step1:用户认证数据包在18K入口处进行Web认证;
Step2:18K与SAM+进行认证确认;
Step3:SAM+反馈认证结果并将用户与用户组信息同步进18K本地数据库;
Step4:18K通过与MSC互联的第三个接口(管理口)将用户与用户组信息同步给MSC线卡;
Step5:MSC根据用户名及用户组信息,对PBR进MSC的业务流在WAN口进行限速操作。
其他:MSC时时将用户流经接口的流量同步进18K数据库
Ⅳ N18K与WS线卡内联口对应关系说明
1、WS线卡与18K内联口对应关系说明
WS线卡与18K内联口对应关系和MSC卡一致。
注释:本案例WS使用的是集中转发的模式,所以N18K的Te2/1/3和Te0/1接口之间使用二层接口,并且通过相应VLAN 来与与18K或与其他设备通信
Ⅴ N18K与MSC卡对接相关配置
【风险】以下配置操作属于实施阶段的操作,若在运维阶段要进行相关配置操作,请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响,请不要操作,请联系4008111000进行评估后再决定是否操作。
需求:配置默认将AB区宿舍楼的流量引入MSC1卡计费,MSC1故障以后引入MSC2卡计费;默认将将ED区宿舍楼流量引入MSC2卡计费,MSC2故障以后引入MSC1卡计费
1、18K和MSC卡内联接口对接配置
注:route表示接口为三层口,switch表示接口为二层接口。
其中18K的Te1/2/5和Te2/2/5配置成二层端口,划入到VLAN500的三层端口中,实际案例中也可划成3层端口,18K和MSC卡同步用户数据时必须使用该端口同步
(1)18K上配置与MSC1卡内联的接口IP地址以及相应VLAN
interface TenGigabitEthernet 1/2/3no switchportdescription MSC-ED-1-LANip address 192.168.1.1 255.255.255.0!interface TenGigabitEthernet 1/2/4no switchportdescription MSC-ED-1-WANip address 192.168.2.1 255.255.255.0!interface TenGigabitEthernet 1/2/5description Link to MSC-ED-1 MGMTswitchport access vlan 500!interface VLAN 500description RG-WS-MSC Managementip address 10.110.0.254 255.255.255.0
(2)MSC1卡配置与18K内联的接口
interface TenGigabitEthernet 0/1ip address 192.168.1.2 255.255.255.0!interface TenGigabitEthernet 0/2ip address 192.168.2.2 255.255.255.0!interface TenGigabitEthernet 0/3ip address 10.110.0.3 255.255.255.0
(3)18K上配置与MSC2卡内联的接口IP地址以及相应VLAN
interface TenGigabitEthernet 2/2/3no switchportdescription MSC-ED-2-LANip address 192.168.3.1 255.255.255.0!interface TenGigabitEthernet 2/2/4no switchportdescription MSC-ED-2-WANip address 192.168.4.1 255.255.255.0!interface TenGigabitEthernet 2/2/5description Link to MSC-ED-2 MGMTswitchport access vlan 500!interface VLAN 500description RG-WS-MSC Managementip address 10.110.0.254 255.255.255.0
(4)MSC2卡配置与18K内联的接口
interface TenGigabitEthernet 0/1ip address 192.168.3.2 255.255.255.0!interface TenGigabitEthernet 0/2ip address 192.168.4.2 255.255.255.0!interface TenGigabitEthernet 0/3ip address 10.110.0.4 255.255.255.0
2、N18K与MSC卡NTP时钟同步配置
clock timezone dongba +8 0
ntp master 8 // N18K为系统时间源,为MSC业务卡提供ntp server服务,时钟同步功能首要必配
注:MSC作为计费信息采集的主要线卡,对时钟源有很高的要求,所以推荐将NTP时钟原设为18K或者SAM服务器,实现时时自动时钟同步。在时钟未完成同步前,MSC线卡WEB页面与CLI命令行都会提示时钟信息缺失的告警日志,没有同步时钟不做会导致计费信息不准。
3、18K配置PBR实现引流
(1)配置访问控制列表匹配宿舍AB区以及 教师宿舍区 去往外网的流量(注意:认证通过的用户,所有被引入MSC卡的流量都将被审计,所以如果希望用户在访问某些校内资源时不计流量,在一开始的不要将流量引入MSC卡中,写访问控制列表的时候先将这些地址deny掉,再写permit 条目)
N18k(config)#ip access-list extended AB_UP_FLOW
N18k(config-ext-nacl)#permit ip 10.1.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.2.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.11.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.51.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.52.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.61.0.0 0.0.255.255 any
N18k(config-ext-nacl)#exit
(2)配置访问控制列表匹配 宿舍CD区、教学区、办公区 去往外网的流量 (注意:认证通过的用户,所有被引入MSC卡的流量都将被审计,所以如果希望用户在访问某些校内资源时不计流量,在一开始的不要将流量引入MSC卡中,写访问控制列表的时候先将这些地址deny掉,再写permit 条目)
N18k(config)#ip access-list extended CD_UP_FLOW
N18k(config-ext-nacl)#permit ip 10.3.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.4.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.12.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.13.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.53.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.54.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.62.0.0 0.0.255.255 any
N18k(config-ext-nacl)#permit ip 10.63.0.0 0.0.255.255 any
N18k(config-ext-nacl)#exit
(3)配置访问控制列表匹配从外网回来去往AB区以及 教师宿舍区 的流量
N18k(config)#ip access-list extended AB_DOWN_FLOW
N18k(config-ext-nacl)#permit ip any 10.1.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.2.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.11.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.51.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.52.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.61.0.0 0.0.255.255
N18k(config-ext-nacl)#exit
(4)配置访问控制列表匹配从外网回来去往 宿舍CD区、教学区、办公区 的流量
N18k(config)#ip access-list extended CD_DOWN_FLOW
N18k(config-ext-nacl)#permit ip any 10.3.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.4.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.12.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.13.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.53.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.54.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.62.0.0 0.0.255.255
N18k(config-ext-nacl)#permit ip any 10.63.0.0 0.0.255.255
N18k(config-ext-nacl)#exit
(5)配置策略路由PBR-UPLOAD,AB区以及 教师宿舍区 去往外部的流量当MSC1可用时默认发往MSC1,当MSC1不可用时再发往MSC2;
宿舍CD区、教学区、办公区 去往外部的流量当MSC2可用时默认发往MSC2,当MSC2不可用时再发往MSC1
route-map PBR-UPLOAD permit 10
match ip address AB_UP_FLOW
set ip policy load-balance src-ip //根据源IP地址进行负载均衡
set ip policy no-ttl-decrease //不扣除进MSC的TTL跳数
set ip next-hop 192.168.1.2
!
route-map PBR-UPLOAD permit 20
match ip address AB_UP_FLOW
set ip policy load-balance src-ip
set ip policy no-ttl-decrease
set ip policy l3-auth
set ip next-hop 192.168.3.2
!
route-map PBR-UPLOAD permit 30
match ip address CD_UP_FLOW
set ip policy load-balance src-ip
set ip policy no-ttl-decrease
set ip policy l3-auth
set ip next-hop 192.168.3.2
!
route-map PBR-UPLOAD permit 40
match ip address CD_UP_FLOW
set ip policy load-balance src-ip
set ip policy no-ttl-decrease
set ip policy l3-auth
set ip next-hop 192.168.1.2
(6)配置策略路由PBR-DOWNLOAD,外网回到AB区的流量当MSC1可用时默认发往MSC1,当MSC1不可用时再发往MSC2;外网回到CD区的流量当MSC2可用时默认发往MSC2,当MSC2不可用时再发往MSC1
route-map PBR-DOWNLOAD permit 10
match ip address AB_DOWN_FLOW
set ip policy load-balance src-ip
set ip policy no-ttl-decrease
set ip policy l3-auth
set ip next-hop 192.168.2.2
!
route-map PBR-DOWNLOAD permit 20
match ip address AB_DOWN_FLOW
set ip policy load-balance src-ip
set ip policy no-ttl-decrease
set ip policy l3-auth
set ip next-hop 192.168.4.2
!
route-map PBR-DOWNLOAD permit 30
match ip address CD_DOWN_FLOW
set ip policy load-balance src-ip
set ip policy no-ttl-decrease
set ip policy l3-auth
set ip next-hop 192.168.4.2
!
route-map PBR-DOWNLOAD permit 40
match ip address CD_DOWN_FLOW
set ip policy load-balance src-ip
set ip policy no-ttl-decrease
set ip policy l3-auth
set ip next-hop 192.168.3.2
(7)接口上调用策略路由
interface VLAN 2001 //用户网关
ip policy route-map PBR-UPLOAD // 内网去外网的流量进行PBR引流使能
interface TenGigabitEthernet 1/3/1 //核心N18K与出口设备互联接口
ip policy route-map PBR-DOWNLOAD //外网回内网流量进行PBR引流使能
4、配置MSC1卡PBR引流
(1)配置MSC1卡引流模式以及策略路由引流
clock timezone dongba +8
ntp server 10.110.0.254 // N18K为系统时间源,为MSC业务卡提供ntp server服务,时钟同步功能首要必配
注:MSC作为计费信息采集的主要线卡,对时钟源有很高的要求,所以推荐将NTP时钟原设为18K或者SAM服务器,实现时时自动时钟同步。在时钟未完成同步前,MSC线卡WEB页面与CLI命令行都会提示时钟信息缺失的告警日志,没有同步时钟不做会导致计费信息不准。
(2)MSC需要配置变更为网关模式;此动作,线卡会进行自动重启
MSC1(config)# auth-mode gateway
(3)配置MSC1卡的策略路由引流
ip access-list standard PBR-ACL
10 permit any
!
route-map Te0/1 permit 10
match ip address PBR-ACL
set ip next-hop 192.168.2.1
!
route-map Te0/2 permit 10
match ip address PBR-ACL
set ip next-hop 192.168.1.1
!
interface TenGigabitEthernet 0/1
ip address 192.168.1.2 255.255.255.0
ip policy route-map Te0/1
!
interface TenGigabitEthernet 0/2
ip address 192.168.2.2 255.255.255.0
ip policy route-map Te0/2
!
interface TenGigabitEthernet 0/3
ip address 10.110.0.3 255.255.255.0
5、配置MSC2卡PBR引流
(1)配置MSC1卡引流模式以及策略路由引流
clock timezone dongba +8 0
ntp server 10.110.0.254 // N18K为系统时间源,为MSC业务卡提供ntp server服务,时钟同步功能首要必配
注:MSC作为计费信息采集的主要线卡,对时钟源有很高的要求,所以推荐将NTP时钟原设为18K或者SAM服务器,实现时时自动时钟同步。在时钟未完成同步前,MSC线卡WEB页面与CLI命令行都会提示时钟信息缺失的告警日志,没有同步时钟不做会导致计费信息不准。
(2)MSC需要配置变更为网关模式;此动作,线卡会进行自动重启
MSC1(config)# auth-mode gateway
(3)策略路由引流
ip access-list standard PBR-ACL
10 permit any
!
route-map Te0/1 permit 10
match ip address PBR-ACL
set ip next-hop 192.168.4.1
!
route-map Te0/2 permit 10
match ip address PBR-ACL
set ip next-hop 192.168.3.1
!
interface TenGigabitEthernet 0/1
ip address 192.168.3.2 255.255.255.0
ip policy route-map Te0/1
!
interface TenGigabitEthernet 0/2
ip address 192.168.4.2 255.255.255.0
ip policy route-map Te0/2
!
interface TenGigabitEthernet 0/3
ip address 10.110.0.4 255.255.255.0
6、N18K基本认证配置
aaa new-model
aaa accounting network default start-stop group radius
aaa authentication dot1x default group radius
aaa authentication web-auth default group radius
aaa authentication login default local
radius-server host 172.29.2.9 test username ruijie idle-time 2 key ruijie
radius-server dead-criteria time 120 tries 12 //配置radius地址,同时开启radius逃生测试功能
web-auth portal-check interval 3 timeout 3 retransmit 10 //配置portal逃生
web-auth portal-escape nokick //开启portal逃生,配置nokick属性后,逃生生效时,对已在线用户不做下线处理。删除该属性,会下线在线用户
web-auth radius-escape //全局开启web认证下的radius逃生使能
aaa accounting update periodic 15 //配置aaa记帐更新周期15分钟
aaa accounting update
no aaa log enable
dot1x accounting default
dot1x authentication default
web-auth template eportalv2
ip 172.18.157.33 //portal服务器的IP
url http://172.18.157.33/eportal/index.jsp //portal服务器的url地址
authentication default
accounting default
web-auth portal key ruijie
aaa authorization ip-auth-mode mixed //必配,配置dot1x上传sam的IP方式为混合模式,会通过多种方式轮询获取IP(su客户端/dhcp/radius等)
ip dhcp snooping //无感知认证需要通过dhcp snooping模块获取IP地址,否则SAM会出现0.0.0.0地址的用户
dot1x mac-auth-bypass valid-ip-auth //由DHCP模块通告MAB模块开始认证。注意该命令配置后会导致已有用户掉线,不建议在业务高峰期开启。
dot1x valid-ip-acct enable //通过记帐更新报文上传用户IP通告给SAM,如果发现1x认证模块没有终端用户的IP表项,5分钟后就会将用户踢下线。
interface range GigabitEthernet 0/2-3
web-auth enable eportalv2
web-auth vlan-control vlan YY //针对某些VLAN开启WEB认证
dot1x port-control auto
dot1x mac-auth-bypass multi-user //接口下使能无感知认证
dot1x mac-auth-bypass vlan (vlan-list) //基于用户认证的vlan范围,启用无感知认证
dot1x critical //接口配置802.1x认证下的radius逃生
dot1x critical recovery action reinitialize //当radius逃生恢复后,逃生用户需重认证
snmp-server host172.18.157.32 informs version 2cruijie
snmp-server community ruijie rw
7、N18K和MSC卡以及SAM流量计费对接配置
web-auth acct-method ipfix //web认证记账方式设置为IPFIX方式
dot1x acct-method ipfix //1x认证记账方式设置为IPFIX方式
ip auth-flow export destination 172.18.157.32 4739 //将流量信息上传到SAM服务器
ip auth-flow export source Gi2/3/1 //指定IPFIX源接口信息,18K和SAM之间的通讯口用于流量计费,必须与ip radius source 端口配置为同一个端口。
8、MSC卡上计费相关配置
(1)配置MSC模式为网关模式
极简MSC统一认证计费使用PBR引流,MSC卡需要先切换为网关模式,切换口端口即可有二层口变为三层ip口,在切换为网关模式时,msc卡会自动重启一次,重启仅为卡自身重启,不会联动18K重启。
登陆MSC设备的WEB界面,进入“网络->接口配置->接入模式选择”进行配置:
切换为网关模式。
(2)全局开启联动功能
MSC卡将用户流量信息与N18K进行交互,再由N18K和SAM进行交互
(3)MSC卡配置计费策略
配置计费策略实例:
1、老师网段为10.11.0.0/16和10.61.0.0/16网段,不计费;
2、剩余网段正常计费;
step1、添加老师组IP对象:
step2、配置策略1:任意IP的流量类型为“国内”计费;
step3、配置策略2:源IP ID为组1(老师网段)的流量类型为“免计费流量”;
step4、策略配置完效果如下(策略从上向下匹配):注意:下图中未配置老师下行流量免计费,现网需要配置源IP组为0,目标IP组为1的策略序号,并且需要将范围比较小的策略条目往上调整。现网中很难匹配老师的IP段,可在SAM上配置老师用户套餐不计费。
注意:目前SAM只识别国内/校内/国际流量
9、MSC卡限速功能配置介绍
由于PBR的负载均衡原理,不同的用户,在多卡的情况下,会被丢如不同的业务卡,且来回路径保持一致, 所以如果在多卡的情况下,18K本地数据库会将用户表象以复制的形式COPY到每张卡上。 在配置限速策略时,每张卡的配置均要保持一致,且需要独立配置。
Step1:SAM上配置好相关接入控制的网关策略名称,用户关联相应的接入控制
Step2:用户认证通过
注:用户认证通过以后,N18K才会将用户名和网关策略名同步到MSC卡上,MSC的上才会出现相关用户组
debug web cli
show web-auth user ip****
Step3:配置策略组名
默认情况下 限速功能均开在T0/2接口,仅需填写策略组名即可。
Step4:限速策略配置
Step5:限速策略与用户组关联
一般情况下,MSC支持基于用户组识别的限速,而用户组的信息均由SAM+通过18K同步给MSC
所以在这一步如果无法找到对应的用户组,请参考上一步骤内容,解决用户组不同步问题。
注:以上的SUTDENT-4M必须有相关用户在线了才会出现,所以必须先让用户认证通过并且在线,再针对相关用户组来配置限速策略。如果有些用户被放入uer-notcampus-block则说明该用户使用的接入控制中没有携带网关策略名,如下student002。则需要排查。
Step6:策略配置完成展示
以上,当该策略目前有用户被限制的话,状态会显示为“生效”,如果没有用户在受限制则状态会显示为“未生效”
Ⅵ N18K和WS卡对接相关配置
【风险】以下配置操作属于实施阶段的操作,若在运维阶段要进行相关配置操作,请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响,请不要操作,请联系4008111000进行评估后再决定是否操作。
需求:使用两张WS-ED卡作为AC进行AA模式热备实现集中转发,并且针对某些SSID在WS卡上开启无线1X认证,WEB认证都开在18K上
1、WS-ED卡和18K内联IP地址
注:switch表示为二层接口,未用表示接口不启用。
其中Te1/1/4、 Te1/1/5以及 Te2/1/4、 Te2/1/5,内联口虽然链路已经连接上,但是本案例中就没有启用。
18K通过Te1/1/3和Te2/1/3和WS卡连接,和普通的二层口除了必须将该接口划入AP口中,其他都一样。
(1)18K上配置和WS-ED1以及WS-ED2卡 对接如下:
interface TenGigabitEthernet 1/1/3
description Link to WS-ED(1)
port-group 1
!
interface TenGigabitEthernet 2/1/3
description Link to WS-ED(2)
port-group 2
!
interface VLAN 500
description RG-WLC-MSC Management
ip address 10.110.0.254 255.255.255.0
!
interface AggregatePort 1
description AggregatedPort to WS-ED(1) switchport mode trunk
switchport trunk allowed vlan only 1,500,601-699,701-799,801-899,901-999 //本案例WS卡和18K对接使用的是VLAN 500作为管理VLAN,其余VLAN为无线用户VLAN
!
interface AggregatePort 2
description AggregatedPort to WS-ED(2)
switchport mode trunk
switchport trunk allowed vlan only 1,500,601-699,701-799,801-899,901-999 //本案例WS卡和18K对接使用的是VLAN 500作为管理VLAN,其余VLAN为无线用户VLAN
(2)WS-ED卡对接18K配置如下
WS-ED(1)卡配置
interface TenGigabitEthernet 0/1
description Link to N18K-1
port-group 1
!
interface AggregatePort 1
switchport mode trunk switchport trunk allowed vlan only 1,500,601-699,701-799,801-899
WS-ED(2)卡配置
interface TenGigabitEthernet 0/1
description Link to N18K-2
port-group 2
!
interface AggregatePort 2
switchport mode trunk
switchport trunk allowed vlan only 1,500,601-699,701-799,801-899
2、N18K上基本认证相关配置
aaa new-model //启用AAA
aaa accounting network default start-stop group radius
aaa authentication dot1x default group radius
aaa authentication web-auth default group radius
aaa authentication login default local
radius-server host 172.29.2.9 test username ruijie idle-time 2 key ruijie
radius-server dead-criteria time 120 tries 12
web-auth portal-check interval 3 timeout 3 retransmit 10
web-auth portal-escape nokick
web-auth radius-escape
aaa accounting update periodic 15
aaa accounting update
no aaa log enable
dot1x accounting default
dot1x authentication default
web-auth template eportalv2
ip 172.18.157.33
url http://172.18.157.33/eportal/index.jsp
authentication default
accounting default
web-auth portal key ruijie
ip dhcp snooping //必配,无感知认证需要通过dhcp snooping模块获取IP地址,否则SAM会出现0.0.0.0地址的用户
dot1x mac-auth-bypass valid-ip-auth //由DHCP模块通告MAB模块开始认证。注意该命令配置后会导致已有用户掉线,不建议在业务高峰期开启。
dot1x valid-ip-acct enable //必配,通过记帐更新报文上传用户IP通告给SAM,如果发现1x认证模块没有终端用户的IP表项,5分钟后就会将用户踢下线。
interface range GigabitEthernet 0/2-3
web-auth enable eportalv2
web-auth vlan-control vlan YY //针对某些VLAN开启WEB认证
dot1x port-control auto //接口使能802.1X认证
dot1x mac-auth-bypass multi-user //接口下使能无感知认证
dot1x mac-auth-bypass vlan (vlan-list) //选配,接口下配置,可基于用户认证的vlan范围,启用无感知认证
dot1x critical //接口配置802.1x认证下的radius逃生
dot1x critical recovery action reinitialize //当radius逃生恢复后,逃生用户需重认证
snmp-server host172.18.157.32 informs version 2cruijie
snmp-server community ruijie rw
3、N18K和WS内联的AP口认证开启,无线1X的用户认证开在WS卡上,N18K针对对应VLAN不再开启认证
interface AggregatePort 1
description AggregatedPort to WS-ED(1)
switchport mode trunk
switchport trunk allowed vlan only 1,500,601-699,701-799,801-899,901-999
dot1x port-control auto
dot1x mac-auth-bypass multi-user
dot1x critical recovery action reinitialize
dot1x critical
web-auth enable eportalv2
web-auth vlan-control vlan YY //针对某些VLAN开启WEB认证,这些VLAN在WS卡上未开启无线1X认证
!
interface AggregatePort 2
description AggregatedPort to WS-ED(2)
switchport mode trunk
switchport trunk allowed vlan only 1,500,601-699,701-799,801-899,901-999
dot1x port-control auto
dot1x mac-auth-bypass multi-user
dot1x critical recovery action reinitialize
dot1x critical
web-auth enable eportalv2
web-auth vlan-control vlan YY //针对某些VLAN开启WEB认证,这些VLAN在WS卡上未开启无线1X认证
4、WS卡认证相关配置:
WS-ED(1)和WS-ED(2)相关重要配置,两台WS-ED卡之间可以启用热备, 如果WS卡上需要开启认证,则需要配置AAA如下,如果WS卡上无需开启认证则相关配置可以去掉
注:以下关于WS的配置,只是将极简环境中WS需要配置的一些主要认证相关的配置列出, 产品类基本配置此处略
aaa new-model
aaa accounting update
aaa accounting network default start-stop group radius
aaa authentication dot1x default group radius
ip dhcp snooping
ip radius source-interface Loopback 0
radius-server host 172.29.2.9 test username ruijie idle-time 2 key ruijie
radius-server dead-criteria time 120 tries 12
interface AggregatePort 1 //AC同核心的互联聚合端口
switchport mode trunk
switchport trunk allowed vlan only 100-199,300-399,3000
ip dhcp snooping trust
interface Loopback 0 //用于AP寻找AC的地址,DHCP中的option138字段
ip address 1.1.1.1 255.255.255.0
interface VLAN 500 //配置无线控制器的管理地址
ip address 10.110.0.1 255.255.255.0
dot1x valid-ip-acct enable //必配,通过记帐更新报文上传用户IP通告给SAM,如果发现1x认证模块没有终端用户的IP表项,5分钟后就会将用户踢下线。
offline-detect interval 15 threshold 0 //配置无流量下线检测
wlansec 3 //WLANSEC 3上开启无线1X认证
security rsn enable
security rsn ciphers aes enable
security rsn akm 802.1x enable
dot1x authentication default
dot1x accounting default
arp-check //开启arp-check防止arp欺骗
ip verify source port-security //开启ip source-guard防止非法ip入网
wlansec 4 //WLANSEC 4不开认证,认证做在18K上
arp-check //WEB认证场景下,开启arp-check防止arp欺骗
ip verify source port-security //WEB认证场景下,开启ip source-guard防止非法ip入网
由于本环境中用户网关不在ac上,同时为防止网络中过多的广播报文砸向AC导致其无法处理某些关键节点设备的ARP请求,需要在AC上开启nfpp arp-guard,把所有用户网关、AC路由下一条地址加入trust列表
nfpp
arp-guard trusted-host 10.51.0.1 5869.6ca2.9eca
arp-guard trusted-host 10.52.0.1 5869.6ca2.9eca
arp-guard trusted-host 10.53.0.1 5869.6ca2.9eca
arp-guard trusted-host 10.54.0.1 5869.6ca2.9eca
arp-guard trusted-host 10.61.0.1 5869.6ca2.9eca
arp-guard trusted-host 10.62.0.1 5869.6ca2.9eca
arp-guard trusted-host 10.63.0.1 5869.6ca2.9eca
注:IP和MAC根据实际情况配置