HUAWEI無線部署802.1認證

需求：
1、全網WIFI實現802.1X認證
2、AC實現在線用戶顯示為AD成員，非IP地址，對AD成員進行管控及策略下發
3、AD組成員部門與部門之間實現網絡隔離
4、建立無線網絡802.1x認證逃生機制

WLC:10.100.250.1
Aglie:10.100.246.47

1、全網WIFI實現802.1X認證
HUAWEI_S12708屬于敏捷系列交換機，融合了有線無線技術，所以本案例無線控制器配置均在交換機底層配置
網絡部分：
authentication unified-mode --交換機切換成統一模式，切換完成后重啟生效

interface vlan 122
ip address 10.100.122.1 255.255.254.0
dhcp select global

ip pool vlan122
gateway-list 10.100.122.1
network 10.100.122.0 mask 255.255.254.0
lease day 0 hour 8 minute 0
dns-list 10.100.246.10 10.100.246.20

radius-server template JC_OFFICE
radius-server shared-key cipher huawei@123
radius-server authentication 10.100.246.47 1812 source ip-address 10.100.250.1
radius-server accounting 10.100.246.47 1813 source ip-address 10.100.250.1

radius-server authorization 10.100.246.47 shared-key ciphe huwei@123

aaa
authentication-scheme JC_OFFICE
authentication-mode radius none

accounting-scheme JC_OFFICE
accounting-mode radius
accounting realtime 15

domain JC_OFFICE
authentication-scheme JC_OFFICE
accounting-scheme JC_OFFICE
radius-server JC_OFFICE

authentication-profile name 802.1x
dot1x-access-profile JC_OFFICE
access-domain JC_OFFICE
access-domain JC_OFFICE force

無線部分：
wlan
[S12700] wlan ac-global country-code cn --配置AC的國家碼，使AC管理的AP的射頻特性符合不同國家或區域的法律法規要求，國家碼缺省值為CN
Warning: Modifying the country code will clear channel configurations of the AP radio using the country code and reset the AP. If the
new country code does not support the radio, all configurations of the radio are cleared. Continue?[Y/N]:y
[S12700] wlan ac-global ac id 1 carrier id other --AC ID缺省為0，修改為1

capwap source interface vlanif250 --AP管理IP vlan

rrm-profile name jc
calibrate auto-txpower-select disable
smart-roam enable
smart-roam roam-threshold snr 25

radio-2g-profile name radio-2g
rrm-profile jc

radio-5g-profile name radio-5g
rrm-profile jc

traffic-profile name JC_OFFICE

security-profile name JC_OFFICE
security wpa-wpa2 dot1x aes

ssid-profile name JC_OFFICE
ssid JC_OFFICE
max-sta-number 255

vap-profile name JC_OFFICE
forward-mode tunnel
service-vlan vlan-id 999
ssid-profile JC_OFFICE
security-profile JC_OFFICE
traffic-profile JC_OFFICE
authentication-profile 802.1x

ap-group name JC
radio 0
radio-2g-profile radio-2g
vap-profile JC_OFFICE wlan 1
eirp 15
radio 1
radio-5g-profile radio-5g
vap-profile JC_OFFICE wlan 1
eirp 18

ap-id 1 type-id 75 ap-mac C4FF-1FF5-ECA0 --AP MAC
ap-name 6#1
ap-group 6#6F

Agile Contrller部分：
參考手冊結合實際環境需求實施，本案列就不介紹

2、AC實現在線用戶顯示為AD成員，非IP地址，對AD成員進行管控及策略下發
網絡部分：
將交換機與Radius服務器流量口鏡像至AC設備
interface XGigabitEthernet1/7/0/46
description to neiwang_FW
port-mirroring to observe-port 2 inbound
port-mirroring to observe-port 2 outbound
observe-port 2 interface GigabitEthernet1/2/0/45 --這個口為直連AC口

AC部分：
1、配置LDAP服務器：

2、配置LDAP服務器參數：

3、完成后在用戶管理，組/用戶 里面會顯示AD成員信息：

4、配置radius認證服務器：

5、啟用radius單點登錄：

6、配置鏡像口：

7、配置單點登錄 認證策略：

8、配置單點登錄 認證策略：

9、配置單點登錄 認證策略：

10、在線用戶顯示AD成員的效果：

11、上網策略審計：


12、上網策略審計：

3、AD組成員部門與部門之間實現網絡隔離
華為Agile Controller 與華為敏捷系列交換機集成可以通過controller的業務隨行功能，配置XMPP，實現AD成員之間網絡隔離
Agile Controller部分：
1、建立設備：

2、配置XMPP參數：

3、定義動態安全組：

4、以一個部門做實例：

5、定義動態安全組內網配置：

6、配置完成后，準入控制--認證授權--規則和結果會自動生成：

7、配置業務隨行組：

8、配置業務隨行參數：

9、定義業務隨行組策略

10、以一個部門做實例：

11、策略完成后，安全組全網部署

12、策略完成后，業務隨行訪問控制策略全網部署

網絡部分：
group-policy controller 10.100.246.47 password huawei@123 src-ip 10.100.250.1

display group-policy status --查看與Agile Controller-Campus連接狀態
display ucl-group all --查看安全組
display acl all --查看訪問權限控制策略

4、建立無線網絡802.1x認證逃生機制
authentication-scheme JC_OFFICE
authentication-mode radius none