SSID创建
SSID(无线信号)配置
(1)创建ssid,配置转发模式
集中转发(默认)
wlan-config 1 Ruijie
enable-broad-ssid
exit
本地转发:(推荐)
wlan-config 1 Ruijie
enable-broad-ssid
tunnel local
exit
(2)ap-group配置,关联wlan-config和用户vlan
ap-group default
interface-mapping 1 1
---->把wlan-config 1和vlan 1进行关联,第一个“1”是wlan-config,第二个“1”是vlan
exit
(3)SSID密码配置
wlansec 1
security rsn enable
---->开启无线加密功能
security rsn ciphers aes enable
---->无线启用AES加密
security rsn akm psk enable
---->无线启用共享密钥认证方式
security rsn akm psk set-key ascii 1234567890
---->无线密码1234567890,密码位数不能小于8位
end
wr
---->保存配置
认证
802.1x认证
启用 802.1x AAA 认证
aaa new-model # 启用 AAA 认证功能
aaa authentication dot1x default group radius # 定义 Dot1x 认证默认使用列表
aaa accounting network default start-stop group radius # 定义用户上线下线审计默认使用列表
配置 Radius 服务器 IP 及 KEY
radius-server host 192.168.33.244 key ruijie # 配置 Radius 服务器 KEY 及 IP(密码后面不能有空格)
ip radius source-interface vlan 90 # AC 使用 VLAN 90 的 IP 地址和 Radius 对接
DHCP 相关配置【可选配置】
ip dhcp snooping # 开启 dhcp snooping
dot1x valid-ip-acct enable
# 【11.x】版本的配置命令,开启功能:STA 必须先通过 DHCP 获取地址才可以上线,如果静态配置 IP 地址,那么上线一段时间后就会被踢下线(因为 AC 没有检测到 DHCP 不会发送记账开始报文),必须配合 dhcp snooping 使用
interface gigabitEthernet 0/1
ip dhcp snooping trust
# 将连接 DHCP 服务器接口开启信任,如果用户的 DHCP 在 AC 上则不用配置该命令
调用 802.1x 使用的认证列表等参数
dot1x authentication default # dot1x 认证使用默认列表
dot1x accounting default # dot1x 审计使用默认列表
⑤ WLAN 启用 802.1X
wlansec 1 # 对应 wlan-config 1
security rsn enable # 启用 WPA2 认证
security rsn ciphers aes enable # 启用 AES 加密
security rsn akm 802.1x enable # 启用 802.1X 认证
配置 SNMP 功能
snmp-server host 192.168.33.244 traps version 2c ruijie
# 设置 SNMP 为 v2 版本,SNMP 服务器地址,团体字 ruijie(密码后面不能有空格)
snmp-server community ruijie rw
portal认证
具体项目示例:
ip portal source-interface VLAN 20
http redirect direct-site 211.144.221.205
http redirect direct-arp 10.0.0.1
ip radius source-interface VLAN 20
radius-server nas-ip-address <公网ip>
radius-server host 211.144.221.205 key 12345678
web-auth template eportalv2
ip 211.144.221.205
url http://211.144.221.205:12345/$url_id=160942939
fmt custom encry none user-ip userip user-mac usermac mac-format none ap-mac apmac mac-format none url userurl ssid userssid
!# 认证参数 按需调整
aaa new-model
aaa accounting update
aaa accounting network default start-stop group portal
aaa authentication login default none
aaa authentication dot1x default group portal
aaa authentication web-auth default group portal
aaa group server radius portal
server 211.144.221.205
wlansec 1
dot1x-mab
web-auth portal eportalv2
webauth
web认证+mab无感知配置
!# 开启aaa 配置radius组、radius服务器地址
aaa new-model
aaa group server radius smp
server 172.18.34.16
exit
!# 配置aaa记账
accounting network acct-1x start-stop group smp
aaa accounting network acct-web start-stop group smp
aaa authentication dot1x auth-1x group smp
aaa authentication web-auth auth-web group smp
!# 配置对接radius的源接口、服务器地址及秘钥
ip radius source-interface vlan 1
radius-server host 172.18.34.16 key ruijie
!# 启用snooping功能(重要),上联口trust
ip dhcp snooping
interface gigabitEthernet 0/1
ip dhcp snooping trust
exit
!# 配置portal秘钥
web-auth portal key 123456
!# 创建web认证模板
web-auth template web-url v2
ip 172.18.34.16
url http://172.18.34.16/smp/commonauth
!# 在wlansec下启用web和mab认证功能
wlansec 1
web-auth portal web-url
web-auth authentication v2 auth-web
web-auth accounting v2 acct-web
webauth
dot1x-mab
dot1x authentication auth-1x
dot1x accounting acct-1x
exit
!# 配置snmp服务器(选配)
snmp-server enable traps
snmp-server community ruijie rw
!# 放行用户网关地址、DNS地址(必配)
http redirect direct-arp 192.168.51.1
end
wr