TSM通过与支持无线8021X协议的交换机联动.docxVIP

TSM通过与支持无线802.1X协议的交换机联动关于本章无线802.1X交换机接入控制方式是TSM通过与支持无线802.1X协议的交换机联动，实现无线终端的接入控制。背景信息根据实现方式不同，无线802.1X交换机接入控制有三种方式，如表1-1所示。无线802.1X交换机接入控制的三种方式类型说明要求基本的无线802.1X交换机接入控制终端用户在认证通过后，所有网络资源都能访问，不区分隔离域和认证后域。无线802.1X交换机必须支持打开或关闭端口功能。基于动态VLAN的无线802.1X交换机接入控制利用动态VLAN，实现根据不同认证结果控制终端用户对隔离域和认证后域的访问。无线802.1X交换机必须支持动态下发VLAN功能。基于动态ACL的无线802.1X交换机接入控制利用动态ACL，实现根据不同认证结果控制终端用户对隔离域和认证后域的访问。无线802.1X交换机必须支持动态下发ACL功能。1.1 TSM与无线802.1X交换机联动作接入控制的交互过程TSM与无线802.1X交换机联动作接入控制的交互过程，以便管理员了解两者之间的交互过程及在出现问题时排查故障。1.2 客户需要解决的问题介绍客户在无线终端主机接入控制需要解决的问题。1.3 解决问题的思路利用TSM与无线802.1X交换机联动特性，可拒绝身份不合法无线终端接入网络。1.4 配置步骤举例说明如何配置TSM与无线802.1X交换机联动，以便管理员拒绝身份不合法的无线终端接入公司网络。1.5 验证配置结果在无线终端进行身份认证，检查认证通过后是否能够访问无线网络。TSM与无线802.1X交换机联动作接入控制的交互过程TSM与无线802.1X交换机联动作接入控制的交互过程，以便管理员了解两者之间的交互过程及在出现问题时排查故障。TSM与无线802.1X交换机联动作接入控制的交互过程如图1-1所示。TSM与无线802.1X交换机联动作接入控制的交互过程客户需要解决的问题介绍客户在无线终端主机接入控制需要解决的问题。X企业市场部安排在一楼办公。一楼部署了供无线终端接入的无线网络。员工使用便携式计算机通过无线方式接入公司网络进行办公。一楼属于开放办公场所，无线网络没有开启身份认证功能，非公司员工携带便携式计算机可轻易接入公司网络，存在泄密风险。管理员希望找到一种方法拒绝身份不合法的无线终端接入公司网络。解决问题的思路利用TSM与无线802.1X交换机联动特性，可拒绝身份不合法无线终端接入网络。要拒绝身份不合法无线终端接入网络，首先要识别终端用户的身份，根据身份认证结果决定是否允许接入网络。如果交换机支持无线802.1X协议，则建议管理员采用TSM与无线802.1X交换机联动，对无线终端实施接入控制。在终端用户处于未认证状态时，无线802.1X交换机只放行无线终端的认证报文，其他类型的报文则会被无线802.1X交换机丢弃，无线通道处于关闭状态。如果终端用户需要接入网络，必须先输入用户名和密码校验自己的身份。如果终端用户属于合法用户，则TSM通知无线802.1X交换机打开无线通道，允许终端用户接入网络。如果终端用户的身份不合法，则TSM通知无线802.1X交换机关闭无线通道，只放行无线终端的认证报文，禁止终端用户接入网络，从而达到拒绝身份不合法的终端用户接入公司网络的目的。配置步骤举例说明如何配置TSM与无线802.1X交换机联动，以便管理员拒绝身份不合法的无线终端接入公司网络。背景信息组网如图1-2所示。TSM与无线802.1X交换机联动组网TSM管理器和TSM控制器均已经部署完成，TSM版本为V100R002C07SPC200，TSM控制器IP地址为10.10.10.10。接入控制设备采用H3C WA2220E-AG，属于胖AP（具有AP和AC功能），软件版本为5.20，IP地址为192.168.5.21。无线终端由H3C WA2220E-AG接入公司网络。网关地址为192.168.5.1。配置的目的是通过TSM与H3C WA2220E-AG联动，以便控制无线终端接入公司网络，保证只有身份合法的终端用户才能接入公司网络。操作步骤配置H3C WA2220E-AG。启用端口安全，并配置802.1X的认证方式为EAP。 [AP] port-security enable [AP] dot1x authentication-method eap配置RADIUS方案。 [AP] radius scheme ias [AP-radius-ias] server-type extended [AP-radius-ias] primary authentication 10.10.10.10 [AP-radius-ias] primary accounting 10.10.10.1