一:测试需求

   XX企业目前要求使用Aruba设备进行无线网络的稳定覆盖以及安全性的保障。
为了保证安全性的要求,XX企业要求Aruba设备建立两个无线SSID,一个SSID叫CA,用户初始连接到CA进行证书申请(用户处于vlan 710),没有访问其它网络的权限。另一个SSID叫Employee,是正常的业务SSID,要求用户连接时使用证书认证,并且能够对认证成功后的用户进行正确的授权。
 

测试设备:
思科CISCO 7609
Aruba 6000-400 无线控制器
    思科Catalyst 3750-24PS 24口POE交换机
    Aruba AP 105/125
    Windows Server 2003 Enterprise (AD+DNS+IIS+CA)
    Cisco ACS 4.2
 
    1:释放两个SSID,一个叫CA,另一个叫Employee。
   2:CA SSID需要隐藏, 只有手动添加SSID才能接入,无线用户不需要认证即可接入进行证书申请。
Employee SSID无线用的认证采用802.1x基于Cisco ACS Server进行认证(ACS Server和CA进行集成),并且能够将用户授权到特定的vlan。
   3:为了保证安全性,
不允许用户随意更改IP地址,只能通过DHCP下发的地址访问业务。如果用户随意更改IP地址,用户将不能访问任何地址。
为了防止无线用户私设DHCP服务器影响网络的正常工作,要求所有无线用户不能作为DHCP Server。(拒绝用户发往任何UDP 68的的报文)
1:POE交换机的配置
2:ACS Server的配置(AD+DNS+IIS+CA+ACS的配置由于篇幅关系,此处省略)
3:Aruba AC的配置
4:安全性配置
5:客户端测试
    1:3750 POE交换机的配置

1:接口配置
   配置上连接口为trunk接口
   将连接AP的接口划分到vlan 96

2:DHCP Server的配置(为AP分配地址,无线用户的地址使用Windows DHCP分配)
(cisco3750SW) (config) #ip dhcp pool vlan96
(cisco3750SW) (config-dhcp)#network 172.16.22.0 255.255.255.0
(cisco3750SW) (config-dhcp)#default-router 172.16.22.1
(cisco3750SW) (config-dhcp)#option 43 ip 100.100.6.188
(cisco3750SW) (config-dhcp)#exit      
(cisco3750SW) (config) #service dhcp

    2:Cisco ACS Server的配置;

以上是图例:集成商在实际配置中
添加100.100.6.188做为AAA Client的IP地址。
Key123456789
Authenticate使用Radius(IETF)
Submit+Apply完成Aruba AC作为客户端的配置。
 

3:Aruba AC上的无线的配置

配置802.1x基于CA的SSID Employee
(Aruba6000AC1) (config) #aaa authentication-server radius ht-radius
(Aruba6000AC1) (RADIUS Server "ht-radius") #host 100.100.100.116
(Aruba6000AC1) (RADIUS Server "ht-radius") #key 123456789
(Aruba6000AC1) (RADIUS Server "ht-radius") #enable
(Aruba6000AC1) (RADIUS Server "ht-radius") #exit
 
(Aruba6000AC1) (config) #aaa server-group ht-dot1x-server-group
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #auth-server ht-radius
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #set role condition role value-of
(Aruba6000AC1) (Server Group "ht-dot1x-server-group") #exit
 
(Aruba6000AC1) (config) #aaa authentication dot1x ht-dot1x-aaa-auth-profile
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination eap-type eap-tls
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") #termination inner-eap-type eap-mschapv2
(Aruba6000AC1) (802.1X Authentication Profile "ht-dot1x-aaa-auth-profile") # exit
 
(Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #dot1x-server-group ht-dot1x-server-group
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #authentication-dot1x ht-dot1x-aaa-auth-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit
 
(Aruba6000AC1) (config) #wlan ssid-profile ht-dot1x-ssid-profile
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid Employee
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #opmode wpa-tkip
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit
 
(Aruba6000AC1) (config) #wlan virtual-ap  ht-dot1x-vap-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile ht-dot1x-aaa-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ht-dot1x-ssid-profile
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 703-704,710,900-902,905                   
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit
 
(Aruba6000AC1) (config) #ap-group default
(Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap ht-dot1x-vap-profile
(Aruba6000AC1) (AP group "ht-dot1x") #exit
 

AC上导入CA服务器的根证书并在aaa profile下调用root CA。

 

 
配置申请证书的SSID CA
 
(Aruba6000AC1) (config) #aaa profile aaa
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") #exit
 
(Aruba6000AC1) (config) #wlan ssid-profile ssid
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #essid CA
(Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #hide-ssid                //隐藏SSID
 (Aruba6000AC1) (SSID Profile "ht-dot1x-ssid-profile") #exit
 
(Aruba6000AC1) (config) #wlan virtual-ap  open-vap
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #aaa-profile aaa
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #ssid-profile ssid
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #vlan 710                 
(Aruba6000AC1) (Virtual AP profile "ht-dot1x-vap-profile") #exit
 
(Aruba6000AC1) (config) #ap-group default
(Aruba6000AC1) (AP group "ht-dot1x") #virtual-ap open-vap
(Aruba6000AC1) (AP group "ht-dot1x") #exit
随意更改IP地址的防护

(Aruba6000AC1) (config) #aaa profile ht-dot1x-aaa-profile
(Aruba6000AC1) (AAA Profile "ht-dot1x-aaa-profile") # enforce-dhcp  
//只能使用DHCP下发的IP地址

私设DHCP服务器的防护
 

(Aruba6000AC1) (config) #ip access-list session nodhcp
(Aruba6000AC1) (config-access-list) #user any udp 68 deny
                 //拒绝无线用户发往任何UDP 68的报文,调用到用户的角色下
user-role guest
 access-list session nodhcp
 access-list session http-acl
 access-list session https-acl
 access-list session dhcp-acl
 access-list session icmp-acl
 access-list session dns-acl
 access-list session v6-http-acl
 access-list session v6-https-acl
 access-list session v6-dhcp-acl
 access-list session v6-icmp-acl
 access-list session v6-dns-acl

 
客户端要求
1)支持WPA/WPA2的无线网卡;
2)完成证书的安装和EAP-TLS等配置
 
在以太网卡的连接属性中选择“Authentication→Enable IEEE 802.1x authentication for this network”,EAP type选为“智能卡或其它证书”,勾选“Authenticate as computer when computer information is available”,然后再点Properties,在EAP属性窗口中选择“Validate server certificate”,同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA,这里为ca,Authentication Method选成“Secure password (EAP-MSCHAP v2)”。再点Configure按钮确保“Automatically use my Windows logon name and password (and domain if any)”选项已被选中;
 

 

以上是图例:
选择XX企业内部的CA Server。
 
1:用户可以通过CA认证成功,并能进行正确的vlan授权。(第一次将无线网卡的认证配置完成后之后零配置)
2:用户不能手动随更改IP地址。(类似于IP Source Guard技术)
3:用户私设DHCP Server后,其它用户不会从其获取地址。(因为我们已经拒绝了无线端客户的DHCPoffer报文)
 
备注:限于篇幅,服务器的安装与配置以及一些细节方面的内容本文省略,详见附件,如有问题也可留言,希望能与大家一起讨论。