需求：
1、全網(wǎng)WIFI實現(xiàn)802.1X認證
2、AC實現(xiàn)在線用戶顯示為AD成員，非IP地址，對AD成員進行管控及策略下發(fā)
3、AD組成員部門與部門之間實現(xiàn)網(wǎng)絡(luò)隔離
4、建立無線網(wǎng)絡(luò)802.1x認證逃生機制

站在用戶的角度思考問題，與客戶深入溝通，找到滴道網(wǎng)站設(shè)計與滴道網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：成都網(wǎng)站制作、成都網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、空間域名、網(wǎng)頁空間、企業(yè)郵箱。業(yè)務(wù)覆蓋滴道地區(qū)。

WLC:10.100.250.1
Aglie:10.100.246.47

1、全網(wǎng)WIFI實現(xiàn)802.1X認證
HUAWEI_S12708屬于敏捷系列交換機，融合了有線無線技術(shù)，所以本案例無線控制器配置均在交換機底層配置
網(wǎng)絡(luò)部分：
authentication unified-mode --交換機切換成統(tǒng)一模式，切換完成后重啟生效

interface vlan 122
ip address 10.100.122.1 255.255.254.0
dhcp select global

ip pool vlan122
gateway-list 10.100.122.1
network 10.100.122.0 mask 255.255.254.0
lease day 0 hour 8 minute 0
dns-list 10.100.246.10 10.100.246.20

radius-server template JC_OFFICE
radius-server shared-key cipher huawei@123
radius-server authentication 10.100.246.47 1812 source ip-address 10.100.250.1
radius-server accounting 10.100.246.47 1813 source ip-address 10.100.250.1

radius-server authorization 10.100.246.47 shared-key ciphe huwei@123

aaa
authentication-scheme JC_OFFICE
authentication-mode radius none

accounting-scheme JC_OFFICE
accounting-mode radius
accounting realtime 15

domain JC_OFFICE
authentication-scheme JC_OFFICE
accounting-scheme JC_OFFICE
radius-server JC_OFFICE

authentication-profile name 802.1x
dot1x-access-profile JC_OFFICE
access-domain JC_OFFICE
access-domain JC_OFFICE force

無線部分：
wlan
[S12700] wlan ac-global country-code cn --配置AC的國家碼，使AC管理的AP的射頻特性符合不同國家或區(qū)域的法律法規(guī)要求，國家碼缺省值為CN
Warning: Modifying the country code will clear channel configurations of the AP radio using the country code and reset the AP. If the
new country code does not support the radio, all configurations of the radio are cleared. Continue?[Y/N]:y
[S12700] wlan ac-global ac id 1 carrier id other --AC ID缺省為0，修改為1

capwap source interface vlanif250 --AP管理IP vlan

rrm-profile name jc
calibrate auto-txpower-select disable
smart-roam enable
smart-roam roam-threshold snr 25

radio-2g-profile name radio-2g
rrm-profile jc

radio-5g-profile name radio-5g
rrm-profile jc

traffic-profile name JC_OFFICE

security-profile name JC_OFFICE
security wpa-wpa2 dot1x aes

ssid-profile name JC_OFFICE
ssid JC_OFFICE
max-sta-number 255

vap-profile name JC_OFFICE
forward-mode tunnel
service-vlan vlan-id 999
ssid-profile JC_OFFICE
security-profile JC_OFFICE
traffic-profile JC_OFFICE
authentication-profile 802.1x

ap-group name JC
radio 0
radio-2g-profile radio-2g
vap-profile JC_OFFICE wlan 1
eirp 15
radio 1
radio-5g-profile radio-5g
vap-profile JC_OFFICE wlan 1
eirp 18

ap-id 1 type-id 75 ap-mac C4FF-1FF5-ECA0 --AP MAC
ap-name 6#1
ap-group 6#6F

Agile Contrller部分：
參考手冊結(jié)合實際環(huán)境需求實施，本案列就不介紹

2、AC實現(xiàn)在線用戶顯示為AD成員，非IP地址，對AD成員進行管控及策略下發(fā)
網(wǎng)絡(luò)部分：
將交換機與Radius服務(wù)器流量口鏡像至AC設(shè)備
interface XGigabitEthernet1/7/0/46
description to neiwang_FW
port-mirroring to observe-port 2 inbound
port-mirroring to observe-port 2 outbound
observe-port 2 interface GigabitEthernet1/2/0/45 --這個口為直連AC口

AC部分：
1、配置LDAP服務(wù)器：

2、配置LDAP服務(wù)器參數(shù)：

3、完成后在用戶管理，組/用戶 里面會顯示AD成員信息：

4、配置radius認證服務(wù)器：

5、啟用radius單點登錄：

6、配置鏡像口：

7、配置單點登錄 認證策略：

8、配置單點登錄 認證策略：

9、配置單點登錄 認證策略：

10、在線用戶顯示AD成員的效果：

11、上網(wǎng)策略審計：


12、上網(wǎng)策略審計：

3、AD組成員部門與部門之間實現(xiàn)網(wǎng)絡(luò)隔離
華為Agile Controller 與華為敏捷系列交換機集成可以通過controller的業(yè)務(wù)隨行功能，配置XMPP，實現(xiàn)AD成員之間網(wǎng)絡(luò)隔離
Agile Controller部分：
1、建立設(shè)備：

2、配置XMPP參數(shù)：

3、定義動態(tài)安全組：

4、以一個部門做實例：

5、定義動態(tài)安全組內(nèi)網(wǎng)配置：

6、配置完成后，準入控制--認證授權(quán)--規(guī)則和結(jié)果會自動生成：

7、配置業(yè)務(wù)隨行組：

8、配置業(yè)務(wù)隨行參數(shù)：

9、定義業(yè)務(wù)隨行組策略

10、以一個部門做實例：

11、策略完成后，安全組全網(wǎng)部署

12、策略完成后，業(yè)務(wù)隨行訪問控制策略全網(wǎng)部署

網(wǎng)絡(luò)部分：
group-policy controller 10.100.246.47 password huawei@123 src-ip 10.100.250.1

display group-policy status --查看與Agile Controller-Campus連接狀態(tài)
display ucl-group all --查看安全組
display acl all --查看訪問權(quán)限控制策略

4、建立無線網(wǎng)絡(luò)802.1x認證逃生機制
authentication-scheme JC_OFFICE
authentication-mode radius none

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當前題目：HUAWEI無線部署802.1認證-創(chuàng)新互聯(lián)
網(wǎng)頁路徑：http://weahome.cn/article/dppgig.html