需求：
1、全网WIFI实现802.1X认证
2、AC实现在线用户显示为AD成员，非IP地址，对AD成员进行管控及策略下发
3、AD组成员部门与部门之间实现网络隔离
4、建立无线网络802.1x认证逃生机制

WLC:10.100.250.1
Aglie:10.100.246.47

1、全网WIFI实现802.1X认证
HUAWEI_S12708属于敏捷系列交换机，融合了有线无线技术，所以本案例无线控制器配置均在交换机底层配置
网络部分：
authentication unified-mode --交换机切换成统一模式，切换完成后重启生效

interface vlan 122
ip address 10.100.122.1 255.255.254.0
dhcp select global

ip pool vlan122
gateway-list 10.100.122.1
network 10.100.122.0 mask 255.255.254.0
lease day 0 hour 8 minute 0
dns-list 10.100.246.10 10.100.246.20

radius-server template JC_OFFICE
radius-server shared-key cipher huawei@123
radius-server authentication 10.100.246.47 1812 source ip-address 10.100.250.1
radius-server accounting 10.100.246.47 1813 source ip-address 10.100.250.1

radius-server authorization 10.100.246.47 shared-key ciphe huwei@123

aaa
authentication-scheme JC_OFFICE
authentication-mode radius none

accounting-scheme JC_OFFICE
accounting-mode radius
accounting realtime 15

domain JC_OFFICE
authentication-scheme JC_OFFICE
accounting-scheme JC_OFFICE
radius-server JC_OFFICE

authentication-profile name 802.1x
dot1x-access-profile JC_OFFICE
access-domain JC_OFFICE
access-domain JC_OFFICE force

无线部分：
wlan
[S12700] wlan ac-global country-code cn --配置AC的国家码，使AC管理的AP的射频特性符合不同国家或区域的法律法规要求，国家码缺省值为CN
Warning: Modifying the country code will clear channel configurations of the AP radio using the country code and reset the AP. If the
new country code does not support the radio, all configurations of the radio are cleared. Continue?[Y/N]:y
[S12700] wlan ac-global ac id 1 carrier id other --AC ID缺省为0，修改为1

capwap source interface vlanif250 --AP管理IP vlan

rrm-profile name jc
calibrate auto-txpower-select disable
smart-roam enable
smart-roam roam-threshold snr 25

radio-2g-profile name radio-2g
rrm-profile jc

radio-5g-profile name radio-5g
rrm-profile jc

traffic-profile name JC_OFFICE

security-profile name JC_OFFICE
security wpa-wpa2 dot1x aes

ssid-profile name JC_OFFICE
ssid JC_OFFICE
max-sta-number 255

vap-profile name JC_OFFICE
forward-mode tunnel
service-vlan vlan-id 999
ssid-profile JC_OFFICE
security-profile JC_OFFICE
traffic-profile JC_OFFICE
authentication-profile 802.1x

ap-group name JC
radio 0
radio-2g-profile radio-2g
vap-profile JC_OFFICE wlan 1
eirp 15
radio 1
radio-5g-profile radio-5g
vap-profile JC_OFFICE wlan 1
eirp 18

ap-id 1 type-id 75 ap-mac C4FF-1FF5-ECA0 --AP MAC
ap-name 6#1
ap-group 6#6F

Agile Contrller部分：
参考手册结合实际环境需求实施，本案列就不介绍

2、AC实现在线用户显示为AD成员，非IP地址，对AD成员进行管控及策略下发
网络部分：
将交换机与Radius服务器流量口镜像至AC设备
interface XGigabitEthernet1/7/0/46
description to neiwang_FW
port-mirroring to observe-port 2 inbound
port-mirroring to observe-port 2 outbound
observe-port 2 interface GigabitEthernet1/2/0/45 --这个口为直连AC口

AC部分：
1、配置LDAP服务器：

2、配置LDAP服务器参数：

3、完成后在用户管理，组/用户 里面会显示AD成员信息：

4、配置radius认证服务器：

5、启用radius单点登录：

6、配置镜像口：

7、配置单点登录 认证策略：

8、配置单点登录 认证策略：

9、配置单点登录 认证策略：

10、在线用户显示AD成员的效果：

11、上网策略审计：


12、上网策略审计：

3、AD组成员部门与部门之间实现网络隔离
华为Agile Controller 与华为敏捷系列交换机集成可以通过controller的业务随行功能，配置XMPP，实现AD成员之间网络隔离
Agile Controller部分：
1、建立设备：

2、配置XMPP参数：

3、定义动态安全组：

4、以一个部门做实例：

5、定义动态安全组内网配置：

6、配置完成后，准入控制--认证授权--规则和结果会自动生成：

7、配置业务随行组：

8、配置业务随行参数：

9、定义业务随行组策略

10、以一个部门做实例：

11、策略完成后，安全组全网部署

12、策略完成后，业务随行访问控制策略全网部署

网络部分：
group-policy controller 10.100.246.47 password huawei@123 src-ip 10.100.250.1

display group-policy status --查看与Agile Controller-Campus连接状态
display ucl-group all --查看安全组
display acl all --查看访问权限控制策略

4、建立无线网络802.1x认证逃生机制
authentication-scheme JC_OFFICE
authentication-mode radius none