IMC认证通过用户名拿到指定地址
- 0关注
- 0收藏,62浏览
可以的。通过 H3C iMC 的 RADIUS 动态 VLAN 下发功能,完全可以在不绑定 MAC 地址的情况下,让连接同一个 SSID 的研发和财务人员,通过账号认证拿到各自对应的网段 IP。
🎯 方案核心:RADIUS 动态 VLAN 下发
这个功能的核心在于“认证后授权”。当用户连接 Wi-Fi 并输入账号密码时,无线控制器(AC)会向 iMC 发起 RADIUS 认证请求。iMC 在验证用户身份后,会通过 RADIUS 的 Tunnel-Private-Group-ID 属性,告诉 AC 该用户属于哪个 VLAN。AC 收到这个指令后,就会将这个用户的流量划分到指定的 VLAN 中,从而从对应的 DHCP 服务器获取 IP 地址。
要实现这个目标,关键在于 iMC 和 AC 的配合配置,具体步骤如下:
1. AC 侧配置:对接认证并启用动态 VLAN
在 AC 上,需要确保 RADIUS 方案配置正确,并启用动态 VLAN 功能。
配置 RADIUS 方案:指定 iMC 服务器的 IP 地址、端口和共享密钥,并配置用户名格式(
without-domain或with-domain)。配置认证域:创建一个 ISP 域,并在此域下关联前面配置的 RADIUS 方案。
配置无线服务模板:创建服务模板,指定 SSID,关键步骤是将认证模式设置为 802.1X 或 Portal,并在该模板下开启 VLAN 下发功能(例如
client vlan-alloc dynamic)。
2. iMC 侧配置:实现用户和 VLAN 的关联
iMC 承担了“策略中心”的角色,需要将用户、VLAN 和服务关联起来。
配置接入设备:添加 AC 作为接入设备,并设置共享密钥(须与 AC 侧一致)。
配置接入策略:为研发和财务部门创建不同的“接入策略”。在“下发 VLAN”字段中,分别填写各自对应的 VLAN ID(例如研发 VLAN 100,财务 VLAN 200)。
配置接入服务:创建服务,关联刚刚配置的接入策略。可以为研发和财务分别创建不同的服务,或将两者绑定到一个服务。
配置接入用户:创建用户(如
yanfa01和caiwu01),设置密码,并为其分配对应的“接入服务”。
3. 使用 VLAN Pool 实现更灵活的分配
除了精准分配,iMC 还支持配置 VLAN Pool(VLAN 池),从池中自动分配一个 VLAN 给用户-。如果需要,可以提前在 AC 或交换机上创建 VLAN Pool。
⚙️ 配置示例参考
AC 侧命令行(CLI)配置示例
[H3C-radius-imc] primary authentication 10.0.0.1 1812
[H3C-radius-imc] primary accounting 10.0.0.1 1813
[H3C-radius-imc] key authentication cipher your_key
[H3C-radius-imc] key accounting cipher your_key
[H3C-radius-imc] user-name-format without-domain
# 2. 创建ISP域,关联RADIUS方案
[H3C] domain h3c.com
[H3C-isp-h3c.com] authentication lan-access radius-scheme imc
[H3C-isp-h3c.com] authorization lan-access radius-scheme imc
[H3C-isp-h3c.com] accounting lan-access radius-scheme imc
# 3. 配置无线服务模板
[H3C] wlan service-template 1
[H3C-wlan-st-1] ssid Company-WiFi
[H3C-wlan-st-1] vlan 1
[H3C-wlan-st-1] client vlan-alloc dynamic
# 关键配置:启用动态VLAN分配
[H3C-wlan-st-1] akm mode dot1x
# 以802.1X认证为例
[H3C-wlan-st-1] security-ie rsn
[H3C-wlan-st-1] cipher-suite ccmp
[H3C-wlan-st-1] service-template enable
iMC 侧 Web 配置步骤(Portal 认证为例)
登录 iMC 管理平台,进入 用户 > 接入策略管理 > 接入策略。
创建策略:例如“研发策略”,在“VLAN下发”框中填写 VLAN 100;再创建“财务策略”,填写 VLAN 200。
进入 接入服务,创建服务,并关联对应的接入策略。
进入 接入用户,创建用户,并为其分配对应的服务。
📊 方案对比与选型建议
下表总结了两种主要方案及其适用场景,方便你选择:
| 方案 | 简介 | 特点 | 适用场景 |
|---|---|---|---|
| RADIUS 动态 VLAN 下发 | 推荐方案。由 iMC 服务器根据用户账号信息,将用户动态划分到特定 VLAN。 | 精准、灵活,用户组间天然二层隔离,安全可控。 | 研发、财务等对安全要求高的部门间必须隔离的场景。 |
| VLAN Pool | AC 或交换机配置一个 VLAN 池,用户认证时从池中随机或顺序分配一个 VLAN。 | 实现负载分担,但无法区分用户组。 | 将大量终端均衡地分配到不同网段,不关心用户身份的场景。 |
⚠️ 关键注意事项
转发模式:在 集中转发 模式下,VLAN 标签在 AC 上终结;在 本地转发 模式下,需确保 AP 上联的交换机 Trunk 口允许了所有相关 VLAN 通过。
认证方式:本方案与认证方式无关,802.1X 和 Portal 均可。
网络可达性:确保 AC 与 iMC 服务器之间网络畅通,防火墙开放了 RADIUS 端口(默认认证 1812,计费 1813)。
地址管理:相关 VLAN 的 DHCP 服务必须配置正确,并能被客户端访问到。
1. IMC侧:创建研发、财务用户分组,分别绑定对应准入策略,给两个分组下发不同的**授权VLAN**属性,分别对应研发、财务网段的VLAN ID。
2. 网络侧:该SSID的服务模板配置802.1X/Portal认证,放通两个授权VLAN;核心/DHCP服务器为两个VLAN配置独立地址池即可,无需MAC绑定。
AC侧关键配置参考:
wlan service-template 1
ssid [实际SSID名]
client-security authentication-mode dot1x // 选Portal则改对应模式
vlan enable // 确保授权VLAN生效,默认已启用
暂无评论
一、整体实现思路
- 无线只配置 1 个 SSID,不绑定 VLAN
- 接入服务用 802.1X 或 Portal 认证
- 在 IMC 中:
- 研发用户 → 下发 VLAN 10(192.168.10.0/24)
- 财务用户 → 下发 VLAN 20(192.168.20.0/24)
- AC 收到 IMC 下发的 VLAN,自动把用户放到对应 VLAN 里
- 不同 VLAN 走不同 DHCP,拿到不同网段地址
二、IMC 侧配置(关键)
1. 新建两个「接入策略」
- 策略名:
研发-VLAN10- 授权信息 → VLAN ID:
10
- 授权信息 → VLAN ID:
- 策略名:
财务-VLAN20- 授权信息 → VLAN ID:
20
- 授权信息 → VLAN ID:
2. 新建两个「用户组」
- 研发用户组 → 绑定接入策略
研发-VLAN10 - 财务用户组 → 绑定接入策略
财务-VLAN20
3. 对应用户加入对应组
- 研发账号 → 加入研发组
- 财务账号 → 加入财务组
同一 SSID 下,不同用户登录,就会拿到不同 VLAN 和 IP。
三、AC 侧配置要点
- SSID 服务模板下:
- 不配置
service-template vlan - 启用 802.1X 或 Portal
- 不配置
- 域模板指向 IMC Radius
- AC 上允许 VLAN 10、20 透传
- 对应的三层接口 / DHCP 正常配置
四、你关心的重点
- 同一个 SSID ✅
- 不用 MAC 绑定 ✅
- 不同账号 → 不同网段 ✅
- 研发 / 财务互相隔离(靠 VLAN 隔离)✅
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论