iMC BYOD解决方案中关于根据不同终端MAC地址分配不同IP地址的典型配置
一、 组网需求:
很多网络环境中,需要根据不同的终端MAC分配不同的IP地址,以解决信息安全的某种需求。H3C iMC BYOD解决方案提供了便捷灵活的接入场景策略,可以满足针对不同终端MAC分配不同IP地址的需求,同时还可以利用BYOD本身的丰富特性更加合理的管理各种终端。
二、 组网图:
图1 组网图
具体说明如下:
BYOD Server:IP地址为172.16.0.9,测试软件版本为iMC PLAT 5.2 E0401H03+iMC UAM 5.2 E0402P05
DHCP/DNS Server:案例中跟BYOD Server为同一台服务器(实际项目中建议为单独的服务器),划分三个地址池,分别为私网网段地址池9.9.9.0/24、办公网网段地址池10.10.10.0/24。
三、 配置步骤:
案例中服务器区的服务器与AC网络可达。终端通过SSID yonyoubyod接入无线网络。测试中以两台PC(PCA和PCB)作为测试点。在AC上配置MAC地址认证。
PCA首次接入无线网络,后台自动去往BYOD Server完成MAC认证,DHCP根据BYOD Server上的策略为PCA分配9.9.9.0/24的IP地址。PCA重定向到BYOD界面完成终端注册,关联已知帐号pca,DHCP根据注册后策略重新为其分配10.10.10.0/24网段地址。
办公PCB首次接入无线网络,后台自动去往BYOD Server完成MAC认证,BYOD Server事先导入PCB MAC地址和已知帐号pcb绑定,BYOD Server根据MAC地址判断该终端合法性,根据策略配合DHCP为其分配10.10.10.0/24地址。
具体配置如下:
1. 首先完成DHCP/DNS Server的配置,规划好各类地址池。
2. 完成AC的配置:
[AC]
#
version 5.20, Release 3111P12
#
sysname AC
#
dhcp relay server-group 1 ip 172.16.0.9
#
domain default enable ead
#
telnet server enable
#
port-security enable
#
mac-authentication domain byod
#
sysnetid AC
#
oap management-ip 192.168.0.101 slot 0
#
wlan auto-ap enable
#
vlan 1
#
vlan 8 to 11
#
vlan 172
#
radius scheme byod
server-type extended
primary authentication 172.16.0.9
primary accounting 172.16.0.9
key authentication 123
key accounting 123
#
domain byod
authentication lan-access radius-scheme byod
authorization lan-access radius-scheme byod
accounting lan-access radius-scheme byod
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
dhcp server ip-pool ap
network 8.8.8.0 mask 255.255.255.0
gateway-list 8.8.8.254
#
user-group system
#
local-user admin
password simple admin
authorization-attribute level 3
service-type telnet
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54
#
wlan service-template 1 clear
ssid yonyoubyod
bind WLAN-ESS 1
service-template enable
#
interface NULL0
#
interface Vlan-interface1
#
interface Vlan-interface8
ip address 8.8.8.254 255.255.255.0
#
interface Vlan-interface9
description 隔离IP
ip address 9.9.9.1 255.255.255.0
dhcp select relay
dhcp relay server-select 1
#
interface Vlan-interface10
description 公网IP
ip address 10.10.10.1 255.255.255.0
dhcp select relay
dhcp relay server-select 1
portal server ead method direct
#
interface Vlan-interface172
ip address 172.16.0.254 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
#
interface WLAN-ESS1
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 9 untagged
port hybrid pvid vlan 9
mac-vlan enable
port-security port-mode mac-authentication
#
wlan ap ap1 model WA2220-AG id 1
serial-id 210235A29E0087000090
radio 1
service-template 1
radio enable
radio 2
service-template 1
radio enable
#
dhcp enable
#
load xml-configuration
#
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
#
return
3. BYOD Server配置
1) 登录BYOD Server界面,点击【业务】|【用户接入管理】|【业务参数配置】|【系统配置】|【BYOD系统参数配置】,选择“启用快速认证功能”。另外,单帐号最多MAC数等其他业务参数根据实际业务需求进行调整。
2) 在【业务】|【用户接入管理】|【接入场景管理】|【接入MAC地址组管理】中增加/批量导入PCB及其他测试终端的MAC地址。预留PCA的MAC地址(24:77:03:90:ED:18)不导入。
图2 接入MAC地址组
3) 创建匿名接入规则、Portal接入规则。其中匿名接入规则指定下发VLAN9(和DHCP私网网段9.9.9.0/24关联),Portal接入规则下发VLAN10(和DHCP办公网网段10.10.10.0/24关联)。
图3 匿名接入规则配置
图4 Portal接入规则配置
4) 创建服务。注册前服务名为:初次入网服务,注册后服务名为:办公帐号服务。
图5 创建服务
具体每个服务的配置如下:
对于“初次入网服务”,引用缺省接入规则“匿名接入规则”,同时在接入策略列表中增加名为“办公PC免注册”的接入场景,其中“办公PC免注册”场景里引入“办公PC”的接入MAC地址组和“Portal接入规则”。此配置表示,当终端MAC地址属于“办公PC”这个MAC地址组时,按照“Portal接入规则”策略为终端下发VLAN10;当终端(例如智能终端或访客PC)MAC地址不属于“办公PC”这个MAC地址组时,按照缺省接入规则“匿名接入规则”为其下发VLAN9。
图6 初次入网服务的配置
图7 办公帐号服务的配置
5) 添加作MAC认证的接入设备即AC的IP地址及相关Radius参数
图8 在BYOD Server上添加接入设备
6) 创建帐号
在BYOD Server上需创建测试用的pca和公共帐号byodanonymous,pca帐号关联“办公帐号服务”,byodanonymous关联“初次入网服务”。由于配置策略免去终端PCB注册过程,因此pcb帐号无需在BYOD Server上创建。
图9 帐号列表
7) 测试结果如下:
当终端PCA(MAC地址:24:77:03:90:ED:18)连接无线SSID yonyoubyod时,BYOD Server自动完成MAC认证,终端PCA对此无感知,管理员在BYOD Server(IP地址:172.16.0.9)的在线用户列表中可看到公共帐号byodanonymous在线。如图10所示,登录名为24770390ED18@byod,表明该帐号是通过MAC认证上线,该用户使用服务为“初次入网服务”,用户所属VLAN为VLAN9,IP地址为9.9.9.4,用户MAC地址为24:77:03:90:ED:18。
图10 PCA使用公共帐号初次入网时的在线状态
如图11所示,对于未注册终端,用户访问其他页面时会被重定向到BYOD界面完成终端注册,PCA终端选择访问方式为“使用已存在帐号访问”,输入已知帐号pca和密码,确定后即可完成终端注册。
图11 BYOD注册页面
如图12所示,注册后在BYOD界面上可看到该终端的基本信息。
图12 PCA注册成功后的BYOD界面
此时,BYOD Server会根据该终端注册时关联的已知帐号pca所绑定的策略,重新给终端PCA下发VLAN10,如图13所示,终端PCA获得一个新的IP地址10.10.10.3。
图13 终端PCA的网卡信息
此时在BYOD Server(IP地址:172.16.0.9)的在线用户列表中会看到终端PCA已经使用已知帐号pca在线了。如图14所示,且pca使用的服务为“办公帐号服务”,用户所属VLAN为VLAN10,IP地址为10.10.10.3,用户MAC地址为24:77:03:90:ED:18。
图14 终端PCA注册之后的BYOD Server在线状态
当终端PCB(MAC地址:00:24:D6:9A:5E:D6)连接无线SSID yonyoubyod时,BYOD Server自动完成MAC认证,终端PCB对此无感知,管理员在BYOD Server(IP地址:172.16.0.9)的在线用户列表中可看到公共帐号byodanonymous在线,如图15所示,使用的服务为“初次入网服务”,用户所属VLAN为VLAN10,IP地址为10.10.10.2,用户MAC地址为00:24:D6:9A:5E:D6。
图15 BYOD Server上的在线信息
四、 配置关键点:
1. BYOD参数设置需符合实际需求。
2. 访客参数设置需符合实际需求。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作