知

WX系列AC本地Portal用户访问权限控制功能的配置

2012-05-22 发表

0关注
0收藏 2024浏览

粉丝：人关注：人

WX系列AC本地Portal用户访问权限控制功能的配置

一、组网需求：

WX系列AC、FIT AP、交换机、便携机（安装有无线网卡）、DHCP Server

二、组网图：

本配置举例中的AC使用的是WX5004无线控制器（IP地址为85.3.1.220/24）。Client和AP通过DHCP服务器（IP地址为10.18.1.254/24）获取IP地址。AC与AP通过二层交换机相连，配置AC采用本地Portal方式认证来访的来宾用户。

三、特性介绍：

基于Portal用户下发ACL的方式，实现对不同无线用户在无线接入网络中的访问权限控制，确保来宾用户只能访问特定授权的网页，保护公司内部信息的安全。

通过本设置，可以控制来宾用户的访问权限。当一个外部来宾来到公司，可以通过无线网络访问公司的一些对外资源，但是涉及公司内部的网络资源是禁止访问的。

四、主要配置步骤：

AC配置：

# 配置VLAN接口及其IP地址。

[AC] vlan 10

[AC-vlan10] quit

[AC] interface Vlan-interface 10

[AC-Vlan-interface10] ip address 100.10.1.54 255.255.0.0

[AC-Vlan-interface10] quit

[AC] interface Vlan-interface 1

[AC-Vlan-interface1] ip address 100.1.1.54 255.255.0.0

[AC-Vlan-interface1] quit

# 配置GE1/0/1和GE1/0/2加入VLAN。

[AC] interface GigabitEthernet 1/0/1

[AC-GigabitEthernet1/0/1] port hybrid vlan 1 to 10 tagged

[AC-GigabitEthernet1/0/1] quit

[AC] interface GigabitEthernet 1/0/2

[AC-GigabitEthernet1/0/2] port hybrid vlan 1 to 10 tagged

[AC-GigabitEthernet1/0/2] quit

# 配置到Radius服务器的静态路由。

[AC] ip route-static 0.0.0.0 0 100.1.1.254

# 配置认证域

[AC] radius scheme acs

[AC-radius-acs] primary authentication 8.100.0.4 key cipher testkey

[AC-radius-acs] quit

[AC] domain acs

[AC-isp-acs] authentication lan-access radius-scheme acs

[AC-isp-acs] authorization lan-access none

[AC-isp-acs] accounting lan-access none

[AC-isp-acs] quit

# 开启端口安全，配置EAP认证方式。

[AC] port-security enable

[AC] dot1x authentication-method eap

# 配置WLAN-ESS接口。

[AC] interface WLAN-ESS10

[AC-WLAN-ESS10] port link-type hybrid

[AC-WLAN-ESS10] port hybrid pvid vlan 10

[AC-WLAN-ESS10] mac-vlan enable

# 配置端口安全为802.1X方式

[AC-WLAN-ESS10] port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS10] undo dot1x handshake

[AC-WLAN-ESS10] undo dot1x multicast-trigger

[AC-WLAN-ESS10] dot1x mandatory-domain acs

[AC-WLAN-ESS10] quit

# 在AC上配置动态WEP方式加密的无线服务

[AC] wlan service-template 11 crypto

[AC-wlan-st-11] ssid dweptest

[AC-wlan-st-11] bind WLAN-ESS 10

[AC-wlan-st-11] cipher-suite wep104

[AC-wlan-st-11] wep mode dynamic

[AC-wlan-st-11] service-template enable

[AC-wlan-st-11] quit

# 在AC的AP视图下配置AP名称为wa2210，型号名称这里选择WA2210-AG。请根据AP的实际型号和序列号进行配置。

[AC] wlan ap wa2210 model WA2210-AG

[AC-wlan-ap-wa2210] serial-id 210235A22W0079000278

# 进入AP的radio1射频视图，配置服务模板与射频1进行关联，使能AP的radio 1射频。

[AC-wlan-ap-wa2210] radio 1

[AC-wlan-ap-wa2210-radio-1] service-template 11 vlan-id 10

[AC-wlan-ap-wa2210-radio-1] radio enable

[AC-wlan-ap-wa2210-radio-1] quit

[AC-wlan-ap-wa2210] quit

# 配置本地portal server。

[AC] portal server local ip 85.3.1.220

[AC] portal local-server http

# 配置portal用户的认证域

[AC] domain system

[AC-isp-system] authentication portal local

[AC-isp-system] authorization portal local

# 创建VLAN接口，并启用portal，指定portal认证域。

[AC] interface Vlan-interface 10

[AC-Vlan-interface10] ip address 85.3.1.220

[AC-Vlan-interface10] portal server local method direct

[AC-Vlan-interface10] portal domain system

# 创建WLAN-ESS接口，并配置VLAN。

[AC] interface WLAN-ESS 2

[AC-WLAN-ESS2] port access vlan 10

# 配置无线服务，创建clear类型的服务模板，配置当前服务模板的SSID为portal。

[AC] wlan service-template 3

[AC-wlan-st-3] ssid portal

# 将WLAN-ESS接口绑定到服务模板，并使能无线模板。

[AC-wlan-st-3] bind WLAN-ESS 2

[AC-wlan-st-3] service-template enable

# 创建AP模板，其名称为ap22，型号名称这里选择WA2220E-AG。（注意：AP的配置需要根据具体AP的型号和序列号进行配置）

[AC] wlan ap ap22 model WA2220E-AG

# 设置AP的序列号为210235A29F007C000182。

[AC-wlan-ap-ap22] serial-id 210235A29F007C000182

# 进入radio2射频视图，将服务模板与射频关联，并使能AP射频。

[AC-wlan-ap-ap22] radio 2

[AC-wlan-ap-ap22-radio-2] service-template 3

[AC-wlan-ap-ap22-radio-2] radio enable

[AC-wlan-ap-ap22-radio-2] quit

[AC-wlan-ap-ap22] quit

# 配置ACL（此ACL不能包含基于源地址的规则）。

[AC] acl number 3322

[AC-acl-adv-3322] rule 0 permit ip destination 8.1.1.16 0

[AC-acl-adv-3322] rule 5 permit ip destination 8.1.1.20 0

[AC-acl-adv-3322] rule 10 deny ip

# 创建来宾用户，设置来宾用户密码、服务类型、过期时间、用户角色和授权ACL。

[AC] local-user guest

[AC-luser-guest] password simple guest

[AC-luser-guest] service-type portal

[AC-luser-guest] expiration-date 18:00:00-2011/1/31

[AC-luser-guest] authorization-attribute user-role guest

[AC-luser-guest] authorization-attribute acl 3322

五、结果验证：

（1）使用命令行display portal user all查看是否有用户在线。

display portal user all

Index:1919

State:ONLINE

SubState:NONE

ACL:3322

Work-mode:stand-alone

MAC IP Vlan Interface

----------------------------------------------------------------------------

001e-c144-472e 85.3.1.100 10 Vlan-interface10

Total 1 user(s) matched, 1 listed.

（2）通过命令行display connection ucibindex查看用户连接的详细信息。

dis connection ucibindex 1919

Index=1919, Username=guest@system

MAC=00-1E-C1-44-47-2E

IP=85.3.1.100

IPv6=N/A

Access=PORTAL ,AuthMethod=PAP

Port Type=Wireless-802.11,Port Name=Vlan-interface10

Initial VLAN=10, Authorization VLAN=10

ACL Group=3322

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2011-01-30 10:20:03 ,Current=2011-01-30 10:27:19 ,Online=00h07m16s

Total 1 connection matched.

（3）通过ping命令可以验证用户的访问权限，可以看到用户只能访问被授权的地址，其他地址不允许访问。

D:\>ping 8.1.1.16

Pinging 8.1.1.16 with 32 bytes of data:

Reply from 8.1.1.16: bytes=32 time<1ms TTL=254

D:\>ping 8.1.1.20

Pinging 8.1.1.20 with 32 bytes of data:

Reply from 8.1.1.20: bytes=32 time<1ms TTL=254

D:\>ping 8.1.1.22

Pinging 8.1.1.22 with 32 bytes of data:

Request timed out.

Request timed out.

若您有关于案例的建议，请反馈：

作者在2019-06-11对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

WX系列AC本地Portal用户访问权限控制功能的配置

编辑评论

提出建议