目前现场想要实现:使用iMC对接LDAP,想要实现同一ssid下不同用户根据域属性接入到不同的vlan来实现控制
比如说用户A和用户B都接入无线:wifi-of,用户A获取vlan1的地址,用户B获取vlan2的地址。麻烦各位大佬提供一些案例
(0)
最佳答案
您好,参考
wlan service-template fwmb //服务模版
lient forwarding-location ap vlan 662 to 669
vlan-group XXX //创建VLAN组
vlan-list 662 664 667 669 //662这些是vlan号
ap-model WA2610H //AP型号
radio 1 //进入 射频口1
service-template fwmb vlan-group XXX // fwmb是服务模版 XXX是对应上面的vlan-group
(0)
IMC上的配置呢?这只是AC上的配置啊,这样配置了怎么来区分终端用户呢?
这个功能需要认证时radius服务器的回包,不同用户携带某个授权属性的不同value。
这个授权属性可以是很多种,一下以Framed-AppleTalk-Zone为例。Framed-AppleTalk-Zone的value是一串字符,不是数字。
在radius服务器用用户配置不同的Framed-AppleTalk-Zone属性值后。
首先在radius scheme中配置属性转换:
#
radius scheme dot1x
primary authentication xxx
primary accounting xxx
accounting-on enable
accounting-on extended
key authentication cipher $c$3$u2v6ya9HDgCcdcI6oG9yPbz49UHgzQ==
key accounting cipher $c$3$92LcqiEtIifEDHZDfjued5D0FJfbHA==
user-name-format without-domain
attribute translate
attribute 182 vendor-id 25506 vlan
attribute convert Framed-AppleTalk-Zone to H3C-Microsegment-Id access-accept
#
配置后,认证时radius服务器回包的Framed-AppleTalk-Zone会转化为AC上的H3C-Microsegment-Id属性,能自动找到匹配的vlan-group。 ALUMNI/STAFF/STUDENT是radius配置的用户Framed-AppleTalk-Zone的value。
#
vlan-group ALUMNI
vlan-list 813 #匹配这个value,进入这个vlan
#
vlan-group STAFF
vlan-list 810 to 811
#匹配这个value,随机进入其中一个vlan
#
vlan-group STUDENT
vlan-list 43 to 44
#
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
IMC上的配置呢?这只是AC上的配置啊,这样配置了怎么来区分终端用户呢?