各位,如现场只有无线控制器,没有认证服务平台的情况下,要实现在同一个无线网络下,部分客户端可以上网,另一部分不能上网,除了基于名单和ACL的接入控制,还有那些方法呢?
不涉及
(0)
最佳答案
本地MAC地址认证
目录
WAC380系列产品本地MAC认证配置案例(命令行版)... 1
3.1 在无线控制器上配置相关VLAN及对应虚接口的地址... 1
本手册适用于如下产品:WAC380、WAC381系列产品: WAC380-30、WAC380-60、WAC380-90、WAC380-120、WAC381。
无线电脑连接SSID:service后,无线电脑终端通过在小贝产品上进行的MAC认证配置,获取到网关vlan200的IP地址:192.168.200.0/24,实现对无线用户的统一管理和认证功能。现使用WAC380作为无线网络的网关设备。通过对终端设备的MAC进行认证,达到对用户访问进行控制的目的。
提示:ap注册和无线配置详细步骤参考:《2.2.05 WAC380系列产品AP二层注册、无线加密配置方法(命令行版)》
在H3C上配置相关VLAN及对应虚接口的地址,并放通对应接口。
#创建VLAN100及其对应的VLAN接口,为该接口配置IP地址192.168.100.1/24。开启dhcp服务,AP使用该VLAN进行上线。
<H3C> system-view
[H3C] vlan 100
[H3C-vlan100] quit
[H3C] interface Vlan-interface 100
[H3C-Vlan-interface100] ip address 192.168.100.1 24
[H3C-Vlan-interface100] quit
#创建VLAN200及其对应的VLAN接口,为该接口配置IP地址192.168.200.1/24。开启dhcp服务,终端使用该VLAN接入无线网络。
[H3C] vlan 200
[H3C-vlan200] quit
[H3C] interface Vlan-interface 200
[H3C-Vlan-interface200] ip address 192.168.200.1 24
[H3C-Vlan-interface200] quit
配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 200通过,设置当前Trunk口的PVID为100。
[H3C] interface gigabitethernet1/0/1
[H3C -GigabitEthernet1/0/1] port link-type trunk
[H3C -GigabitEthernet1/0/1] undo port trunk permit vlan 1
[H3C -GigabitEthernet1/0/1] port trunk permit vlan 100 200
[H3C -GigabitEthernet1/0/1] port trunk pvid vlan 100
[H3C -GigabitEthernet1/0/1] quit
#开启DHCP服务器功能
[H3C]dhcp enable
#配置地址池vlan100,为AP分配192.168.100.0/24网段
[H3C]dhcp server ip-pool vlan100
[H3C-dhcp-pool-1] network 192.168.100.0 mask 255.255.255.0
#分配网关和DNS服务器地址,网关是192.168.100.1,DNS服务器是114.114.114.114。
[H3C-dhcp-pool-1] gateway-list 192.168.100.1
[H3C-dhcp-pool-1] dns-list 114.114.114.114
[H3C-dhcp-pool-1] quit
#配置地址池vlan200,为终端分配192.168.200.0/24网段
[H3C]dhcp server ip-pool vlan100
[H3C-dhcp-pool-1] network 192.168.200.0 mask 255.255.255.0
#分配网关和DNS服务器地址,网关是192.168.200.1,DNS服务器是114.114.114.114。
[H3C-dhcp-pool-1]gateway-list 192.168.200.1
[H3C-dhcp-pool-1]dns-list 114.114.114.114
[H3C-dhcp-pool-1]quit
#创建一个名称为local-mac的认证域,为lan-access用户配置认证方法为local。
[H3C] domain local-mac
[H3C-isp-local-mac] authentication lan-access local
#配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[H3C-isp-local-mac] authorization-attribute idle-cut 15 1024
[H3C-isp-local-mac] quit
配置一个网络接入类的本地用户,名称为客户端的MAC地址b0eb57595cea,密码为明文密码b0eb57595cea(同账号),并指定用户可以使用lan-access服务
[H3C] local-user b0eb57595cea class network
[H3C-luser-network-b0eb57595cea] password simple b0eb57595cea
[H3C-luser-network-b0eb57595cea] service-type lan-access
[H3C-luser-network-b0eb57595cea] quit
#配置MAC地址认证的用户名格式为小写不带横杠(该配置为缺省配置)。
[H3C] mac-authentication user-name-format mac-address without-hyphen lowercase
#创建无线服务模板1,并进入无线服务模板视图。
[H3C] wlan service-template 1
#配置SSID为service。
[H3C-wlan-st-1] ssid service
#配置无线服务模板VLAN为200。
[H3C-wlan-st-1] vlan 200
#配置客户端接入认证方式为MAC地址认证。
[H3C-wlan-st-1] client-security authentication-mode mac
#配置MAC地址认证用户使用的ISP域为local-mac。
[H3C-wlan-st-1] mac-authentication domain local-mac
#使能无线服务模板。
[H3C-wlan-st-1] service-template enable
[H3C-wlan-st-1] quit
#创建AP,配置AP名称为officeap,型号名称选择WAP722S,并配置序列号
2…………………1。提示:此处根据实际的AP序列号来填写
[H3C] wlan ap officeap model WAP722S
[H3C-wlan-ap-officeap] serial-id 2…………………1
#进入Radio 2视图,绑定服务模板1。
[H3C-wlan-ap-office] radio 2
#将无线服务模板1绑定到radio 2,并开启射频。
[H3C-wlan-ap-officeap-radio-2] service-template 1
[H3C-wlan-ap-officeap-radio-2] radio enable
[H3C-wlan-ap-officeap-radio-2] quit
#创建VLAN 100,其中VLAN 100用于转发AC和AP间CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文。
<H3C> system-view
[H3C] vlan 100
[H3C-vlan200] quit
#配置Switch与WAC380相连的GigabitEthernet1/0/1接口的属性为Trunk,禁止VLAN 1报文通过,允许VLAN 100通过,配置当前Trunk口的PVID为100。
[H3C] interface gigabitethernet1/0/1
[H3C-GigabitEthernet1/0/1] port link-type trunk
[H3C-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[H3C-GigabitEthernet1/0/1] port trunk permit vlan 100
[H3C-GigabitEthernet1/0/1] port trunk pvid vlan 100
[H3C-GigabitEthernet1/0/1] quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过
[H3C] interface gigabitethernet1/0/2
[H3C-GigabitEthernet1/0/2] port link-type access
[H3C-GigabitEthernet1/0/2] port access vlan 100
#开启PoE接口远程供电功能
[H3C-GigabitEthernet1/0/2] poe enable
[H3C-GigabitEthernet1/0/2] quit
#无线用户Client通过连接到WLAN网络并进行本地MAC认证,用户在通过认证后。
通过执行以下显示命令查看WAC上生成的无线在线用户信息。
<H3C> display wlan client
Total Number of Clients : 1
MAC address User name AP name RID IP address IPv6 address VLAN
b0eb-5759-5cea b0eb57595cea officeap 2 192.168.200.2 -NA- 200
#未通过认证的设备不能不能进行接入。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论