求一份mac认证中的guest vlan典型配置案例

https://www.h3c.com/cn/d_202312/2005906_30005_0.htm

H3C WX系列AC 无线MAC地址认证结合Guest Vlan Portal认证典型配置案例 - 知了社区

https://www.h3c.com/cn/d_202304/1831756_30005_0.htm

H3C无线控制器MAC地址认证+Guest VLAN典型配置举例

您好，请知：

以下是配置案例，请参考：

H3C WX系列AC 无线MAC地址认证结合Guest Vlan Portal认证典型配置案例

一、 组网需求：

WX系列AC、FIT AP、便携机(安装有无线网卡)

二、 组网图：

上图配置举例中的AC使用的是WX3010无线控制器，AP使用的是WA2220-AG。

三、 业务需求：

1、对于需要MAC地址认证的客户端进行MAC地址认证，获取VLAN2 网段地址。        2、对于不需要MAC地址认证的客户端在进行MAC认证失败后会进入Portal认证vlan（即Guest Vlan）获取VLAN3 地址再进行Portal认证。

四、 设备配置：

<AC>_ ver

H3C Comware Platform Software

Comware Software, Version 5.20, Release 3111P12

Comware Platform Software Version COMWAREV500R002B71D024

H3C WX3010 Software Version V300R001B71D024

Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

Compiled Nov 29 2011 16:26:24, RELEASE SOFTWARE

H3C WX3010 uptime is 0 week, 0 day, 3 hours, 23 minutes

<AC>display current-configuration

#

 version 5.20, Release 3111P12

#

 sysname AC

#

 domain default enable system

#

 telnet server enable

#

 port-security enable

#

 portal server portal ip 192.168.1.1 url http://192.168.1.1/portal/logon.htm

 portal free-rule 1 source interface GigabitEthernet1/0/1 destination any

 portal local-server http

 portal trap server-down

#

 mac-authentication domain mac

#

 oap management-ip 192.168.0.101 slot 0

#

vlan 1

#

vlan 2 to 3

#              

domain mac

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain portal

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

dhcp server ip-pool vlan1

 network 192.168.1.0 mask 255.255.255.0

 gateway-list 192.168.1.1

 expired day 0 hour 2

#

dhcp server ip-pool vlan2

 network 192.168.2.0 mask 255.255.255.0

 gateway-list 192.168.2.1

 expired day 0 hour 2

#

dhcp server ip-pool vlan3

 network 192.168.3.0 mask 255.255.255.0

 gateway-list 192.168.3.1

 expired day 0 hour 2

#

user-group system

#

local-user 5cac4c918140

 password simple 5cac4c918140

 authorization-attribute level 3

 service-type lan-access

local-user admin

 password simple admin

 authorization-attribute level 3

 service-type telnet

local-user portal

 password simple portal

 authorization-attribute level 3

 service-type portal

#              

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 1 clear

 ssid H3C

 bind WLAN-ESS 1

 service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.1 255.255.255.0

#

interface Vlan-interface2

 ip address 192.168.2.1 255.255.255.0

#

interface Vlan-interface3

 ip address 192.168.3.1 255.255.255.0

 portal server portal method direct

 portal domain portal

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan all

#

interface WLAN-ESS1

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 2 untagged

 port hybrid pvid vlan 2

 mac-vlan enable

 port-security port-mode mac-authentication

 mac-authentication guest-vlan 3

#

wlan ap ap1 model WA2220-AG id 1

 serial-id 210235A29E0087000090

 radio 1

 radio 2

  max-power 5

  service-template 1

  radio enable 

#

 dhcp server forbidden-ip 192.168.1.1

 dhcp server forbidden-ip 192.168.2.1

 dhcp server forbidden-ip 192.168.3.1

#

 dhcp enable

#

 load xml-configuration

#

user-interface aux 0

user-interface vty 0 4

 authentication-mode scheme

 user privilege level 3

#

return

五、 配置关键点：

(1) 配置本地MAC地址认证

?    创建本地用户。

# 添加名称为5cac4c918140的本地用户, 指定用户可以使用lan-access服务, 设置密码为明文显示，密码为5cac4c918140。

[AC]local-user 5cac4c918140

[AC-luser-5cac4c918140]service-type lan-access

[AC-luser-5cac4c918140]password simple 5cac4c918140

[AC-luser-5cac4c918140]quit

?    指定MAC地址认证用户所使用的domain域。

[AC]mac-authentication domain mac

?    全局使能端口安全。

[AC]port-security enable

?    配置端口WLAN-ESS 1

# 配置端口为Hybrid 端口，允许VLAN 2的报文不带Tag通过，PVID为VLAN2，且启用Mac-vlan功能。

<AC> system-view

[AC] interface WLAN-ESS 1

[AC-WLAN-ESS1]port link-type hybrid

[AC-WLAN-ESS1]port hybrid vlan 2 untagged

[AC-WLAN-ESS1]port hybrid pvid vlan 2

[AC-WLAN-ESS1]mac-vlan enable

# 在WLAN-ESS 1上使能MAC地址认证，将VLAN加入MAC认证Guest Vlan。

[AC-WLAN-ESS1]port-security port-mode mac-authentication

[AC-WLAN-ESS1]mac-authentication guest-vlan 3

?    无线服务集设置

# 创建clear类型的服务模板1。

[AC]wlan service-template 1 clear

# 设置当前服务模板的SSID（服务模板的标识）为H3C。

[AC-wlan-st-1]ssid H3C

# 将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1]bind WLAN-ESS 1

# 设置无线客户端接入该无线服务（SSID）的认证方式为开放式系统认证。

[AC-wlan-st-1]authentication-method open-system

# 使能服务模板。

[AC-wlan-st-1]service-template enable

(2) 配置本地Portal认证

?    配置portal本地认证的用户

[AC]local-user portal

[AC-luser-portal]service-type portal

[AC-luser-portal]password simple portal

?    配置Portal Server和免认证规则。

# 配置Portal服务器portal的IP地址为192.168.1.1、HTTP重定向的URL为http://192.168.1.1/portal/logon.htm 。

[AC] portal server portal ip 192.168.1.1 url http://192.168.1.1/portal/logon.htm  

# 配置Portal免认证规则0，符合源接口为GigabitEthernet1/0/1的任意报文不会触发Portal认证。

[AC] portal free-rule 0 source interface GigabitEthernet1/0/1 destination any

# 配置本地Portal服务器支持HTTP协议方式。

[AC] portal local-server http

# 进入VLAN接口视图3。

[AC] interface Vlan-interface 3

# 配置接口IP地址为192.168.3.1。

[AC-Vlan-interface3] ip address 192.168.3.1 255.255.255.0

# 在接口Vlan-interface3上使能Portal。指定Portal服务器为portal，并配置为直接认证方式。

[AC-Vlan-interface3] portal server portal method direct

[AC-Vlan-interface3] quit

对free-rule 0的说明补充：不配置该免认证规则时，从GigabitEthernet1/0/1进来的报文也被丢弃，用户通过认证后也ping不通外网（网关），加上该规则的目的就是让放开从该口进来的报文。

六、 结果验证：

在AC上查看STA在线状态及认证状态。

<AC>display wlan client

 Total Number of Clients           : 2

 Total Number of Clients Connected : 2

                              Client Information

---------------------------------------------------------------------

 MAC Address        BSSID      AID    State       PS Mode    QoS Mode

---------------------------------------------------------------------

 0024-d636-18b2 000f-e2ac-0b50  2      Running     Active      WMM    

5cac-4c91-8140  000f-e2ac-0b50  1      Running     Active      WMM    

---------------------------------------------------------------------

<AC>display connection

Index=233 ,Username=5cac4c918140@mac               

MAC=5C-AC-4C-91-81-40,IP=N/A

Index=236 ,Username=portal@portal                  

MAC=00-24-D6-36-18-B2,IP=192.168.3.6

Total 2 connection(s) matched.

注：上述案例中MAC地址认证、Portal认证均在本地AC设备完成， AC设备也可结合Radius Server实现上述需求，这里不再赘述。