H3C无线控制器本地MAC认证典型配置
一、组网需求
如图所示,集中式转发架构下,AP和CIient通过DHCPSerVer获取IP地址,要求 在AC上使用MAC歌词大全地址用户名格式认证方式进行用户身份认证,以控制其对网络资源的访 问。
图1本地MAC地址认证配置组网图
二、配置注意事项
1、配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP 设备背面的标签获取。
汽车雨刷器2、在AC上配置的MAC地址认证的用户名、密码需要与Client上配置的用户名、 密码保持一致,即使用Client的MAC地址作为用户名和密码进行MAC地址认证。
3、配置Switch和AP相连的接口禁止VLAN 1报文通过,以防止AC上VLAN 1内 的报文过多°
三、配置步骤
配置AC
(1)配置AC的接口
#创建VLAN IOO及其对应的VLAN何以笙箫默所有插曲接口,并为该接口配置IP地址。AP将获取该 IP地址与AC建立CAPWAP隧道。2022延迟退休表格
<AC> system-view [AC] vlan 100 [AC-vlanl00] quit [AC] interface vlan-interface 100 [AC-Vlan-InterfacelOO] ip address 112.12.1.25 24 [AC-Vlan-interfacelOO] quit
#创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。CIient使用该 VLAN接入
无线网络。
[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 112.12.2 ∙ 25 24 [AC-Vlan-interface200] quit
#配置 AC 和 Switch 相连的接口 GigabitEthernetI/0/1 为 Trunk 类型,禁止 VLAN 1 报文通过,允许VLANIoO和VLAN 200通过,当前TnJnk 口的PVID为100。
[AC] interface gigabitethemet1/0/1
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100 200
port trunk pvid vlan 100
quit
[AC-GigabitEthernetl/0/1] [AC-GigabitEthernetl/0/1] [AC-GigabitEthernetl/0/1] [AC-GigabitEthernetl/0/1] [AC-GigabitEthernetl/0/1] (2)配置 DHCP server#开启DHCP server功能。
[AC] dhcp enable
#配置DHCP地址池vlan100为AP分配地址范围为112.12.1.0/24,网关地址为 112.12.1.25o
[AC] dhcp server ip-pool vlanlOO
[AC-dhcρ-ρool-vlanlOO] network 112.12.1.0 mask 255.255.255.0
[AC-dhcp-poo1-vlanlOO] gateway-list 112.12.1.25 [AC-dhcp-pool-vlaπl00] quit
#配置DHCP地址池VIan200为CIiem分配地址范围为112.12.2.0/24,网关地址为 112.13.1.25o
[AC] dhcp server ip-pool vlan200
[AC-dhcp-pool-vlan200] network 112.12.2.0 mask 255.255∙255.0 [AC-dhcp-pool-vlan200] gateway-list 112.12.2.25 [AC-dhcp-pool-vlan200] quit (3) 配置本地认证域
#创建一个名称为IoCal-mac的认证域,为Ian-access用户配置认证方法为IOCaI。
[AC] domain local-mac
[AC-isp-local-mac] authentication lan-access local
#配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
[AC-isp-local-mac] authorization-attribute idle-cut 15 1024 [AC] quit
(4)配置本地用户 549209a74221
#配置一个网络接入类的本地用户,名称为客户端的MAC地址3ca9f4144c20,密 码为明文密码3ca9f4144c20,并指定用户可以使用Ian-access服务。549209a74221 [AC] local-user 3ca9f4144c20 class network [AC-luser-network-3ca9f4144c20] password simple 3ca9f4144c20 [AC-luser-network-3ca9f4144c20] service-type lan-access [AC-luser-network-3ca9f4144c20] quit
(5)配置本地MAC地址认证的用户名格式
#配置MAC地址认证的用户名和密码均为用户的MAC地址(该配置为缺省配置)。 [AC] mac-authentication user-name-format mac-address
(6)无法获取ip地址配置无线服务
#创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-tempiate 1
#配置 SSID 为 serviceo
[AC-wlan-st-1] ssid service
#配置客户端从无线服务模板小满祝福语1上线后会被加入VLAN 200o
[AC-wlan-stT] vlan 200
#配置客户端接入认证方式为MAC地址认证。
[AC-wlan-st-1] client-security aυthentication-mode mac
#配置MAC地址认证用户使用的ISP域为local-mace
[AC-wlan-st-1] mac-authentication domain local-mac
#开启无线服务模板。
[AC-wlan-st-1] service-tempiate enable
[AC-wlan-st-1] quit
(7)配置AP
#创建手工AP,名称为OffiCeap,型号名称为WA5320。
[AC] wlan ap Officeap model WA5320
#设置 AP 序歹IJ号为 219801A0YD8189E0007Z。
[AC-wlan-ap-officeap] serial-id 219801A0YD8189E0007Z
#进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。
[AC-wlan-ap-officeap] radio 2
[AC-wlan-ap-officeap-radio-2] service-tempiate 1 vlan 200
#开启Radio 2的射频功能。
[AC-wlan-ap-officeap-radio-2] radio enable
[AC-wlan-ap-officeap-radio-2] quit
[AC-wlan-ap-officeap] quit
2、配置 Switch
#创建VLAN 100和VLAN 200,其中VLAN 100用于转发AC和AP间CAPWAP 隧道内的流量,VLAN 200用于转发Client无线报文。
<Switch> system-view [Switch] vlan 100
[Switch-VlanlOO] quit [Switch] vlan 200 [Switch-vlan200] quit
#配置 Switch 与 AC 相连的 GigabitEthernetI/0/1 接口的属性为 Trunk,禁止 VLAN 1报文通过,允许VLANIOO通过,当前TrUnk 口的PVID为100。
[Switch] interface gigabitethemet1/0/1
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论