《项目案例15无线控制器MAC地址认证GuestVLAN解析.doc》由会员分享,可在线阅读,更多相关《项目案例15无线控制器MAC地址认证GuestVLAN解析.doc(20页珍藏版)》请在三一文库上搜索。
1、4HKHKl COlbEGk; OFANU '毗:项目案例计算机网络系统集成项目(工程项目案例及实践)所在系别:计算机技术系所属专业:计算机网络技术指导教师:张海峰专业负责人:孙志成H3C无线控制器MAC地址认证+Guest VLAN典型配置举例(V7)、功能需求本文档介绍当用户 MAC地址认证失败时只能访问某一特定的VLAN,即Guest VLAN内的网络资源的典型配置举例。本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。 如
2、果您已经对设备进行了配置,为了保证配置效果, 请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解 AAA、MAC地址认证、WLAN用户接入认证和 WLAN接入特 性。、组网信息及描述如图1所示,集中式转发架构下,AP和Client通过DHCP server获取IP地址,设备管理员希望对 Client进行MAC地址认证,以控制其对网络资源的访问,具体要求 如下:配置 VLAN 200 为 Client 的接入 VLAN,Client 通过 VLAN 200上线并在RADIUS server 上进行MAC地址认证。配置 VLAN 300为Guest VLAN,当Client的MAC地址认证
3、失败时进入Guest VLAN,此时Client只能访问VLAN 300内的网络资源。RADIUS server112.12.1,50/24SwitchAPClientVlar>-int100:AC112.12.1.25/16Vlan-jnt200:112 13.1.25/16DHCP server Vlan-int30a:112.141 25/16配置步骤1.1配置思路为了实现用户 MAC地址认证失败后仅允许访问Guest VLAN内的资源,需要在无线服务模板下配置 Guest VLAN功能,则认证失败的用户会被加入该Guest VLAN,且该用户仅被授权访问Guest VLAN内的资
4、源,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证。1.2配置步骤1.2.1 配置 AC(1) 配置AC的接口#创建VLAN 100及其对应的 VLAN接口,并为该接口配置IP地址。AP将获取该IP 地址与AC建立CAPWAP隧道。<AC> system-viewAC vlan 100AC-vla n100 quitAC in terface vla n-in terface 100AC-Vla n-in terface100 ip address 112.12.1.25 16AC-Vla n-in terface100 quit#创建VLAN 200及其对应的 VLA
5、N接口,并为该接口配置 IP地址。Client使用该 VLAN接入无线网络。AC vlan 200AC-vla n200 quitAC in terface vla n-in terface 200AC-Vla n-in terface200 ip address 112.13.1.25 16AC-Vla n-in terface200 quit#创建VLAN 300及其对应的VLAN接口,并为该接口配置IP地址。Client MAC 地址认证失败后将仅允许访问VLAN 300 (即Guest VLAN )内的资源。AC vlan 300AC-vlan300 quitAC in terface
6、 vla n-in terface 300AC-Vla n-in terface300 ip address 112.14.1.25 16AC-Vla n-in terface300 quit# 配置 AC 和 Switch 相连的接口 GigabitEthernet1/0/1 为 Trunk 类型,禁止 VLAN 1 报文通过,允许 VLAN 100、VLAN 200 和VLAN 300 通过,当前 Trunk 口的PVID 为 100。AC in terface gigabitEthernet1/0/1|AC-GigabitEthernet1/0/1 port lin k-type tru
7、nkAC-GigabitEthernet1/0/1 undo port trunk permit vlan 1AC-GigabitEthernet1/0/1 port trunk permit vlan 100 200 300AC-GigabitEthernet1/0/1 port trunk pvid vlan 100AC-GigabitEthernet1/0/1 quit配置 DHCP server#开启DHCP server功能。AC dhcp enable#配置DHCP地址池vlan100 ,为AP分配的地址范围为112.12.0.0/16 ,网关地址为112.12.1.25。AC d
8、hcp server ip-pool vla n100AC-dhcp-pool-vla n100 network 112.12.0.0 mask 255.255.0.0AC-dhcp-pool-vla n100 gateway-list 112.12.1.25AC-dhcp-pool-vlan100 quit#配置DHCP地址池vlan200,为Client分配的地址范围为 112.13.0.0/16,网关地 址为 112.12.1.25。AC dhcp server ip-pool vla n200AC-dhcp-pool-vla n200 network 112.13.0.0 mask 2
9、55.255.0.0AC-dhcp-pool-vla n200 gateway-list 112.12.1.25AC-dhcp-pool-vlan200 quit#配置DHCP地址池vlan300,为从Guest VLAN 上线的用户分配的地址范围为112.14.0.0/16,网关地址为 112.12.1.25。AC dhcp server ip-pool vla n300AC-dhcp-pool-vlan300 network 112.14.0.0 mask 255.255.0.0AC-dhcp-pool-vla n300 gateway-list 112.12.1.25AC-dhcp-po
10、ol-vlan300 quit(3) 配置RADIUS认证#创建名为office的RADIUS方案,并进入其视图。AC radius scheme office|#配置主认证、计费 RADIUS服务器的IP地址为112.12.1.50。AC-radius-office primary authe ntication 112.12.1.50AC-radius-office primary accou nting 112.12.1.50|#配置RADIUS认证、计费报文的共享密钥为123456789。AC-radius-office key authe nticati on simple 1234
11、56789AC-radius-office key accou nting simple 123456789#配置发送给RADIUS服务器的用户名不携带域名。AC-radius-office user- name-format without-domain#配置设备发送 RADIUS报文使用的源IP地址为112.12.1.25。AC-radius-office nas-ip 112.12.1.25|AC-radius-office quit|#创建名为office1的ISP域,并进入其视图。AC doma in office1#为Ian-access用户配置认证、授权、计费方案为RADIUS方
12、案office。AC-isp-office1 authe nticatio n Ian-access radius-schemeofficeAC-isp-office1authorizati onIan-accessradius-scheme office |AC-isp-office1 acco un ti ng Ian-access radius-scheme office#配置用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。AC-isp-office1 authorizatio n-attribute idle-cut 15 1024AC-isp-office1 qu
13、it#配置MAC地址认证的用户名和密码均为用户的MAC地址,且不带连字符(该配置为缺省配置)。AC mac-authe nticati on user- name-format mac-addresswithout-hyphe n lowercase(4) 配置服务模板#创建无线服务模板1,并进入无线服务模板视图。AC wlan service-template 1# 配置 SSID 为 service。AC-wla n-st-1 ssid service#配置客户端从无线服务模板1上线后会被加入VLAN 200。AC-wla n-st-1 vlan 200|#配置客户端接入认证方式为MAC地
14、址认证。AC-wlan-st-1 client-security authentication-mode mac#配置MAC地址认证用户使用的ISP域为office1。AC-wlan-st-1 mac-authentication domain office1(5) 配置 Guest VLAN# 在无线服务模板 1下配置MAC地址认证失败后可授权访问的Guest VLAN为VLAN300。AC-wla n-st-1 clie nt-security authe nticatio n fail-vlan 300#开启无线服务模板。AC-wla n-st-1 service-template en
15、 ableAC-wla n-st-1 quit(6)配置射频接口并绑定服务模板#创建手工 AP,名称为officeap,型号名称为 WA4320i-ACN。AC wla n ap officeap model WA4320i-ACN# 设置 AP 序列号为 210235A1Q2C159000020。AC-wla n-ap-officeap serial-id 210235A1Q2C159000020#进入AP的Radio 2视图,并将无线服务模板1绑定到Radio 2上。AC-wla n-ap-officeap radio 2AC-wla n-ap-officeap-radio-2 servi
16、ce-template 1#开启Radio 2的射频功能。AC-wla n-ap-officeap-radio-2 radio en able|AC-wla n-ap-officeap-radio-2 quitAC-wla n-ap-officeap quit1.2.2 配置 Switch# 创建 VLAN 100、VLAN 200 和 VLAN 300,其中 VLAN 100 用于转发 AC 和 AP 间 CAPWAP隧道内的流量,VLAN 200用于转发Client无线报文,VLAN 300用于转 发Guest VLAN 的报文。<Switch> system-viewSwit
17、ch vla n 100Switch-vlan100 quitSwitch vlan 200Switch-vlan200 quitSwitch vlan 300Switch-vlan300 quit# 配置 Switch 与 AC 相连的 GigabitEthernet1/0/1接口的属性为 Trunk,禁止 VLAN 1报文通过,允许 VLAN 100 通过,当前 Trunk 口的PVID为100。Switch in terface gigabitEthernet1/0/1Switch-GigabitEthernet1/0/1 port lin k-type trunkSwitch-Giga
18、bitEthernet1/0/1 undo port trunk permit vlan 1Switch-GigabitEthernet1/0/1 port trunk permit vlan 100Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit# 配置 Switch 与 AP 相连的 GigabitEthernet1/0/2 接口属性为 Access,并允许 VLAN | 100通过。Switch in terface gigabitEthernet1/0/2Switch
19、-GigabitEthernet1/0/2 port lin k-type accessSwitch-GigabitEthernet1/0/2 port access vlan 100#开启PoE接口远程供电功能。Switch-GigabitEthernet1/0/2 poe en ableSwitch-GigabitEthernet1/0/2 quit1.2.3配置RADIUS服务器下面以 iMC 为例(使用 iMC 版本为:iMC PLAT 7.1(E0303P10)、iMCUAM 7.1(E0303P10),说明 RADIUS server 的基本配置。增加接入设备登录进入iMC管理平台
20、,“用户”页签,单击导航树中的 接入策略管理/接入设备管 理/接入设备配置菜单项,单击 增加按钮,进入“增加接入设备”页面,单击 手 工增加 按钮,进入“手工增加接入设备”页面。«填写起始IP地址为“ 112.12.1.25 ”,该IP地址为AC上配置的radius scheme 视图下的 nas-ip 地址。* 单击 确定 按钮完成操作。 在“接入配置”区域配置共享密钥为“123456789 ”,该共享密钥与AC上配置Radius服务器上的密钥一致。 其他配置采用页面默认配置即可。* 单击 确定 按钮完成操作。1S12不启舟混合组网无计喊业务凄业於确认刃确定I取消用户接入策略管理
21、> 接入设备管理 > 接入最都遷 > 堵加接入礙备接入酉晴认 iiEffi 口 加按钮,创建一条接入策略。 加按钮,创建一条服务。* 配置服务名为“ office_mac ” (这里的服务名可以任意命名)。* 缺省接入策略选择“ office ”。组网方式接入设备类型共享劭*接入设备分组设备列表1 1手工增加1增加IP%设备设备名称设蓟她1L设番型号112.12.1J5(2)增加接入规则配置选择“用户”页签,单击导航树中的接入策略管理/接入策略管理菜单项,单击 <增 靱 用户 > 接人芙略管理 > 接入策略管理 > 增加接入策略接入策略容上配置的MAC
22、地址认证的用户名和密码 (Client的MAC地址)不一致,所以Client业务分组农描述授权信息接入时段不行速率(Kbps)优先圾上行富启月证书认证不启用EAPi正书认证皿Pli正甫认证认证证书类型下 SVLANTSUser ProfileTMACL(3)增加服务配置选择“用户”页签,单击导航树中的接入策略管理/接入服务管理菜单项,单击 <增用户A接入策略管理 接入服务管理 堵加接入服务曲信息业务分组出缺首安全策齬*缺背祗有属性下笈策略*缺昔单帐号最犬绑定细徵*服务描述叼可申请接入场黒列恚增加名称接入策略未找到符合亲件的记录n安全第賂私有届性下蜀确走耽肖(4)增加接入用户选择“用户”页
23、签,单击导航树中的接入用户管理/接入用户菜单项,单击 增加号码“ adm office mac,单击 确定 按钮完成。堆加用户帐号名貪预开户用户密昭*M允许用户修改?生效时间最大闲置时杞份钟) PCX询无酚口认证最 esnfis 接A服务增加用户-Mczilld FireFo'X8.1A,50:8080/imc/jsr/user/addUerPopUpContenthtml增加用户甘信息用户姓名*通ift地址电子邮件确定I収消sdm_o畏 用户 > 接入用户 > 堵加接入用户接入用户接入信息用户姓名* 配置帐号名“ admin ”和密码“ 123456 ”。* 勾选绑定服务
24、名“ ofice_mac ”。* 单击 <确定 >按钮完成。这里在Radius服务器上配置的用户认证账号名“ admin ”和密码“ 123456 ”与AC上线后会认证不通过,从而进入Guest VLAN#完成以上配置后, 无线用户Client连接到WLAN网络并进行 MAC地址认证。由于 RADIUS server上配置的用户名和密码与AC上配置的MAC地址认证的用户名和密码不一致,因此认证失败,在AC上通过命令display wlan client可以看见无线用户 Client 从 Guest VLAN 300 上线。AC display wla n clie ntTotal
25、Number of Clie nts : 1Client InformationMAC Address User NameAddressVLANAPID/RID IP3ca9-f414-4c203ca9f4144c201/2 112.14.0.2300# Guest VLAN中的无线用户 Client在通过MAC地址认证之前只能访问VLAN 300的网络资源。# Guest VLAN 中的无线用户 Client通过MAC地址认证后,可以通过命令displaymac-authentication查看 MAC 认证信息。AC display mac-authe nticatio nGlobal M
26、AC authe nticati on parameters:MAC authe nticatio n: En abled|User n ame format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)Username : 3ca9f4144c20| Password :$c$3$KWMkvq/F nQ2opPqB npSTs3NPhVKrSOvqFPLAECSiDQ=Offline detect period : 180 sQuiet period : 180 sServer timeout : 100 sAuthe nticatio n do
27、ma in : office1|On li ne MAC-auth users : 1|Sile nt MAC users:MAC address VLAN ID FromportPort in dex3ca9-f414-4c20300GE1/0/11GigabitEthernet1/0/1 is lin k-upMAC authe ntication:En abled|Carry User-IP:Disabled|Authe nticatio n doma in:Not con figuredAuth-delay timer:Disabled|Re-auth server- un reach
28、able : LogoffGuest VLAN:300Guest VLAN auth-period : 30 sCritical VLAN:Not con figuredHost mode:Sin gle VLANOffli ne detect ion: En abledMax online users : 4294967295Authe nticati on attempts : successful 1, failed 0Current on li ne users : 1MAC address Auth state 3ca9-f414-4c20 Authe nticated1.4配置文件
29、AC#dhcp |en able#vlan |1#vla n_|100#vla n_|200#vlan |300#dhcp server ip-pool vlan 100gateway-list112.12.1.25network 112.12.0.0 mask255.255.0.0#dhcp server ip-pool vlan 200gateway-list112.12.1.25network 112.13.0.0 mask255.255.0.0dhcp server ip-poolvia n300gateway-list112.12.1.25network 112.14.0.0 mas
30、k255.255.0.0#wla n service-template|1ssidservicevla n200clie nt-security authe nticati on-m odemacclient-security authentication fail-vlan 300 mac-authe nticati on doma inoffice1service-templateen able#in terface |GigabitEthernet1/0/1port lin k-typetrunkundo port trunk permit via n1port trunk permit
31、 vlan 100 200300port trunk pvid vlan|100#radius schemeofficeprimary authe nticati on|112.12.1.50primary acco unting112.12.1.50key authe nticati on cipher $c$3$lrnigzRDMkG7Jk1FNf2+tm04+zvnCwiaJzl9TA=key acco un ti ng cipher $c$3$ehledYNyJ+vTlcYcyUEisTa+ZXvWqU1O2QISYg= user- name-formatwithout-doma in
32、nas-ip112.12.1.25#domai noffice1authorizati on-attribute idle-cut 151024authe nticati on Ian-access radius-schemeofficeauthorization Ian-access radius-schemeofficeacco unting Ian-access radius-schemeoffice#wla n ap officeap modelWA4320i-ACNserial-id210235A1Q2C159000020radio1radio2radioen ableservice
33、-template1#«Switch#vla n 1#vla n 100#vla n 200#vla n 300#in terface GigabitEthernet1/0/1 port lin k-type trunk undo port trunk permit vla n 1 port trunk permit vlan 100 port trunk pvid vlan 100#in terface GigabitEthernet1/0/2 port access vlan 100poe en able#四、配置关键点及注意事项AP的序列以防止AC配置AP的序列号时请确保该序列号与AP唯一对应,号可以通过AP设备背面的标签获取。配置Switch和AP相连的接口禁止 VLAN 1报文通过,上VLAN 1内的报文过多。*配置接入策略名为“ office ”。其它参数采用缺省值,并单击 <确定>按钮完成操作。*其他采用默认配置。单击 < 确定 > 按钮完成配置。按钮,增加一个接入用户。单击 增加用户 按钮,输入用户姓名“ adm_office_mac ”和证件