- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-遠程MAC認證典型配置舉例(專家模式Web版)
本章節下載: 05-遠程MAC認證典型配置舉例(專家模式Web版) (575.02 KB)
遠程MAC認證典型配置舉例(專家模式Web版)
Copyright © 2021 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹使用RADIUS服務器進行遠程MAC地址認證配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
如圖1所示,Switch作為DHCP server為AP和Client分配IP地址,采用iMC作為RADIUS服務器對用戶進行認證、授權和計費,要求:
· 對無線用戶進行遠程MAC地址認證。
· 客戶端鏈路層認證使用開放式係統認證。
圖1 遠程MAC認證組網圖
部分款型終端默認會開啟隨機MAC功能,可能會導致MAC認證失敗,建議終端側關閉隨機MAC功能。
(1) 配置各接口的IP地址,保證AP、服務器和AC之間的路由可達(略)。
(2) 配置RADIUS方案
點擊頁麵底部的<網絡>按鈕,然後點擊左側導航欄[網絡安全/認證],然後點擊“RADIUS”頁簽,再點擊“
”按鈕,添加RADIUS方案,配置步驟為:
¡ 方案名稱為radius1。
¡ 指定主認證服務器IP地址為10.1.1.3,端口號為1812,共享密鑰為12345678。設置主認證服務器狀態為活動。
¡ 指定主計費服務器IP地址為10.1.1.3,端口號為1813,共享密鑰為12345678。設置主計費服務器狀態為活動。
圖2 配置RADIUS方案
¡ 點擊“顯示高級設置”,在顯示高級設置裏指定發送RADIUS報文使用的源IPv4地址為10.1.1.46,發送給RADIUS服務器的用戶名格式為不攜帶域名,其他保持缺省配置。
¡ 點擊<確定>按鈕完成配置。
圖3 顯示高級設置
(3) 配置ISP域
# 點擊左側導航欄的[網絡安全/認證],進入“ISP域”頁麵配置,配置步驟為:
¡ 點擊“
”按鈕,添加ISP域。
¡ 名稱為dom1,並將該ISP域的狀態設置為活動。
¡ 指定接入方式為LAN接入。
¡ 指定LAN接入AAA方案的認證、授權和計費的方法均為RADIUS,方案都選擇radius1。
¡ 單擊<確定>按鈕。
圖4 配置ISP域
(4) 配置MAC地址認證
點擊左側導航欄[網絡安全/接入管理],然後點擊“MAC地址認證”頁簽,進入MAC地址認證頁麵,點擊<開啟MAC認證>按鈕開啟MAC地址認證,然後點擊“
”按鈕:
¡ 配置用戶名格式為固定用戶名格式。
¡ 用戶名為abc,密碼為123。
圖5 配置MAC地址認證用戶名格式
(5) 配置無線服務
# 單擊左側導航欄的[無線配置/無線網絡],進入無線網絡配置頁麵,點擊“
”按鈕新增無線服務,配置步驟為:
¡ 基礎設置部分配置無線服務名稱為service、SSID為service、開啟無線服務模板、配置VLAN為200。
¡ 安全認證部分認證模式選擇MAC地址認證。
¡ 域名為dom1。
¡ 單擊<確定>按鈕。
圖6 配置無線服務
(6) 創建AP並綁定無線服務模板service(略)
# 創建VLAN 100,用於轉發AC和AP間CAPWAP隧道內的流量。
<Switch> system-view
[Switch] vlan 100
[Switch-vlan100] quit
# 創建VLAN 200,用於轉發Client無線報文。
[Switch] vlan 200
[Switch-vlan200] quit
# 配置Switch與AC相連的GigabitEthernet1/0/1接口的屬性為Trunk,允許VLAN 100和VLAN 200通過。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200
[Switch-GigabitEthernet1/0/1] quit
# 配置Switch與AP相連的GigabitEthernet1/0/2接口屬性為Access,並允許VLAN 100通過。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port access vlan 100
# 使能PoE功能。
[Switch-GigabitEthernet1/0/2] poe enable
[Switch-GigabitEthernet1/0/2] quit
# 將Switch與RADIUS服務器相連的GigabitEthernet1/0/3接口加入VLAN 100。
[Switch] vlan 100
[Switch-vlan100] port gigabitethernet 1/0/3
[Switch-vlan100] quit
# 配置VLAN 100接口的IP地址。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip address 10.1.1.47 24
[Switch-Vlan-interface100] quit
# 配置VLAN 200接口的IP地址。
[Switch] interface vlan-interface 200
[Switch-Vlan-interface200] ip address 10.1.2.2 24
[Switch-Vlan-interface200] quit
# 配置DHCP地址池100,用於為AP分配IP地址。
[Switch] dhcp server ip-pool 100
[Switch-dhcp-pool-100] network 10.1.1.0 mask 255.255.255.0
[Switch-dhcp-pool-100] gateway-list 10.1.1.46
[Switch-dhcp-pool-100] quit
# 配置DHCP地址池200,用於為Client分配IP地址,為Client分配的DNS服務器地址為網關地址(實際使用過程中請根據實際網絡規劃配置無線客戶端的DNS服務器地址)。
[Switch] dhcp server ip-pool 200
[Switch-dhcp-pool-200] network 10.1.2.0 mask 255.255.255.0
[Switch-dhcp-pool-200] gateway-list 10.1.2.2
[Switch-dhcp-pool-200] dns-list 10.1.2.2
[Switch-dhcp-pool-200] quit
# 開啟DHCP服務。
[Switch] dhcp enable
下麵以iMC為例(使用iMC版本為:iMC PLAT 7.1(E0303)、iMC UAM 7.1(E0304)),說明AAA服務器的基本配置。
# 增加接入設備。
登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入配置管理頁麵。在該頁麵中點擊<增加>按鈕,進入增加接入設備頁麵。
· 設置認證、計費共享密鑰為12345678;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.46的接入設備;
· 點擊<確定>按鈕完成操作。
圖7 增加接入設備頁麵
# 增加接入策略。
選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入策略管理]菜單項,進入接入策略管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入策略頁麵。
· 設置接入策略名輸入radius1;
· 其它保持缺省配置,點擊<確定>按鈕完成操作;
圖8 增加服務策略頁麵
# 增加接入服務。
選擇“用戶”頁簽,單擊導航樹[接入策略管理/接入服務管理]菜單項,進入接入服務管理頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入服務頁麵。
· 設置服務名為radius1;
· 設置缺省接入策略為已經創建的radius1策略;
· 其它保持缺省配置,點擊<確定>按鈕完成操作。
圖9 增加接入服務頁麵
# 增加接入用戶。
選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理/接入用戶]菜單項,進入接入用戶頁麵,在該頁麵中單擊<增加>按鈕,進入增加接入用戶頁麵。
· 添加用戶user;
· 添加賬號名為abc,密碼為123;
· 選中之前配置的服務radius1;
· 其它保持缺省配置,點擊<確定>按鈕完成操作。
圖10 增加接入用戶頁麵
客戶端通過MAC地址認證成功關聯AP,並且可以訪問無線網絡。
· 《H3C 無線控製器產品 Web網管配置指導》
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
