求一份mac認證中的guest vlan典型配置案例

//www.yolosolive.com/cn/d_202312/2005906_30005_0.htm

H3C WX係列AC 無線MAC地址認證結合Guest Vlan Portal認證典型配置案例 - 知了社區

//www.yolosolive.com/cn/d_202304/1831756_30005_0.htm

H3C無線控製器MAC地址認證+Guest VLAN典型配置舉例

您好，請知：

以下是配置案例，請參考：

H3C WX係列AC 無線MAC地址認證結合Guest Vlan Portal認證典型配置案例

一、 組網需求：

WX係列AC、FIT AP、便攜機(安裝有無線網卡)

二、 組網圖：

上圖配置舉例中的AC使用的是WX3010無線控製器，AP使用的是WA2220-AG。

三、 業務需求：

1、對於需要MAC地址認證的客戶端進行MAC地址認證，獲取VLAN2 網段地址。        2、對於不需要MAC地址認證的客戶端在進行MAC認證失敗後會進入Portal認證vlan（即Guest Vlan）獲取VLAN3 地址再進行Portal認證。

四、 設備配置：

<AC>_ ver

H3C Comware Platform Software

Comware Software, Version 5.20, Release 3111P12

Comware Platform Software Version COMWAREV500R002B71D024

H3C WX3010 Software Version V300R001B71D024

Copyright (c) 2004-2011 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

Compiled Nov 29 2011 16:26:24, RELEASE SOFTWARE

H3C WX3010 uptime is 0 week, 0 day, 3 hours, 23 minutes

<AC>display current-configuration

#

 version 5.20, Release 3111P12

#

 sysname AC

#

 domain default enable system

#

 telnet server enable

#

 port-security enable

#

 portal server portal ip 192.168.1.1 url http://192.168.1.1/portal/logon.htm

 portal free-rule 1 source interface GigabitEthernet1/0/1 destination any

 portal local-server http

 portal trap server-down

#

 mac-authentication domain mac

#

 oap management-ip 192.168.0.101 slot 0

#

vlan 1

#

vlan 2 to 3

#              

domain mac

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain portal

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

dhcp server ip-pool vlan1

 network 192.168.1.0 mask 255.255.255.0

 gateway-list 192.168.1.1

 expired day 0 hour 2

#

dhcp server ip-pool vlan2

 network 192.168.2.0 mask 255.255.255.0

 gateway-list 192.168.2.1

 expired day 0 hour 2

#

dhcp server ip-pool vlan3

 network 192.168.3.0 mask 255.255.255.0

 gateway-list 192.168.3.1

 expired day 0 hour 2

#

user-group system

#

local-user 5cac4c918140

 password simple 5cac4c918140

 authorization-attribute level 3

 service-type lan-access

local-user admin

 password simple admin

 authorization-attribute level 3

 service-type telnet

local-user portal

 password simple portal

 authorization-attribute level 3

 service-type portal

#              

wlan rrm

 dot11a mandatory-rate 6 12 24

 dot11a supported-rate 9 18 36 48 54

 dot11b mandatory-rate 1 2

 dot11b supported-rate 5.5 11

 dot11g mandatory-rate 1 2 5.5 11

 dot11g supported-rate 6 9 12 18 24 36 48 54

#

wlan service-template 1 clear

 ssid H3C

 bind WLAN-ESS 1

 service-template enable

#

interface NULL0

#

interface Vlan-interface1

 ip address 192.168.1.1 255.255.255.0

#

interface Vlan-interface2

 ip address 192.168.2.1 255.255.255.0

#

interface Vlan-interface3

 ip address 192.168.3.1 255.255.255.0

 portal server portal method direct

 portal domain portal

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan all

#

interface WLAN-ESS1

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 2 untagged

 port hybrid pvid vlan 2

 mac-vlan enable

 port-security port-mode mac-authentication

 mac-authentication guest-vlan 3

#

wlan ap ap1 model WA2220-AG id 1

 serial-id 210235A29E0087000090

 radio 1

 radio 2

  max-power 5

  service-template 1

  radio enable 

#

 dhcp server forbidden-ip 192.168.1.1

 dhcp server forbidden-ip 192.168.2.1

 dhcp server forbidden-ip 192.168.3.1

#

 dhcp enable

#

 load xml-configuration

#

user-interface aux 0

user-interface vty 0 4

 authentication-mode scheme

 user privilege level 3

#

return

五、 配置關鍵點：

(1) 配置本地MAC地址認證

?    創建本地用戶。

# 添加名稱為5cac4c918140的本地用戶, 指定用戶可以使用lan-access服務, 設置密碼為明文顯示，密碼為5cac4c918140。

[AC]local-user 5cac4c918140

[AC-luser-5cac4c918140]service-type lan-access

[AC-luser-5cac4c918140]password simple 5cac4c918140

[AC-luser-5cac4c918140]quit

?    指定MAC地址認證用戶所使用的domain域。

[AC]mac-authentication domain mac

?    全局使能端口安全。

[AC]port-security enable

?    配置端口WLAN-ESS 1

# 配置端口為Hybrid 端口，允許VLAN 2的報文不帶Tag通過，PVID為VLAN2，且啟用Mac-vlan功能。

<AC> system-view

[AC] interface WLAN-ESS 1

[AC-WLAN-ESS1]port link-type hybrid

[AC-WLAN-ESS1]port hybrid vlan 2 untagged

[AC-WLAN-ESS1]port hybrid pvid vlan 2

[AC-WLAN-ESS1]mac-vlan enable

# 在WLAN-ESS 1上使能MAC地址認證，將VLAN加入MAC認證Guest Vlan。

[AC-WLAN-ESS1]port-security port-mode mac-authentication

[AC-WLAN-ESS1]mac-authentication guest-vlan 3

?    無線服務集設置

# 創建clear類型的服務模板1。

[AC]wlan service-template 1 clear

# 設置當前服務模板的SSID（服務模板的標識）為H3C。

[AC-wlan-st-1]ssid H3C

# 將WLAN-ESS1接口綁定到服務模板1。

[AC-wlan-st-1]bind WLAN-ESS 1

# 設置無線客戶端接入該無線服務（SSID）的認證方式為開放式係統認證。

[AC-wlan-st-1]authentication-method open-system

# 使能服務模板。

[AC-wlan-st-1]service-template enable

(2) 配置本地Portal認證

?    配置portal本地認證的用戶

[AC]local-user portal

[AC-luser-portal]service-type portal

[AC-luser-portal]password simple portal

?    配置Portal Server和免認證規則。

# 配置Portal服務器portal的IP地址為192.168.1.1、HTTP重定向的URL為http://192.168.1.1/portal/logon.htm 。

[AC] portal server portal ip 192.168.1.1 url http://192.168.1.1/portal/logon.htm  

# 配置Portal免認證規則0，符合源接口為GigabitEthernet1/0/1的任意報文不會觸發Portal認證。

[AC] portal free-rule 0 source interface GigabitEthernet1/0/1 destination any

# 配置本地Portal服務器支持HTTP協議方式。

[AC] portal local-server http

# 進入VLAN接口視圖3。

[AC] interface Vlan-interface 3

# 配置接口IP地址為192.168.3.1。

[AC-Vlan-interface3] ip address 192.168.3.1 255.255.255.0

# 在接口Vlan-interface3上使能Portal。指定Portal服務器為portal，並配置為直接認證方式。

[AC-Vlan-interface3] portal server portal method direct

[AC-Vlan-interface3] quit

對free-rule 0的說明補充：不配置該免認證規則時，從GigabitEthernet1/0/1進來的報文也被丟棄，用戶通過認證後也ping不通外網（網關），加上該規則的目的就是讓放開從該口進來的報文。

六、 結果驗證：

在AC上查看STA在線狀態及認證狀態。

<AC>display wlan client

 Total Number of Clients           : 2

 Total Number of Clients Connected : 2

                              Client Information

---------------------------------------------------------------------

 MAC Address        BSSID      AID    State       PS Mode    QoS Mode

---------------------------------------------------------------------

 0024-d636-18b2 000f-e2ac-0b50  2      Running     Active      WMM    

5cac-4c91-8140  000f-e2ac-0b50  1      Running     Active      WMM    

---------------------------------------------------------------------

<AC>display connection

Index=233 ,Username=5cac4c918140@mac               

MAC=5C-AC-4C-91-81-40,IP=N/A

Index=236 ,Username=portal@portal                  

MAC=00-24-D6-36-18-B2,IP=192.168.3.6

Total 2 connection(s) matched.

注：上述案例中MAC地址認證、Portal認證均在本地AC設備完成， AC設備也可結合Radius Server實現上述需求，這裏不再贅述。