1、X5 同北工/奴業於天茅落HKHKlOF IHIMfSTHY ANI1 HCH邛M.力RY項目案例計算機網絡系統集成項目（工程項目案例及實踐）所在系別：計算機技術系所屬專業：計算機網絡技術指導教師：張海峰專業負責人：孫志成H3c無線控制器MA現址認證+Guest VLAN典型配置舉例（V7）、功能需求本文檔介紹當用戶 MAC地址認證失敗時只能訪問某一特定的VLAN，即Guest VLAN內的網絡資源的典型配置舉例。本文檔不嚴格與具體軟、硬件版本對應，如果使用過程中與產品實際情況有差異，請參考相關產品手冊，或以設備實際情況為準。本文檔中的配置均是在實驗室環境下進行的配置和驗證，配置前設備的所有參

2、數均采用出廠時的缺省配置。 如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不沖突。本文檔假設您已了解 AAA、MAC地址認證、WLAN用戶接入認證和 WLAN接入特 性。，組網信息及描述|如圖1所示，集中式轉發架構下，AP和Client通過DHCP server獲取IP地址，設備管理員希望對 Client進彳t MAC地址認證，以控制其對網絡資源的訪問，具體要求 如下：配置 VLAN 200 為 Client 的接入 VLAN , Client 通過 VLAN 200上線并在RADIUS server 上進行MAC地址認證。配置 VLAN 300為Guest V

3、LAN ,當Client的MAC地址認證失敗時進入Guest VLAN ,此時Client只能訪問VLAN 300內的網絡資源。RADIUS server112.12.1.50f24Vlar-int100：112.12.1.25/16Vlan-jnt200: 112 13.1.25/167lan-int3OO:112.14.1J5;ieACDHCPSSwitch、配置步驟配置思路為了實現用戶 MAC地址認證失敗后僅允許訪問Guest VLAN內的資源，需要在無線服務模板下配置 Guest VLAN功能，則認證失敗的用戶會被加入該Guest VLAN ,且該用戶僅被授權訪問Guest VLAN內

4、的資源，同時設備會啟動一個30秒的定時器，以定期對用戶進行重新認證。配置步驟配置 AC配置AC的接口創建VLAN 100及其對應的 VLAN接口，并為該接口配置IP地址。AP將獲取該IP 地址與AC建立CAPWAP隧道。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 112.12.1.25 16AC-Vlan-interface100 quit創建VLAN 200及其對應的 VLAN接口，并為該接口配置IP地址。Client使用該VLAN接入

5、無線網絡。AC vlan 200AC-vlan200 quitAC interface vlan-interface 200AC-Vlan-interface200 ip address 112.13.1.25 16AC-Vlan-interface200 quit創建VLAN 300及其對應的VLAN接口，并為該接口配置IP地址。Client MAC 地址認證失敗后將僅允許訪問VLAN 300 (即Guest VLAN )內的資源。AC vlan 300AC-vlan300 quitAC interface vlan-interface 300AC-Vlan-interface300 ip

6、address 112.14.1.25 16AC-Vlan-interface300 quit配置 AC 和 Switch 相連的接口 GigabitEthernet1/0/1 為 Trunk 類型，禁止 VLAN 1 報文通過，允許 VLAN 100、VLAN 200 和VLAN 300 通過，當前 Trunk 的PVID 為 100。AC interface gigabitEthernet1/0/1|AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 undo port trunk permit vlan

7、1AC-GigabitEthernet1/0/1 port trunk permit vlan 100 200 300AC-GigabitEthernet1/0/1 port trunk pvid vlan 100AC-GigabitEthernet1/0/1 quit配置 DHCP server開啟DHCP server功能。AC dhcp enable配置DHCP地址池vlan100 ,為AP分配的地址范圍為 112.12.0.0/16 ,網關地址為 112.12.1.25。AC dhcp server ip-pool vlan100AC-dhcp-pool-vlan100 network

8、 112.12.0.0 mask 255.255.0.0AC-dhcp-pool-vlan100 gateway-list 112.12.1.25AC-dhcp-pool-vlan100 quit#配置DHCP地址池vlan200 ,為Client分配的地址范圍為112.13.0.0/16 ,網關地址為 112.12.1.25 。AC dhcp server ip-pool vlan200AC-dhcp-pool-vlan200 network 112.13.0.0 mask 255.255.0.0AC-dhcp-pool-vlan200 gateway-list 112.12.1.25AC-

9、dhcp-pool-vlan200 quit配置DHCP地址池vlan300 ,為從Guest VLAN 上線的用戶分配的地址范圍為 112.14.0.0/16 ,網關地址為 112.12.1.25 。AC dhcp server ip-pool vlan300AC-dhcp-pool-vlan300 network 112.14.0.0 mask 255.255.0.0AC-dhcp-pool-vlan300 gateway-list 112.12.1.25AC-dhcp-pool-vlan300 quit配置RADIUS認證創建名為office的RADIUS方案，并進入其視圖。AC rad

10、ius scheme office|配置主認證、計費 RADIUS服務器的IP地址為112.12.1.50 。AC-radius-office primary authentication 112.12.1.50AC-radius-office primary accounting 112.12.1.50|配置RADIUS認證、計費報文的共享密鑰為123456789 。AC-radius-office key authentication simple 123456789AC-radius-office key accounting simple 123456789配置發送給RADIUS服務器

11、的用戶名不攜帶域名。AC-radius-office user-name-format without-domain配置設備發送 RADIUS報文使用的源IP地址為112.12.1.25 。AC-radius-office nas-ip 112.12.1.25|AC-radius-office quit|創建名為office1的ISP域，并進入其視圖。AC domain office1為lan-access用戶配置認證、授權、計費方案為RADIUS方案office。AC-isp-office1 authentication lan-access radius-scheme officeAC-i

12、sp-office1authorization lan-access radius-scheme office |AC-isp-office1 accounting lan-access radius-scheme office配置用戶閑置切斷時間為15分鐘，閑置切斷時間內產生的流量為1024字節。AC-isp-office1 authorization-attribute idle-cut 15 1024AC-isp-office1 quit配置MAC地址認證的用戶名和密碼均為用戶的MAC地址，且不帶連字符(該配置為缺省配置)。AC mac-authentication user-name-

13、format mac-address without-hyphen lowercase配置服務模板創建無線服務模板1,并進入無線服務模板視圖。AC wlan service-template 1配置 SSID 為 service。AC-wlan-st-1 ssid service配置客戶端從無線服務模板1上線后會被加入VLAN 200。AC-wlan-st-1 vlan 200|配置客戶端接入認證方式為MAC地址認證。AC-wlan-st-1 client-security authentication-mode mac配置MAC地址認證用戶使用的ISP域為office1 。AC-wlan-s

14、t-1 mac-authentication domain office1配置 Guest VLAN# 在無線服務模板 1下配置MACM址認證失敗后可授權訪問的Guest VLAN為VLAN300。AC-wlan-st-1 client-security authentication fail-vlan 300#開啟無線服務模板。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit配置射頻接口并綁定服務模板創建手工 AP,名稱為officeap ,型號名稱為 WA4320i-ACN 。AC wlan ap officeap model WA

15、4320i-ACN設置 AP 序列號為 210235A1Q2C159000020。AC-wlan-ap-officeap serial-id 210235A1Q2C159000020進入AP的Radio 2視圖，并將無線服務模板1綁定到Radio 2上。AC-wlan-ap-officeap radio 2AC-wlan-ap-officeap-radio-2 service-template 1開啟Radio 2的射頻功能。AC-wlan-ap-officeap-radio-2 radio enable|AC-wlan-ap-officeap-radio-2 quitAC-wlan-ap-o

16、fficeap quit配置 Switch創建 VLAN 100、VLAN 200 和 VLAN 300 ,其中 VLAN 100 用于轉發 AC 和 AP 間 CAPWAP隧道內的流量，VLAN 200用于轉發Client無線報文，VLAN 300用于轉 發Guest VLAN 的報文。 system-viewSwitch vlan 100Switch-vlan100 quitSwitch vlan 200Switch-vlan200 quitSwitch vlan 300Switch-vlan300 quit配置 Switch 與 AC 相連的 GigabitEthernet1/0/1接口

17、的屬性為 Trunk，禁止 VLAN 1報文通過，允許 VLAN 100 通過，當前 Trunk 口的PVID為100。Switch interface gigabitEthernet1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEthernet1/0/1 undo port trunk permit vlan 1Switch-GigabitEthernet1/0/1 port trunk permit vlan 100Switch-GigabitEthernet1/0/1 port trunk pvid

18、vlan 100Switch-GigabitEthernet1/0/1 quit配置 Switch 與 AP 相連的 GigabitEthernet1/0/2 接口屬性為 Access，并允許 VLAN 100通過。Switch interface gigabitEthernet1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitEthernet1/0/2 port access vlan 100開啟PoE接口遠程供電功能。Switch-GigabitEthernet1/0/2 poe enableSwitch

19、-GigabitEthernet1/0/2 quit配置RADIUS服務器下面以 iMC 為例(使用 iMC 版本為：iMC PLAT 7.1(E0303P10)、iMCUAM 7.1(E0303P10),說明 RADIUS server 的基本配置。增加接入設備“用戶”頁簽，單擊導航樹中的 接入策略管理/接入設備管登錄進入iMC管理平臺，理/接入設備配置菜單項，單擊 增加按鈕，進入“增加接入設備”頁面，單擊 手 工增加 按鈕，進入“手工增加接入設備”頁面。填寫起始IP地址為“112.12.1.25 ;該IP地址為AC上配置的radius scheme 視圖下的 nas-ip 地址。單擊確定

20、按鈕完成操作。在“接入配置”區域配置共享密鑰為“123456789 : 該共享密鑰與AC上配置Radius服務器上的密鑰一致。其他配置采用頁面默認配置即可。單擊確定 按鈕完成操作。1S12不啟用混合組網H3C(GeneraO計到業務奧業緩確認/確定I取消用戶)接入策略管理 接入設備管理 接入誨備酉己置 增加接入設備接入配置認 KEffi 口 *組闞方式接入設備類型共享密鑰安接入設備分組設備列表選擇I手工增加I增加IPv6巡留I全部清除設備名稱設苦IP地址設基型號112.12.1J5共有1條記錄.增加接入規則配置選擇“用戶”頁簽，單擊導航樹中的接入策略管理/接入策略管理菜單項，單擊 接入策暗管理

21、 接入第暗管理 增加接入策略基本信息接入策略名*業務分組*描述授權信息接入時段下行速率(Kbps)優先級證書認證認證證書類型下發ULAN下發User Profile下發ACL分酒田北上行速號啟月不啟用 EAP證書認證 WMI證書認證下發用F增加服務配置選擇“用戶”頁簽，單擊導航樹中的接入策略管理/接入服務管理菜單項，單擊 按鈕，創建一條服務。配置服務名為“ office_mac (這里的服務名可以任意命名)。缺省接入策略選擇“ office ”。其他采用默認配置。單擊確定 按鈕完成配置。號 用戶,接入簫略管理 接入J艮務管理 崎加接入努基本信息服務名M業務分組金缺肯安全策暗&缺背稹有屬性下發策

22、略*缺苜單帳號最大綁定綺徽*服務描述同可申請接入場累列表增加名禰接入策略安全笫略私有屬性下資未找到符舍錄件的記錄.確定勒肖增加接入用戶選擇“用戶”頁簽，單擊導航樹中的接入用戶管理/接入用戶菜單項，單擊 增加按鈕，增加一個接入用戶。adm_office_mac ”和證件單擊 增加用戶 按鈕，輸入用戶姓名號碼adm_office_mac ,單擊確定 按鈕完成。學 用戶 接入用戶 增加接入用戶接入用戶接入信息用戶姓名*帳號名上預開戶用戶密碼*M允許用戶修改三鈔時間最大閑置時長份鐘）Portal無爵口認證最登錄提示信息SA服務增加用戶增加用戶-Mczilld FireFoX8AA,50：80S0/im

23、c/usr/user/addU5erPopUpContenthtml增力口用戶基本信息用戶姓名直adm_of1ice_mac證件號幫女sdm_o通訊帆t電話電子郵件用戶分組女服務名配置帳號名 admin ”和密碼“ 123456 ”。勾選綁定服務名office_mac ”。單擊 確定按鈕完成。這里在Radius服務器上配置的用戶認證賬號名“ admin ”和密碼“ 123456 ”與A。 上配置的MAC地址認證的用戶名和密碼 （Client的MAC地址）不一致，所以Client上線后會認證不通過，從而進入Guest VLAN完成以上配置后，無線用戶Client連接到WLAN網絡并進行 MAC地

24、址認證。由于RADIUS server上配置的用戶名和密碼與AC上配置的MAC地址認證的用戶名和密碼不一致，因此認證失敗，在 AC上通過命令display wlan client 可以看見無線用 戶 Client 從 Guest VLAN 300 上線。AC display wlan clientTotal Number of Clients : 1AddressVLAN3ca9-f414-4c203ca9f4144c201/2 112.14.0.2300Guest VLAN 中的無線用戶 Client在通過MAC地址認證之前只能訪問VLAN 300的網絡資源。Guest VLAN 中的無線用

25、戶 Client通過MAC地址認證后，可以通過命令displaymac-authentication 查看 MAC 認證信息。AC display mac-authenticationGlobal MAC authentication parameters:|MAC authentication : Enabled|User name format : MAC address inlowercase(xx-xx-xx-xx-xx-xx)Username : 3ca9f4144c20| Password :$c$3$KWMkvq/FnQ2opPqBnpSTs3NPhVKrSOvqFPLAECSi

26、DQ=Offline detect period : 180 sQuiet period : 180 sServer timeout : 100 sAuthentication domain : office1|Online MAC-auth users : 1|Silent MAC users:MAC address VLAN ID Fromport Port index3ca9-f414-4c20 300GE1/0/1GigabitEthernet1/0/1 is link-up TOC o 1-5 h z MAC authentication : Enabled|Carry User-I

27、P : Disabled|Authentication domain : Not configuredAuth-delay timer : Disabled|Re-auth server-unreachable : LogoffGuest VLAN: 300Guest VLAN auth-period : 30 sCritical VLAN: Not configuredHost mode: Single VLANOffline detection : EnabledMax online users : 4294967295Authentication attempts : successfu

28、l 1, failed 0 Current online users : 1MAC address Auth state 3ca9-f414-4c20 Authenticated1.4配置文件AC#dhcp | enable# vlan |1 # vlan-1100 # vlan-1 200# vlan | 300#dhcp server ip-pool vlan100gateway-list112.12.1.25network 112.12.0.0 mask255.255.0.0#dhcp server ip-pool vlan200gateway-list112.12.1.25networ

29、k 112.13.0.0 mask255.255.0.0#dhcp server ip-pool vlan300gateway-list 112.12.1.25network 112.14.0.0 mask 255.255.0.0# wlan service-template|1ssid servicevlan 200client-security authentication-mode macclient-security authentication fail-vlan 300 mac-authentication domain office1 service-template enable # interface | Vlan-interface100ip address 112.12.1.25 255.255.0.0# interface | Vlan-interface200ip address 112.13.1.25 255.255.0.0# interface | Vlan-interface300ip address 112.14.1.25 255.255.0.0# interface | GigabitEthernet1/0/1 port lin