H3C无线网络控制器小贝WAC380-60本地MAC认证配置案例

科技   2024-11-03 19:46   河北  

1.组网需求

如下拓扑图,无线终端连接SSIDoffice无线网络后,无线终端通过在小贝产品上进行的MAC认证配置,获取到网关vlan10IP地址:192.168.10.1/24,实现对无线用户的统一管理和认证功能。现使用WAC380-60作为无线网络的网关设备,通过对终端设备的MAC进行认证,达到对用户访问进行控制的目的。

2.配置过程

2.1配置接入交换机

#创建VLAN 4001,其中VLAN 4001用于转发ACAPCAPWAP隧道内的流量,VLAN 10用于转发客户端无线报文。

<Switch> system-view
[Switch] vlan 4001
[Switch-vlan4001] quit
[Switch] 

# 配置SwitchWAC380-60相连的GigabitEthernet0/0/1接口的属性为Trunk,禁止VLAN 1报文通过,允许VLAN 4001通过,配置当前Trunk口的PVID4001

[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] undo port trunk permit vlan 1
[Switch-GigabitEthernet0/0/1] port trunk permit vlan 4001
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 4001
[Switch-GigabitEthernet0/0/1] quit

# 配置SwitchAP相连的GE0/0/2接口属性为Access,并允许VLAN 4001通过。

[Switch] interface gigabitethernet0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access 
[Switch-GigabitEthernet0/0/2] port access vlan 4001
#开启PoE接口远程供电功能
[Switch-GigabitEthernet0/0/2] poe enable
[Switch-GigabitEthernet0/0/2] quit
2.2配置无线控制器
2.2.1配置相关VLAN及对应虚接口的地址,以及DHCP服务。

# 创建VLAN4001及其对应的VLAN接口,为该接口配置IP地址192.168.254.1/24

<WAC380> system-view
[WAC380] vlan 4001
[WAC380-vlan4001] quit
[WAC380] interface Vlan-interface 4001
[WAC380-Vlan-interface4001] ip address 192.168.254.1 24
[WAC380-Vlan-interface4001] quit

# 开启dhcp服务,配置地址池vlan4001,为AP分配192.168.254.0/24网段AP使用该VLAN进行上线。

[WAC380]dhcp enable
[WAC380]dhcp server ip-pool vlan4001
[WAC380-dhcp-pool-vlan4001] network 192.168.254.0 mask 255.255.255.0
[WAC380-dhcp-pool-vlan4001] gateway-list 192.168.254.1
[WAC380-dhcp-pool-vlan4001] dns-list 223.5.5.5
[WAC380-dhcp-pool-vlan4001] quit

#创建VLAN10及其对应的VLAN接口,为该接口配置IP地址192.168.10.1/24

[WAC380] vlan 10
[WAC380-vlan10]quit
[WAC380] interface Vlan-interface 10
[WAC380-Vlan-interface10] ip address 192.168.10.1 24
[WAC380-Vlan-interface10] quit 

# 配置ACSwitch相连的接口GE1/0/1Trunk类型,禁止VLAN 1报文通过,允许VLAN10VLAN 4001通过,设置当前Trunk口的PVID4001

[WAC380] interface gigabitethernet1/0/1
[WAC380-GigabitEthernet1/0/1] port link-type trunk
[WAC380-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[WAC380-GigabitEthernet1/0/1] port trunk permit vlan 10 4001
[WAC380-GigabitEthernet1/0/1] port trunk pvid vlan 4001
[WAC380-GigabitEthernet1/0/1]quit

# 配置地址池vlan10,为终端分配192.168.10.0/24

[H3C]dhcp server ip-pool vlan10
[H3C-dhcp-pool-vlan10] network 192.168.10.0 mask 255.255.255.0
[H3C-dhcp-pool-vlan10]gateway-list 192.168.10.1
[H3C-dhcp-pool-vlan10]dns-list 223.5.5.5
[H3C-dhcp-pool-vlan10]quit
2.2.2配置本地认证域

# 创建一个名称为local-mac的认证域,为lan-access配置认证方法为local

[WAC380-isp-local-mac]authentication lan-access ?
  ldap-scheme    Specify LDAP scheme
  local          Specify local scheme
  none           Specify none scheme
  radius-scheme  Specify RADIUS scheme

[WAC380-isp-local-mac]authentication lan-access local
[WAC380-isp-local-mac]authorization-attribute idle-cut 15 1024
[WAC380-isp-local-mac]quit
[WAC380]
2.2.3配置本地用户

# 配置一个网络接入类的本地用户,名称为客户端的MAC地址24236113bb49,密码为明文密码24236113bb49(同账号),并指定用户可以使用lan-access服务。

[WAC380]local-user ?
  STRING<1-55>  Local user name, which cannot contain the domain name

[WAC380]local-user 24236113bb49 class ?
  manage   Device management user
  network  Network access user

[WAC380]local-user 24236113bb49 class network
New local user added.
[WAC380-luser-network-24236113bb49]password simple 24236113bb49
[WAC380-luser-network-24236113bb49]serv
[WAC380-luser-network-24236113bb49]service-type lan-access
[WAC380-luser-network-24236113bb49]quit
[WAC380]
2.2.4配置本地MAC地址认证的用户名格式

# 配置MAC地址认证的用户名格式为小写不带横杠(该配置为缺省配置)。

[WAC380]mac-authentication user-name-format mac-address without-hyphen ?
  lowercase  Letters in lower case
  uppercase  Letters in upper case
  <cr>       

[WAC380]mac-authentication user-name-format mac-address without-hyphen lowercase
[WAC380]
2.2.5配置无线服务

# 创建无线服务模板10,并进入无线服务模板视图。配置SSIDoffice、配置无线服务模板VLAN10(绑定VLAN10)、配置客户端接入方式为mac认证,并使能无线服务。

[WAC380] wlan service-template 10
[WAC380-wlan-st-10] ssid office
[WAC380-wlan-st-10] vlan 10
#配置客户端接入认证方式为MAC地址认证(这里是重点),配置MAC地址认证用户使用的ISP域为local-mac。
[WAC380-wlan-st-10] client-security authentication-mode mac
[WAC380-wlan-st-10] mac-authentication domain local-mac
[WAC380-wlan-st-10] service-template enable
[WAC380-wlan-st-10] quit

#创建AP,配置AP名称为officeap,型号名称选择WAP722S-W2,并配置序列号,进入Radio 1视图,绑定服务模板10,开启射频信号。

[WAC380] wlan ap officeap01 model WAP722S-W2 
[WAC380-wlan-ap-officeap01] serial-id 219801A1GW8999E001PP
[WAC380-wlan-ap-office01] radio 1
[WAC380-wlan-ap-officeap01-radio-1] service-template 10
[WAC380-wlan-ap-officeap01-radio-1] radio enable
[WAC380-wlan-ap-officeap01-radio-1]quit
[WAC380-wlan-ap-officeap01]quit
[WAC380]

3.验证配置

无线用户认证通过后,可能通过下面命令查看:

<WAC380>display wlan client
Total number of clients: 1

MAC address     User name            AP name            RID    IP address       VLAN
2423-6113-bb49  24236113bb49         officeap01          2     192.168.10.253     10

Python运维实践
Python运维实践,专注于互联网技术的总结与交流,内容涉及Python自动化运维、Django框架、园区网络技术、linux云计算、系统架构及网络空间安全等知识的实践与分享。
 最新文章