1.组网需求
如下拓扑图,无线终端连接SSID
为office
无线网络后,无线终端通过在小贝产品上进行的MAC
认证配置,获取到网关vlan10
的IP
地址:192.168.10.1/24
,实现对无线用户的统一管理和认证功能。现使用WAC380-60
作为无线网络的网关设备,通过对终端设备的MAC
进行认证,达到对用户访问进行控制的目的。
2.配置过程
2.1配置接入交换机
#创建VLAN 4001
,其中VLAN 4001
用于转发AC
和AP
间CAPWAP
隧道内的流量,VLAN 10
用于转发客户端无线报文。
<Switch> system-view
[Switch] vlan 4001
[Switch-vlan4001] quit
[Switch]
# 配置Switch
与WAC380-60
相连的GigabitEthernet0/0/1
接口的属性为Trunk
,禁止VLAN 1
报文通过,允许VLAN 4001
通过,配置当前Trunk
口的PVID
为4001
。
[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] port link-type trunk
[Switch-GigabitEthernet0/0/1] undo port trunk permit vlan 1
[Switch-GigabitEthernet0/0/1] port trunk permit vlan 4001
[Switch-GigabitEthernet0/0/1] port trunk pvid vlan 4001
[Switch-GigabitEthernet0/0/1] quit
# 配置Switch
与AP
相连的GE0/0/2
接口属性为Access
,并允许VLAN 4001
通过。
[Switch] interface gigabitethernet0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port access vlan 4001
#开启PoE接口远程供电功能
[Switch-GigabitEthernet0/0/2] poe enable
[Switch-GigabitEthernet0/0/2] quit
2.2配置无线控制器
2.2.1配置相关VLAN
及对应虚接口的地址,以及DHCP
服务。
# 创建VLAN4001
及其对应的VLAN
接口,为该接口配置IP
地址192.168.254.1/24
。
<WAC380> system-view
[WAC380] vlan 4001
[WAC380-vlan4001] quit
[WAC380] interface Vlan-interface 4001
[WAC380-Vlan-interface4001] ip address 192.168.254.1 24
[WAC380-Vlan-interface4001] quit
# 开启dhcp
服务,配置地址池vlan4001
,为AP
分配192.168.254.0/24
网段AP
使用该VLAN
进行上线。
[WAC380]dhcp enable
[WAC380]dhcp server ip-pool vlan4001
[WAC380-dhcp-pool-vlan4001] network 192.168.254.0 mask 255.255.255.0
[WAC380-dhcp-pool-vlan4001] gateway-list 192.168.254.1
[WAC380-dhcp-pool-vlan4001] dns-list 223.5.5.5
[WAC380-dhcp-pool-vlan4001] quit
#创建VLAN10
及其对应的VLAN
接口,为该接口配置IP
地址192.168.10.1/24
。
[WAC380] vlan 10
[WAC380-vlan10]quit
[WAC380] interface Vlan-interface 10
[WAC380-Vlan-interface10] ip address 192.168.10.1 24
[WAC380-Vlan-interface10] quit
# 配置AC
和Switch
相连的接口GE1/0/1
为Trunk
类型,禁止VLAN 1
报文通过,允许VLAN10
和VLAN 4001
通过,设置当前Trunk
口的PVID
为4001
。
[WAC380] interface gigabitethernet1/0/1
[WAC380-GigabitEthernet1/0/1] port link-type trunk
[WAC380-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[WAC380-GigabitEthernet1/0/1] port trunk permit vlan 10 4001
[WAC380-GigabitEthernet1/0/1] port trunk pvid vlan 4001
[WAC380-GigabitEthernet1/0/1]quit
# 配置地址池vlan10
,为终端分配192.168.10.0/24
。
[H3C]dhcp server ip-pool vlan10
[H3C-dhcp-pool-vlan10] network 192.168.10.0 mask 255.255.255.0
[H3C-dhcp-pool-vlan10]gateway-list 192.168.10.1
[H3C-dhcp-pool-vlan10]dns-list 223.5.5.5
[H3C-dhcp-pool-vlan10]quit
2.2.2配置本地认证域
# 创建一个名称为local-mac
的认证域,为lan-access
配置认证方法为local
。
[WAC380-isp-local-mac]authentication lan-access ?
ldap-scheme Specify LDAP scheme
local Specify local scheme
none Specify none scheme
radius-scheme Specify RADIUS scheme
[WAC380-isp-local-mac]authentication lan-access local
[WAC380-isp-local-mac]authorization-attribute idle-cut 15 1024
[WAC380-isp-local-mac]quit
[WAC380]
2.2.3配置本地用户
# 配置一个网络接入类的本地用户,名称为客户端的MAC
地址24236113bb49
,密码为明文密码24236113bb49
(同账号),并指定用户可以使用lan-access
服务。
[WAC380]local-user ?
STRING<1-55> Local user name, which cannot contain the domain name
[WAC380]local-user 24236113bb49 class ?
manage Device management user
network Network access user
[WAC380]local-user 24236113bb49 class network
New local user added.
[WAC380-luser-network-24236113bb49]password simple 24236113bb49
[WAC380-luser-network-24236113bb49]serv
[WAC380-luser-network-24236113bb49]service-type lan-access
[WAC380-luser-network-24236113bb49]quit
[WAC380]
2.2.4配置本地MAC地址认证的用户名格式
# 配置MAC
地址认证的用户名格式为小写不带横杠(该配置为缺省配置)。
[WAC380]mac-authentication user-name-format mac-address without-hyphen ?
lowercase Letters in lower case
uppercase Letters in upper case
<cr>
[WAC380]mac-authentication user-name-format mac-address without-hyphen lowercase
[WAC380]
2.2.5配置无线服务
# 创建无线服务模板10
,并进入无线服务模板视图。配置SSID
为office
、配置无线服务模板VLAN
为10
(绑定VLAN10
)、配置客户端接入方式为mac
认证,并使能无线服务。
[WAC380] wlan service-template 10
[WAC380-wlan-st-10] ssid office
[WAC380-wlan-st-10] vlan 10
#配置客户端接入认证方式为MAC地址认证(这里是重点),配置MAC地址认证用户使用的ISP域为local-mac。
[WAC380-wlan-st-10] client-security authentication-mode mac
[WAC380-wlan-st-10] mac-authentication domain local-mac
[WAC380-wlan-st-10] service-template enable
[WAC380-wlan-st-10] quit
#创建AP
,配置AP
名称为officeap
,型号名称选择WAP722S-W2
,并配置序列号,进入Radio 1
视图,绑定服务模板10
,开启射频信号。
[WAC380] wlan ap officeap01 model WAP722S-W2
[WAC380-wlan-ap-officeap01] serial-id 219801A1GW8999E001PP
[WAC380-wlan-ap-office01] radio 1
[WAC380-wlan-ap-officeap01-radio-1] service-template 10
[WAC380-wlan-ap-officeap01-radio-1] radio enable
[WAC380-wlan-ap-officeap01-radio-1]quit
[WAC380-wlan-ap-officeap01]quit
[WAC380]
3.验证配置
无线用户认证通过后,可能通过下面命令查看:
<WAC380>display wlan client
Total number of clients: 1
MAC address User name AP name RID IP address VLAN
2423-6113-bb49 24236113bb49 officeap01 2 192.168.10.253 10