admin管理员组文章数量:1533920
2024年6月19日发(作者:)
H3C无线控制器本地MAC认证典型配置
一、组网需求
如图所示,集中式转发架构下,
AP
和
CIient
通过
DHCPSerVer
获取
IP
地址,要求
在
AC
上使用
MAC
地址用户名格式认证方式进行用户身份认证,以控制其对网络资源的访
问。
图
1
本地
MAC
地址认证配置组网图
Vlaπ4πt100;
112 12 1.25/16
AC
DHCP server
Switch
AP Client
二、配置注意事项
1
、配置
AP
的序列号时请确保该序列号与
AP
唯一对应,
AP
的序列号可以通过
AP
设备背面的标签获取。
2
、在
AC
上配置的
MAC
地址认证的用户名、密码需要与
Client
上配置的用户名、
密码保持一致,即使用
Client
的
MAC
地址作为用户名和密码进行
MAC
地址认证。
3
、配置
Switch
和
AP
相连的接口禁止
VLAN 1
报文通过,以防止
AC
上
VLAN 1
内
的报文过多°
三、配置步骤
1、
配置
AC
(1)
配置
AC
的接口
# 创建
VLAN IOO
及其对应的
VLAN
接口,并为该接口配置
IP
地址。
AP
将获取该
IP
地址与
AC
建立
CAPWAP
隧道。
vlan-interface 100 [AC-Vlan-InterfacelOO] ip address 112.12.1.25
24 [AC-Vlan-interfacelOO] quit
# 创建
VLAN 200
及其对应的
VLAN
接口,并为该接口配置
IP
地址。
CIient
使用该
VLAN
接入无线网络。
[AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface
200
[AC-Vlan-interface200] ip address 112.12.2 ∙ 25 24 [AC-Vlan-
interface200] quit
# 配置
AC
和
Switch
相连的接口
GigabitEthernetI/0/1
为
Trunk
类型,禁止
VLAN
1
报文通过,允许
VLANIoO
和
VLAN 200
通过,当前
TnJnk
口的
PVID
为
100
。
[AC] interface gigabitethemet1/0/1
[AC-GigabitEthernetl/0/1]
port link-type trunk
[AC-GigabitEthernetl/0/1]
undo port trunk permit vlan 1
[AC-GigabitEthernetl/0/1]
port trunk permit vlan 100 200
[AC-GigabitEthernetl/0/1]
port trunk pvid vlan 100
[AC-GigabitEthernetl/0/1]
quit
(2)
配置
DHCP server
# 开启
DHCP server
功能。
[AC] dhcp enable
# 配置
DHCP
地址池
vlan100
为
AP
分配地址范围为
112.12.1.0/24,
网关地址为
112.12.1.25o
[AC] dhcp server ip-pool vlanlOO
[AC-dhcρ-ρool-vlanlOO] network 112.12.1.0 mask 255.255.255.0
[AC-dhcp-poo1-vlanlOO] gateway-list 112.12.1.25 [AC-dhcp-pool-
vlaπl00] quit
# 配置
DHCP
地址池
VIan200
为
CIiem
分配地址范围为
112.12.2.0/24,
网关地址为
112.13.1.25o
[AC] dhcp server ip-pool vlan200
[AC-dhcp-pool-vlan200] network 112.12.2.0 mask 255.255∙255.0 [AC-
dhcp-pool-vlan200] gateway-list 112.12.2.25 [AC-dhcp-pool-vlan200]
quit (3)
配置本地认证域
# 创建一个名称为
IoCal-mac
的认证域,为
Ian-access
用户配置认证方法为
IOCaI
。
[AC] domain local-mac
[AC-isp-local-mac] authentication lan-access local
# 配置用户闲置切断时间为
15
分钟,闲置切断时间内产生的流量为
1024
字节。
[AC-isp-local-mac] authorization-attribute idle-cut 15 1024 [AC]
quit
(4)
配置本地用户
549209a74221
#配置一个网络接入类的本地用户,名称为客户端的
MAC
地址
3ca9f4144c20,
密 码
为明文密码
3ca9f4144c20,
并指定用户可以使用
Ian-access
服务。
549209a74221
[AC] local-user 3ca9f4144c20 class network [AC-luser-network-
3ca9f4144c20] password simple 3ca9f4144c20 [AC-luser-network-
3ca9f4144c20] service-type lan-access [AC-luser-network-
3ca9f4144c20] quit
(5)
配置本地
MAC
地址认证的用户名格式
#配置
MAC
地址认证的用户名和密码均为用户的
MAC
地址(该配置为缺省配置)。
[AC] mac-authentication user-name-format mac-address
(6)
配置无线服务
# 创建无线服务模板
1,
并进入无线服务模板视图。
[AC] wlan service-tempiate 1
# 配置
SSID
为
serviceo
[AC-wlan-st-1] ssid service
# 配置客户端从无线服务模板
1
上线后会被加入
VLAN 200
o
[AC-wlan-stT] vlan 200
# 配置客户端接入认证方式为
MAC
地址认证。
[AC-wlan-st-1] client-security aυthentication-mode mac
# 配置
MAC
地址认证用户使用的
ISP
域为
local-mace
[AC-wlan-st-1] mac-authentication domain local-mac
# 开启无线服务模板。
[AC-wlan-st-1] service-tempiate enable
[AC-wlan-st-1] quit
(7)
配置
AP
# 创建手工
AP,
名称为
OffiCeap,
型号名称为
WA5320
。
[AC] wlan ap Officeap model WA5320
# 设置
AP
序歹
IJ
号为
219801A0YD8189E0007Z
。
[AC-wlan-ap-officeap] serial-id 219801A0YD8189E0007Z
# 进入
AP
的
Radio 2
视图,并将无线服务模板
1
绑定到
Radio 2
上。
[AC-wlan-ap-officeap] radio 2
[AC-wlan-ap-officeap-radio-2] service-tempiate 1 vlan 200
# 开启
Radio 2
的射频功能。
[AC-wlan-ap-officeap-radio-2] radio enable
[AC-wlan-ap-officeap-radio-2] quit
[AC-wlan-ap-officeap] quit
2
、配置
Switch
# 创建
VLAN 100
和
VLAN 200,
其中
VLAN 100
用于转发
AC
和
AP
间
CAPWAP
隧道
内的流量,
VLAN 200
用于转发
Client
无线报文。
[Switch-VlanlOO] quit [Switch] vlan 200 [Switch-vlan200] quit
# 配置
Switch
与
AC
相连的
GigabitEthernetI/0/1
接口的属性为
Trunk,
禁止
VLAN
1
报文通过,允许
VLANIOO
通过,当前
TrUnk
口的
PVID
为
100
。
[Switch] interface gigabitethemet1/0/1
[Switch-GigabitEthernetl/0/1]
port link-type trunk
[Switch-GigabitEthernetl/0/1]
undo port trunk permit vlan 1
[Switch-GigabitEthernetl/0/1]
port trunk permit vlan 100
[Switch-GigabitEthernetl/0/1]
port trunk pvid vlan 100
[Switch-GigabitEthernetl/0/1]
quit
# 配置
Switch
与
AP
相连的
GigabitEthernetI/0/2
接口属性为
Trunk,
禁止
VLAN 1
报文通
过,允许
VLANIOO
通过,当前
TrUnk
口的
PVID
为
100
。
[Switch] interface gigabitethernetl/0/2
[Switch-GigabitEthernetl/0/2]
port link-type trunk
[Switch-GigabitEthernetl/0/2]
undo port trunk permit vlan 1
[Switch-GigabitEthernetl/0/2]
port trunk permit vlan 100
[Switch-GigabitEthernetl/0/2]
port trunk pvid vlan 100
[Switch-GigabitEthernetl/0/2]
quit
# 开启
POE
接口远程供电功能。
[Switch-GigabitEthernetl/0/2] poe enable [Switch-
GigabitEthernetl/0/2] quit
四、验证配置
#完成以上配置后,无线用户
CIient
连接到
WLAN
网络并进行
MAC
地址认证。
1
、在
AC
上通过命令displaywian client可以看见无线用户
Client
从
VLAN 200
上 线。
[AC] display wlan client
[AC]display wlan client
Total number of clients: 1
MAC address User name AP name
apθl
[AC]
RID IP address
2 112.12.2.3
IPv6 ad
∣
I _____
2、在AC上通过display dhcp server ip-in-use命令,可以看见无线用户的地址获 取情况。
[ACjdisplay dhcp server ip-in-use
[AC]display dhcp server ip-in-use
IP address Client identifier/
Hardware address
112.12.1.1 01dc-da80-ad83-00
112.12.2.1 0037-3438-3563-3432-
6534-3632-302d-564c-
414e-3030-3031
112.12.2.2 01dc-da80-ad83-00
112.12.2.3 0154-9209-a742-21
Lease Type
∣
expiration
.
Jan 2 01:58:51 2011 Auto(C)
Jan 2 01:21:27 2011 Auto(C)
Jan 2 01:46:56 2011 Auto(C)
Jan 2 02:08:35 2011 Auto(C)
3、另外用一个手机或者无线终端设备连接网络,发现无法连接。
版权声明:本文标题:H3C无线控制器本地MAC认证典型配置 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1718731746a717909.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论