2023年12月12日發(fā)(作者:雙11是什么節(jié)日)
H3C WX系列來賓用戶訪問管理Portal典型配置舉例
關(guān)鍵詞:GAM
摘 要:本文介紹了用H3C公司W(wǎng)X系列AC部署基于用戶訪問管理的解決方案時必需的配置。
縮略語:
縮略語 英文全名
無線控制器
無線接入點
擴(kuò)展服務(wù)集
無線局域網(wǎng)
服務(wù)集識別碼
臨時密鑰完整性協(xié)議
可擴(kuò)展認(rèn)證協(xié)議
遠(yuǎn)程認(rèn)證撥號用戶服務(wù)
來賓用戶訪問管理
中文解釋
AC Access Control
AP Access Ponit
ESS
WLAN
SSID
TKIP
EAP
RADIUS
GAM
Extended Service Set
Wireless Local Area Network
Service Set Identifier
Temporal Key Integrity Protocol
Extensible Authentication Protocol
Remote Authentication Dial-In Ur
Service
Guest Access Management
i 目 錄
1 特性簡介..............................................................................................................................................1
1.1 特性介紹..............................................................................................................................................1
1.2 特性優(yōu)點..............................................................................................................................................1
2 應(yīng)用場合..............................................................................................................................................1
3 注意事項..............................................................................................................................................1
4 配置舉例..............................................................................................................................................1
4.1 組網(wǎng)需求..............................................................................................................................................1
4.2 配置思路..............................................................................................................................................2
4.3 使用版本..............................................................................................................................................2
4.4 配置步驟..............................................................................................................................................2
4.4.1 配置信息...................................................................................................................................2
4.4.2 AC原有配置...............................................................................................................................5
4.4.3 主要配置步驟(命令行方式)...................................................................................................7
4.4.4 主要配置步驟(WEB方式).....................................................................................................7
4.5 注意事項............................................................................................................................................12
5 配置舉例............................................................................................................................................12
5.1 組網(wǎng)需求............................................................................................................................................12
5.2 配置思路............................................................................................................................................12
5.3 使用版本............................................................................................................................................12
5.4 配置步驟............................................................................................................................................13
5.4.1 配置信息.................................................................................................................................13
5.4.2 AC原有配置.............................................................................................................................16
5.4.3 主要配置步驟(命令行方式).................................................................................................18
5.5 注意事項............................................................................................................................................21
6 相關(guān)資料............................................................................................................................................21
6.1 相關(guān)協(xié)議和標(biāo)準(zhǔn).................................................................................................................................21
6.2 其它相關(guān)資料.....................................................................................................................................22
ii 1
特性簡介
1.1
特性介紹
基于portal用戶下發(fā)ACL的方式,實現(xiàn)對不同無線用戶在無線接入網(wǎng)絡(luò)中的訪問權(quán)限控制,確保guest client只能訪問特定授權(quán)的網(wǎng)頁,保護(hù)公司信息安全。
1.2
特性優(yōu)點
同過本設(shè)置,可以控制guest用戶的訪問權(quán)限。當(dāng)一個外部來賓來到公司,可以通過無線網(wǎng)絡(luò)訪問公司的一些對外資源,但是涉及公司內(nèi)部的網(wǎng)站事禁止訪問的。
2
應(yīng)用場合
有外部來賓來到公司使用無線網(wǎng)絡(luò)可以訪問公司的部分資源的情況。
3
注意事項
ACL規(guī)則配置正確。
4
配置舉例
4.1
組網(wǎng)需求
本配置舉例中的AC使用的是WX5004設(shè)備,IP地址為85.3.1.220/24。Client和AP通過DHCP服務(wù)器獲取IP地址
配置采用本地Portal方式。
1 圖4-1 基于來賓用戶訪問管理Portal組網(wǎng)圖(本地方式)
InternetDHCP rver10.18.1.254/24SwitchAC
85.3.1.220/24ClientAP
4.2
配置思路
創(chuàng)建ACL并與通過Portal方式上線的guest用戶綁定。
4.3
使用版本
[AC]display version
H3C Comware Platform Software
Comware Software, Version 5.20, Relea 2102
Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights rerved.
H3C WX5004 uptime is 0 week, 0 day, 3 hours, 31 minutes
H3C WX5004 with 1 RMI XLR 716 800MHz Processor
1024M bytes DDR2
4M bytes Flash Memory
Config Register points to FLASH
259M bytes CFCard Memory
Hardware Version is Ver.B
CPLD Version is 005
Basic Bootrom Version is 1.03
Extend Bootrom Version is 1.03
[Subslot 0]WX5004 Hardware Version is Ver.B
4.4
配置步驟
4.4.1 配置信息
# 服務(wù)模板下采用開放認(rèn)證方式,該配置是缺省配置
#
version 5.20, Relea 2102
#
2 sysname AC
#
domain default enable system
#
telnet rver enable
#
port-curity enable
#
portal rver ptl ip 85.3.1.220
portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any
portal local-rver http
#
acl number 3000
rule 10 permit ip destination 85.3.1.254 0
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
lf-rvice-url disable
#
ur-group system
#
local-ur admin
password simple admin
authorization-attribute level 3
rvice-type telnet
local-ur guest
password simple guest
authorization-attribute acl 3000
rvice-type lan-access
rvice-type portal
expiration-date 00:00:00-2010/01/31
local-ur staff
password simple 123
rvice-type lan-access
rvice-type portal
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54
#
3 wlan rvice-template 1 clear
ssid company
bind WLAN-ESS 0
rvice-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 85.3.1.220 255.255.255.0
portal rver ptl method direct
portal domain system
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/3
#
interface GigabitEthernet1/0/4
#
interface M-Ethernet1/0/0
#
interface Ten-GigabitEthernet1/0/5
#
interface Ten-GigabitEthernet1/0/6
#
interface WLAN-ESS0
port link-type hybrid
port hybrid vlan 1 untagged
#
wlan ap 2600 model WA2620E-AGN
rial-id h3c004
radio 1
channel auto
max-power 19
radio 2
channel auto
max-power 20
rvice-template 1
radio enable
#
snmp-agent
snmp-agent local-engineid 800063A203000FE207F2E0
snmp-agent sys-info version v3
#
load xml-configuration
#
ur-interface con 0
4 ur-interface vty 0 4
authentication-mode scheme
ur privilege level 3
#
return
4.4.2 AC原有配置
采用本地Portal方式,內(nèi)部員工可以通過staff用戶登錄,并訪問全部內(nèi)網(wǎng)信息。
[AC]display current-configuration
#
version 5.20, Relea 2102
#
sysname AC
#
domain default enable system
#
telnet rver enable
#
port-curity enable
#
portal rver ptl ip 85.3.1.220
portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any
portal local-rver http
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
lf-rvice-url disable
#
ur-group system
#
local-ur admin
password simple admin
authorization-attribute level 3
rvice-type telnet
local-ur staff
password simple 123
rvice-type lan-access
rvice-type portal
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
5 dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54
#
wlan rvice-template 1 clear
ssid company
bind WLAN-ESS 0
rvice-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 85.3.1.220 255.255.255.0
portal rver ptl method direct
portal domain system
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/3
#
interface GigabitEthernet1/0/4
#
interface M-Ethernet1/0/0
#
interface Ten-GigabitEthernet1/0/5
#
interface Ten-GigabitEthernet1/0/6
#
interface WLAN-ESS0
port link-type hybrid
port hybrid vlan 1 untagged
#
wlan ap 2600 model WA2620E-AGN
rial-id h3c004
radio 1
channel auto
max-power 19
radio 2
channel auto
max-power 20
rvice-template 1
radio enable
#
snmp-agent
snmp-agent local-engineid 800063A203000FE207F2E0
snmp-agent sys-info version v3
#
6 load xml-configuration
#
ur-interface con 0
ur-interface vty 0 4
authentication-mode scheme
ur privilege level 3
#
return
[AC]
4.4.3 主要配置步驟(命令行方式)
# 創(chuàng)建ACL 3000,并添加許可來賓賬戶guest訪問的網(wǎng)頁IP地址。
[AC]acl number 3000
[AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0
# 創(chuàng)建來賓賬戶guest,設(shè)置guest的密碼為明文顯示密碼guest,并指定來賓賬戶可以使用Lan-access和Portal服務(wù),有效期截止到2010/01/31的00:00:00。
[AC]local-ur guest
[AC-lur-guest] password simple guest
[AC-lur-guest] rvice-type lan-access
[AC-lur-guest] rvice-type portal
[AC-lur-guest] expiration-date 00:00:00-2010/01/31
#設(shè)置來賓賬戶guest的授權(quán)ACL。
[AC-lur-guest] authorization-attribute acl 3000
4.4.4 主要配置步驟(WEB方式)
(1) 在導(dǎo)航欄中選擇“QoS >ACL IPv4”,選擇“創(chuàng)建”頁簽,進(jìn)入如所圖4-2示創(chuàng)建ACL頁面。
(2) 在“訪問控制列表ID”中輸入“3000”并回車,如圖4-3所示完成ALC3000的創(chuàng)建。
7 圖4-2 創(chuàng)建ACL
圖4-3 ACL 3000創(chuàng)建成功
(3) 選擇“高級配置”頁簽,按照圖4-4中紅框所示添加許可來賓guest用戶訪問的網(wǎng)頁IP地址相關(guān)配置,單擊頁面下方的<添加>按鈕,完成IP地址的添加。
8 圖4-4 添加guest用戶的訪問網(wǎng)頁IP地址
1. 創(chuàng)建guest用戶
(1) 在導(dǎo)航欄中選擇“認(rèn)證>用戶”,選擇“來賓用戶”頁簽,單擊<新建>按鈕,進(jìn)入如所圖4-5示創(chuàng)建來賓用戶guest頁面。按照圖4-5中紅框所示提添加用戶名、用戶密碼和過期時間,單擊<確定>按鈕,完成創(chuàng)建。
9 圖4-5 創(chuàng)建來賓用戶guest
(2) 在“本地用戶”頁簽中找到guest用戶,如圖4-6所示,單擊圖中的改頁面。
圖4-6 本地用戶中的guest用戶
圖標(biāo),進(jìn)入本地用戶修
(3) 在“本地用戶”修改頁面中的授權(quán)ACL項中輸入3000,單擊<確定>按鈕,完成ALC3000與guest用戶的綁定。
10 圖4-7 設(shè)置來賓賬戶guest的授權(quán)ACL
2. 驗證結(jié)果
(1) 使用命令行display connection查看是否有用戶在線。
Index=0 ,Urname=admin@system
IP=85.3.1.113
Index=9 ,Urname=guest@system
MAC=0014-6c4e-a3ad ,IP=85.3.1.8
Total 2 connection(s) matched.
(2) 通過命令行display connection ucibindex查看用戶的較詳細(xì)信息。
Index=9 , Urname=guest@system
MAC=0014-6c4e-a3ad
IP=85.3.1.8
Access=PORTAL ,AuthMethod=PAP
Port Type=Wireless-802.11,Port Name=N/A
Initial VLAN=1, Authorization VLAN=N/A
ACL Group=3000
Ur Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-04-01 17:38:22 ,Current=2009-04-02 09:20:33 ,Online=15h42m10s
Total 1 connection matched.
11 4.5
注意事項
無
5
配置舉例
5.1
組網(wǎng)需求
本配置舉例中的AC使用的是WX5004設(shè)備,IP地址為85.3.1.220/24。Client和AP通過DHCP服務(wù)器獲取IP地址
配置采用遠(yuǎn)端Portal方式。
圖5-1 基于來賓用戶訪問管理Portal組網(wǎng)圖(遠(yuǎn)端方式)
5.2
配置思路
創(chuàng)建ACL并與通過Portal方式上線的guest用戶綁定。
5.3
使用版本
# AC的版本信息
[AC]display version
AC Comware Platform Software
Comware Software, Version 5.20, Relea 2102
Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights rerved.
H3C WX5004 uptime is 0 week, 0 day, 3 hours, 31 minutes
H3C WX5004 with 1 RMI XLR 716 800MHz Processor
1024M bytes DDR2
12 4M bytes Flash Memory
Config Register points to FLASH
259M bytes CFCard Memory
Hardware Version is Ver.B
CPLD Version is 005
Basic Bootrom Version is 1.03
Extend Bootrom Version is 1.03
[Subslot 0]WX5004 Hardware Version is Ver.B
# IMC網(wǎng)管的版本信息
圖5-2 網(wǎng)管的版本信息截圖
5.4
配置步驟
5.4.1 配置信息
# 服務(wù)模板下采用開放認(rèn)證方式,該配置是缺省配置
#
version 5.20, Relea 2102
#
sysname AC
#
domain default enable system
#
telnet rver enable
#
port-curity enable
#
13 dot1x authentication-method eap
#
portal rver h3cptl ip 162.105.34.22 key portal url 162.105.34.21:8080/portal
portal free-rule 0 source ip 85.3.1.212 mask 255.255.255.255 destination any
portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any
portal free-rule 2 source ip 162.105.34.0 mask 255.255.255.0 destination any
#
acl number 3000
rule 10 permit ip destination 85.3.1.254 0
#
vlan 1
#
vlan 3000
#
radius scheme system
rver-type extended
primary authentication 162.105.34.21
primary accounting 162.105.34.21
key authentication 12345678
key accounting 12345678
ur-name-format without-domain
nas-ip 85.3.1.220
accounting-on enable
#
domain system
authentication portal radius-scheme system
authorization portal radius-scheme system
accounting portal radius-scheme system
access-limit disable
state active
idle-cut disable
lf-rvice-url disable
#
ur-group system
#
local-ur admin
password simple admin
authorization-attribute level 3
rvice-type telnet
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54
#
14 wlan rvice-template 1 clear
ssid company
bind WLAN-ESS 0
rvice-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 85.3.1.220 255.255.255.0
portal rver h3cptl method direct
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/3
#
interface GigabitEthernet1/0/4
#
interface M-Ethernet1/0/0
#
interface Ten-GigabitEthernet1/0/5
#
interface Ten-GigabitEthernet1/0/6
#
interface WLAN-ESS0
#
wlan ap 2200 model WA2220E-AG
rial-id 210235A22W
radio 1
channel auto
max-power 19
radio 2
channel auto
max-power 20
rvice-template 1
radio enable
#
ip route-static 162.105.34.0 255.255.255.0 85.3.1.254
#
snmp-agent
snmp-agent local-engineid 800063A203000FE207F2E0
snmp-agent sys-info version v3
#
load xml-configuration
#
ur-interface con 0
ur-interface vty 0 4
15 authentication-mode scheme
ur privilege level 3
#
return
5.4.2 AC原有配置
# 采用遠(yuǎn)端Portal方式,內(nèi)部員工可以通過staff用戶登錄,并訪問全部內(nèi)網(wǎng)信息
#
version 5.20, Relea 2102
#
sysname AC
#
domain default enable system
#
telnet rver enable
#
port-curity enable
#
dot1x authentication-method eap
#
portal rver h3cptl ip 162.105.34.21 key portal url 162.105.34.21:8080/
portal
portal free-rule 0 source ip 85.3.1.212 mask 255.255.255.255 destination any
portal free-rule 1 source ip 85.3.1.254 mask 255.255.255.255 destination any
portal free-rule 2 source ip 162.105.34.0 mask 255.255.255.0 destination any
#
vlan 1
#
radius scheme system
rver-type extended
primary authentication 162.105.34.21
primary accounting 162.105.34.21
key authentication 12345678
key accounting 12345678
ur-name-format without-domain
nas-ip 85.3.1.220
accounting-on enable
#
domain system
authentication portal radius-scheme system
authorization portal radius-scheme system
accounting portal radius-scheme system
access-limit disable
state active
idle-cut disable
lf-rvice-url disable
#
16 ur-group system
#
local-ur admin
password simple admin
authorization-attribute level 3
rvice-type telnet
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
dot11b supported-rate 5.5 11
dot11g mandatory-rate 1 2 5.5 11
dot11g supported-rate 6 9 12 18 24 36 48 54
#
wlan rvice-template 1 clear
ssid company
bind WLAN-ESS 0
rvice-template enable
#
interface NULL0
#
interface Vlan-interface1
ip address 85.3.1.220 255.255.255.0
portal rver h3cptl method direct
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/3
#
interface GigabitEthernet1/0/4
#
interface M-Ethernet1/0/0
#
interface Ten-GigabitEthernet1/0/5
#
interface Ten-GigabitEthernet1/0/6
#
interface WLAN-ESS0
#
wlan ap 2200 model WA2220E-AG
rial-id 210235A22W
radio 1
channel auto
max-power 19
radio 2
17 channel auto
max-power 20
rvice-template 1
radio enable
#
ip route-static 162.105.34.0 255.255.255.0 85.3.1.254
#
snmp-agent
snmp-agent local-engineid 800063A203000FE207F2E0
snmp-agent sys-info version v3
#
load xml-configuration
#
ur-interface con 0
ur-interface vty 0 4
authentication-mode scheme
ur privilege level 3
#
return
5.4.3 主要配置步驟(命令行方式)
1. 創(chuàng)建ACL 3000,并添加許可來賓賬戶guest訪問的網(wǎng)頁IP地址。(可通過命令行或者WEB的方式,具體步驟上面介紹過)。
[AC]acl number 3000
[AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0
2. 在IMC服務(wù)器上創(chuàng)建guest用戶,并下發(fā)ACL3000。
# 從<本地用戶>頁面找到guest用戶,并進(jìn)入配置頁面,將acl與guest用戶綁定。
(1) 創(chuàng)建guest用戶服務(wù)配置
# 在導(dǎo)航欄中選擇“業(yè)務(wù)->接入業(yè)務(wù)->服務(wù)配置管理”,點擊<增加>按鈕。
圖5-3 創(chuàng)建接入服務(wù)配置業(yè)務(wù)
# 按照下圖紅框中所示選擇用戶認(rèn)證方式和下發(fā)ACL,注意認(rèn)證方式為不啟用認(rèn)證。
18 圖5-4 創(chuàng)建接入服務(wù)配置業(yè)務(wù)的詳細(xì)信息
(2) 將創(chuàng)建的guest用戶并與“服務(wù)配置”綁定
# 在導(dǎo)航欄中選擇“用戶->所有接入用戶”,點擊<增加>按鈕,彈出如圖5-6所示頁面。
圖5-5 創(chuàng)建guest用戶
# 點擊<增加用戶>按鈕,彈出如圖5-7所示頁面,填寫用戶名,證件號碼和用戶分組信息,單擊<確認(rèn)>按鈕,完成guest用戶的創(chuàng)建。
19 圖5-6 增加用戶頁面
圖5-7 填寫增加用戶的詳細(xì)信息
圖5-8 完成guest用戶創(chuàng)建
3. 驗證結(jié)果
(1) 使用命令行display connection查看是否有用戶在線。
[AC]display connection
Index=38 ,Urname=guest@system
20 MAC=0014-6c4e-a3ad ,IP=85.3.1.8
Total 1 connection(s) matched.
(2) 通過命令行display connection ucibindex查看用戶的較詳細(xì)信息。
[AC]display connection ucibindex 38
Index=38 , Urname=guest@system
MAC=0014-6c4e-a3ad
IP=85.3.1.8
Access=PORTAL ,AuthMethod=CHAP
Port Type=Wireless-802.11,Port Name=N/A
Initial VLAN=1, Authorization VLAN=N/A
ACL Group=3000
Ur Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-04-03 15:02:23 ,Current=2009-04-03 15:06:33 ,Online=00h04m09s
Total 1 connection matched.
(3) 通過IMC查看用戶詳細(xì)信息。
# 導(dǎo)航欄中選擇“用戶->所有在線用戶”,查看當(dāng)前在線用戶的詳細(xì)信息。
5.5
注意事項
無
6
相關(guān)資料
6.1
相關(guān)協(xié)議和標(biāo)準(zhǔn)
無
21 6.2
其它相關(guān)資料
z
z
z
《H3C WX系列無線控制產(chǎn)品 用戶手冊》“安全分冊”中的“Portal配置”和“AAA配置”。
《H3C WX系列無線控制產(chǎn)品 用戶手冊》“安全分冊”中的“Portal命令”和“AAA命令”。
《H3C WX系列無線控制產(chǎn)品 用戶手冊》“系統(tǒng)分冊”中的“ACL配置”和“ACL命令”。
22
本文發(fā)布于:2023-12-12 12:12:38,感謝您對本站的認(rèn)可!
本文鏈接:http://m.newhan.cn/zhishi/a/1702354358119289.html
版權(quán)聲明:本站內(nèi)容均來自互聯(lián)網(wǎng),僅供演示用,請勿用于商業(yè)和其他非法用途。如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除。
本文word下載地址:45-H3C WX系列來賓用戶訪問管理Portal典型配置舉例.doc
本文 PDF 下載地址:45-H3C WX系列來賓用戶訪問管理Portal典型配置舉例.pdf
| 留言與評論(共有 0 條評論) |
