当前位置:首页 >> 信息与通信 >>

[B58新特性]H3C+WA系列本地实现同一SSID不同VLAN功能(即静态mac-vlan功能)典型配置举例


H3C WA 系列本地实现同一 SSID 不同 VLAN 功能(即静态 mac-vlan 功能)典型配置举例
关键词:mac-vlan,ssid, 摘 要:本文介绍了用 H3C WX 系列无线控制器与 iMC 配合向用户下发 ACL 权限时必需的配置。 缩略语:
缩略语 ACL 英文全名 Access Control List 访问控制列表 中文解释

>
H
1

3C

目 录
1 特性简介...............................................................................................................................................1-1
1.1 特性介绍 ..................................................................................................................................... 1-1 1.2 特性优点 ..................................................................................................................................... 1-1

2 应用场合...............................................................................................................................................2-1 3 注意事项...............................................................................................................................................3-1 4 配置举例...............................................................................................................................................4-1
4.1 组网需求 ..................................................................................................................................... 4-1 4.2 配置思路 ..................................................................................................................................... 4-2 4.3 使用版本 ..................................................................................................................................... 4-2 4.4 配置步骤 ..................................................................................................................................... 4-2 4.5 注意事项 ..................................................................................................................................... 4-7

5 相关资料...............................................................................................................................................5-7
5.1 相关协议和标准........................................................................................................................... 5-7 5.2 其它相关资料 .............................................................................................................................. 5-7

H
i

3C

1 特性简介
1.1 特性介绍
基于 MAC 划分 VLAN 是 VLAN 的一种划分方法。它按照报文的源 MAC 地址来定义 VLAN 成 员,将指定报文加入该 VLAN 的 tag 后发送。该功能通常会和安全(比如 802.1X)技术联合使用, 以实现终端的安全、灵活接入

1.2 特性优点
本配置举例中,通过在无线口上使能 mac-vlan,并在全局静态 mac-vlan 表中添加 STA mac, STA 上线后将加入静态 mac-vlan 表中指定的 vlan。

2 应用场合 3 注意事项
(1) 无

4 配置举例
4.1 组网需求

本配置举例中的 AP 使用的是 WA2200 系列无线局域网接入点设备。

H
4-1

3C

Fat AP 产品支持静态 mac-vlan 功能,3 台 STA 连接同一 ssid 获得不同的 VLAN 的 IP 地址。

图4-1 AP 与 SW 组网图

Trunk Vlan1/2/3

接入交换机
AP Trunk Vlan1/2/3

STA1 STA2 STA3

4.2 配置思路
l l

配置 mac 对应 vlan 配置无线接口的 mac-vlan 功能

4.3 使用版本
[AP]_ display version H3C Comware Platform Software

Comware Software, Version 5.20, Beta 1108P01

Comware Platform Software Version COMWAREV500R002B58D007 WA2220E-AG Software Version V100R001B58D007

Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Sep 22 2008 09:55:57, RELEASE SOFTWARE

CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Basic

BootROM

Extend BootROM [SLOT [SLOT [SLOT [SLOT 1]CON

H
Version: Ver.B Version: Version: 1.14 1.14 current-configuration

WA2220E-AG uptime is 0 week, 0 day, 0 hour, 58 minutes

(Hardware)Ver.B, (Hardware)Ver.B, (Hardware)Ver.B, (Hardware)Ver.A,

1]ETH1/0/1 1]RADIO1/0/1 1]RADIO1/0/2

4.4 配置步骤
1. 配置信息:
[AP]display # version 5.20, Beta 1108P01 #

3C
(Driver)1.0 (Driver)1.0 (Driver)1.0 (Driver)1.0

4-2

sysname H3C # mac-vlan mac-address 001f-3b75-b9df vlan 1 priority 0 mac-vlan mac-address 001c-bfca-0e32 vlan 2 priority 0 mac-vlan mac-address 0009-5ba2-7428 vlan 3 priority 0 # domain default enable system # telnet server enable # vlan 1 # vlan 2 to 3 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1

network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.254 # dhcp server ip-pool 2

network 192.168.2.0 mask 255.255.255.0 gateway-list 192.168.2.254 # dhcp server ip-pool 3

network 192.168.3.0 mask 255.255.255.0 gateway-list 192.168.3.254 #

user-group system # local-user admin

password simple h3capadmin authorization-attribute level 3 service-type telnet # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan service-template 1 clear

H

3C
4-3

ssid static_mac_vlan service-template enable # interface NULL0 # interface Vlan-interface1 ip address 192.168.1.254 255.255.255.0 # interface Vlan-interface2 ip address 192.168.2.254 255.255.255.0 # interface Vlan-interface3 ip address 192.168.3.254 255.255.255.0 # interface Ethernet1/0/1 # interface WLAN-BSS1 port link-type hybrid port hybrid vlan 1 to 3 untagged mac-vlan enable #

interface WLAN-Radio1/0/1 #

interface WLAN-Radio1/0/2 channel 1

service-template 1 interface wlan-bss 1 # dhcp enable #

load xml-configuration #

user-interface con 0

user-interface vty 0 4

authentication-mode scheme # return

2. 主要配置步骤 # 配置无线服务模板 service-template 1
[AP]wlan service-template 1

[AP-wlan-st-1]ssid static_mac_vlan [AP-wlan-st-1]service-template enable [AP-wlan-st-1]quit

#配置无线 BSS 口为 hybrid 口,允许 vlan 1, vlan 2,vlan3.
[AP]interface WLAN-BSS1 [AP-WLAN-BSS1]port link-type hybrid [AP-WLAN-BSS1]port hybrid vlan 1 to 3 untagged

H
4-4

3C

#在无线 BSS 口上使能 mac-vlan
[AP-WLAN-BSS1]mac-vlan enable

#在静态 mac-vlan 列表中添加 STA mac
[AP]mac-vlan mac-address 001f-3b75-b9df vlan 1 priority 0 [AP]mac-vlan mac-address 001c-bfca-0e32 vlan 2 priority 0 [AP]mac-vlan mac-address 0009-5ba2-7428 vlan 3 priority 0

# 建立 AP,并在 AP 下绑定服务模板
[AP] interface WLAN-Radio1/0/2 channel 1 service-template 1 interface wlan-bss 1

3. 验证结果 (1) 在 AC 上执行 display wlan client verbose 可以看到对应的 STA 所属 VLAN 信息.
: 3

[AP]display wlan client verbose Total Number of Clients

Total Number of Clients Connected : 3 Client Information ------------------------------------------------------------------------------MAC Address AID Radio Interface SSID BSSID Port VLAN State Power Save Mode Wireless Mode QoS Mode

Listen Interval (Beacon Interval) : 10 RSSI SNR Rx/Tx Rate Client Type Authentication Method AKM Method 4-Way Handshake State Group Key State Encryption Cipher Roam Status Up Time (hh:mm:ss) : 56

-------------------------------------------------------------------------------

------------------------------------------------------------------------------MAC Address : 001c-bfca-0e32

H
: 40

3C
: 0009-5ba2-7428 : 2 : WLAN-Radio1/0/2 : static_mac_vlan : 000f-e27e-1730 : WLAN-BSS1 : 3 : Running : Active : 11g : WMM : 54/18 : PRE-RSNA : Open System : None : -NA: -NA: Clear : Normal : 01:34:48 Client Information

4-5

AID Radio Interface SSID BSSID Port VLAN State Power Save Mode Wireless Mode QoS Mode

: 1 : WLAN-Radio1/0/2 : static_mac_vlan : 000f-e27e-1730 : WLAN-BSS1 : 2 : Running : Active : 11g : WMM

Listen Interval (Beacon Interval) : 10 RSSI SNR Rx/Tx Rate Client Type Authentication Method AKM Method 4-Way Handshake State Group Key State Encryption Cipher Roam Status Up Time (hh:mm:ss) : 55 : 41 : 54/54 : PRE-RSNA : Open System : None : -NA: -NA: Clear

-------------------------------------------------------------------------------

------------------------------------------------------------------------------MAC Address AID Radio Interface SSID BSSID Port VLAN State Power Save Mode Wireless Mode QoS Mode : 001f-3b75-b9df

Listen Interval (Beacon Interval) : 10 RSSI SNR Rx/Tx Rate Client Type Authentication Method AKM Method 4-Way Handshake State Group Key State Encryption Cipher Roam Status : 53 : 43 : 54/54 : PRE-RSNA : Open System : None : -NA: -NA: Clear : Normal

H
: 1

3C
: Normal : 01:31:50 Client Information : 3 : WLAN-Radio1/0/2 : static_mac_vlan : 000f-e27e-1730 : WLAN-BSS1 : Running : Active : 11g : WMM

4-6

Up Time (hh:mm:ss)

: 01:34:41

-------------------------------------------------------------------------------

4.5 注意事项


5 相关资料
5.1 相关协议和标准


5.2 其它相关资料
《H3C WX 系列无线控制器产品 用户手册》“安全分册”中的“端口安全配置”。

H
5-7

3C

H3C WA 系列动态 VLAN 下发的典型配置举例
关键词:vlan,mac-vlan, hybrid 摘 要:本文介绍了用 H3C 公司 WA 系列采用动态下发方式给 STA 分配 VLAN 属性的技术。 缩略语:
缩略语 WLAN Wireless LAN 英文全名 无线局域网 中文解释

H
1

3C

目 录
1 特性简介...............................................................................................................................................1-1
1.1 特性介绍 ..................................................................................................................................... 1-1 1.2 特性优点 ..................................................................................................................................... 1-1

2 应用场合...............................................................................................................................................2-1 3 注意事项...............................................................................................................................................3-1 4 配置举例...............................................................................................................................................4-2
4.1 组网需求 ..................................................................................................................................... 4-2 4.2 配置思路 ..................................................................................................................................... 4-2 4.3 使用版本 ..................................................................................................................................... 4-2 4.4 配置步骤 ..................................................................................................................................... 4-3 4.5 注意事项 ................................................................................................................................... 4-20

5 相关资料.............................................................................................................................................5-21
5.1 相关协议和标准......................................................................................................................... 5-21 5.2 其它相关资料 ............................................................................................................................ 5-21

H
i

3C

1 特性简介
1.1 特性介绍
基于 MAC 划分 VLAN 是 VLAN 的一种划分方法。它按照报文的源 MAC 地址来定义 VLAN 成员, 将指定报文加入该 VLAN 的 tag 后发送。该功能通常会和安全(比如 802.1X)技术联合使用,以实 现终端的安全、灵活接入。

1.2 特性优点
本特性提供了 vlan 属性划分的另一种方法,并结合用户认证方法,确保安全合法用户获得 vlan 权 限,阻止非法用户于 vlan 外,有效的起到了安全隔离及授权的作用。

2 应用场合 3 注意事项
1) 2) 动态 vlan 下发需要结合认证方式实现

Radius 采用我司 IMC 管理软件或者 CAMS 软件,也可以采用 windows IAS 组件。

H
3-1

3C

应用场合比较灵活,适于需要进行 vlan 受限分配的场合。

4 配置举例
4.1 组网需求
图4-1 动态 vlan 下发方式的组网图

192.168.4.254 Switch 192.168.4.50 FAT AP STA-2

192.168.4.10 Radius

STA-1

4.2 配置思路
l l

配置采用 802.1X 认证。 无线虚拟接口相关配置

4.3 使用版本
<AP>_display version

H3C Comware Platform Software

Comware Software, Version 5.20, Alpha 1106 Comware Platform Software Version COMWAREV500R002B58D003 WA2220-AG Software Version V100R001B58D003 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Aug 26 2008 12:52:34, RELEASE SOFTWARE WA2220-AG uptime is 0 week, 0 day, 2 hours, 7 minutes

CPU type: AMCC PowerPC 266MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Basic BootROM Version: Version: Version: Ver.B 1.12 1.12

Extend BootROM [SLOT [SLOT [SLOT [SLOT 1]CON

1]ETH1/0/1 1]RADIO1/0/1 1]RADIO1/0/2

[Slot 2]EWPX1WCMB0 Hardware Version is Ver.C

H

(Hardware)Ver.B, (Driver)1.0 (Hardware)Ver.B, (Driver)1.0 (Hardware)Ver.B, (Driver)1.0 (Hardware)Ver.B, (Driver)1.0

3C
4-2

4.4 配置步骤
1. 配置信息:
[H3C]display current-configuration # version 5.20, Alpha 1106 # sysname H3C # domain default enable dot1x # telnet server enable # port-security enable # vlan 1 # vlan 2 to 3 # radius scheme dot1x

primary authentication 192.168.4.10 primary accounting 192.168.4.10 key authentication h3c key accounting h3c

user-name-format without-domain # domain dot1x

authentication lan-access radius-scheme dot1x authorization lan-access radius-scheme dot1x accounting lan-access radius-scheme dot1x access-limit disable state active

idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.4.0 mask 255.255.255.0 gateway-list 192.168.4.254 # user-group system # local-user admin

H

3C
4-3

password simple h3capadmin authorization-attribute level 3 service-type telnet # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan service-template 3 crypto ssid dot1x_mac_vlan cipher-suite tkip security-ie wpa service-template enable # interface NULL0 # interface Vlan-interface1

ip address 192.168.4.50 255.255.255.0 # interface Ethernet1/0/1 port link-type trunk

port trunk permit vlan all # interface WLAN-BSS1 #

interface WLAN-BSS2 #

interface WLAN-BSS3

port link-type hybrid

port hybrid vlan 1 to 3 untagged mac-vlan enable port-security port-mode userlogin-secure-ext port-security tx-key-type 11key

# interface WLAN-Radio1/0/1 # interface WLAN-Radio1/0/2 channel 1 service-template 3 interface wlan-bss 3 # snmp-agent snmp-agent local-engineid 800063A203000FE207F2E0 snmp-agent community read public

H
4-4

3C

snmp-agent community write private snmp-agent sys-info version v3 # dhcp enable # load xml-configuration # user-interface con 0 user-interface vty 0 4 authentication-mode scheme # return

2. 主要配置步骤 # 开启端口安全。
[H3C]port-security enable

# 配置无线接口,端口类型配置成 hybrid 口,并开启 mac-vlan 功能
[H3C]interface wlan-ess 3 [H3C-WLAN-ESS3] port link-type hybrid [H3C-WLAN-ESS3] port hybrid vlan 1 to 3 untagged [H3C-WLAN-ESS3] mac-vlan enable [H3C-WLAN-ESS3] quit

# 配置接口采用 802.1X 认证方式。

[H3C-WLAN-ESS3] port-security port-mode userlogin-secure-ext [H3C-WLAN-ESS3] port-security tx-key-type 11key

# 配置服务模板。

[H3C]wlan service-template 3 crypto [H3C-wlan-st-3]ssid dot1x_mac_vlan [H3C-wlan-st-3]bind wlan-ess 3

[H3C-wlan-st-3]cipher-suite tkip [H3C-wlan-st-3]security-ie wpa

[H3C-wlan-st-3]service-template enable [H3C-wlan-st-3]quit

# 配置 Radius。这里首先介绍采用我司 CAMS 进行配置的步骤操作: 配置接入设备后再进行服务和用户名的配置 1、在 CAMS 系统的“系统管理>>系统配置>>证书认证策略配置”中进行如下图所示配置。

H

3C
4-5

2、在 CAMS 系统的“服务管理>>服务配置>>增加服务”中进行如下图所示配置。增加服务名为 “serv-vlan2”的服务,属性如下 l l l

启用证书认证为 EAP-PEAP 认证类型 认证子类型为 MS-CHAPV2

高级->下发 VLAN 中填写“2”

H
4-6

3C

增加服务名为“serv-vlan3”的服务,属性如下 l l l 启用证书认证为 EAP-PEAP 认证类型 认证子类型为 MS-CHAPV2

高级->下发 VLAN 中填写“3”

H
4-7

3C

4、在 CAMS 系统的“用户管理>>帐户用户>>用户开户”中进行如下图所示配置。增加帐户名为 “222”,密码为“222”,选择相应的服务“serv-vlan2”

增加帐户名为“333”,密码为“333”,选择相应的服务“serv-vlan3”

# Radius 也可以采用 windows 的 IAS 组件:
4-8

H

3C

配置好 Radius 客户端后(Internet 验证服务) ,进行用户名和访问策略的配置: 1、配置 AD,增加两个用户组 group2 和 group3

H
4-9

3C

2、增加两个用户 222 和 333,两个用户分别隶属于用户组 group2 和 group3

H
4-10

3C

H
4-11

3C

H
4-12

3C

H
4-13

3C

远程访问策略的相关配置

第一步:建立远程访问策略“WX5002-group2”,在策略状况中选择“Windows-Groups 匹配 ‘WLAN\group2’”,在使用的远程访问策略中选择“授予远程访问权限”,然后点击“编辑配置文 件”,如下图所示

H

3C
4-14

H

在“编辑配置文件”的对话框中选择“EAP 方法”,如下图所示:

3C
4-15

在“EAP 方法”中选择“受保护的 EAP(PEAP)”,如下图所示:

并在选中 EAP 方法后点击“编辑”,此 EAP 方法应处于可编辑状态,如下图所示:

H
4-16

3C

“Tunnel-Medium-Type” 、“Tunnel-Pvt-Group-ID” 、“Tunnel-Type”,各属性的内容如下图所示: 注:其中 Tunnel-Pvt-Group-ID 代表要下发的 vlan 号,采用“十六进制方式”,0x00000002 代表下 发的 vlan id 为 2

H
4-17

3C

第二步:在“编辑配置文件”的对话框中选择“高级”,在高级属性中需手动添加 3 个属性,分别是

第 三 步 : 建 立 远 程 访 问 策 略 “WX5002-group3” , 在 策 略 状 况 中 选 择 “Windows-Groups 匹 配 ‘WLAN\group3’”,同时下发 vlan id 为 3,其他属性与远程访问策略“WX5002-group2”相同,如下图 所示:

H
4-18

3C

3. 验证结果

当采用帐号“222”时,通过命令“display wlan client verbose”查看 STA 所属 vlan,如下: [H3C] display wlan client verbose Total Number of Clients :1 Total Number of Clients Connected : 1 Client Information ------------------------------------------------------------------------------MAC Address : 0012-f0cc-3a2c AID :1 Radio Interface : WLAN-Radio1/0/2 SSID : dot1x_mac_vlan BSSID : 000f-e250-22e0 Port : WLAN-BSS3 VLAN :2 State : Running Power Save Mode : Active Wireless Mode : 11g QoS Mode : WMM Listen Interval (Beacon Interval) : 10 RSSI : 44 SNR : 52 Rx/Tx Rate : 1/1 Client Type : PRE-RSNA Authentication Method : Open System

H

3C
4-19

AKM Method : None 4-Way Handshake State : -NAGroup Key State : -NAEncryption Cipher : Clear Roam Status : Normal Up Time (hh:mm:ss) : 00:00:18 ------------------------------------------------------------------------------当采用帐号“333”时,通过命令“display wlan client verbose”查看 STA 所属 vlan,如下:

[H3C] display wlan client verbose Total Number of Clients :1 Total Number of Clients Connected : 1 Client Information ------------------------------------------------------------------------------MAC Address : 0012-f0cc-3a2c AID :1 Radio Interface : WLAN-Radio1/0/2 SSID : dot1x_mac_vlan BSSID : 000f-e250-22e0 Port : WLAN-BSS3 VLAN :3 State : Running Power Save Mode : Active Wireless Mode : 11g QoS Mode : WMM Listen Interval (Beacon Interval) : 10 RSSI : 44 SNR : 52 Rx/Tx Rate : 1/1 Client Type : PRE-RSNA Authentication Method : Open System AKM Method : None 4-Way Handshake State : -NAGroup Key State : -NAEncryption Cipher : Clear Roam Status : Normal Up Time (hh:mm:ss) : 00:00:18 -------------------------------------------------------------------------------

4.5 注意事项
无。

H

3C
4-20

5 相关资料
5.1 相关协议和标准


5.2 其它相关资料

H
5-21

3C


相关文章:
在本地实现同一SSID不同VLAN功能
WX5002 在本地实现同一 SSID 不同 VLAN 功能(即 静态 mac-vlan 功能)典型配置适 用 1106P01 一、组网需求 WX5002、WA2110、H3C POE 交换机、便携机(安装...
CCNA 思科第三学期ESwitching Final Exam 1(正确答案)
使用静态中继配置重新配置交换机 SW1 的 fa0/1 接口。 将属于同一子网的 ...共享密钥 SSID 对等 信道 13 如果一台 VTP 交换机不允许创建本地 VLAN 但却...
33-H3C WX系列基于SSID+VLAN的本地转发典型配置举例
33-H3C WX系列基于SSID+VLAN本地转发典型配置举例...[AC] interface Vlan-interface 10 [AC-Vlan-...[B58新特性]H3C+WA系列本... 32页 免费 H3C ...
10.WX5002不同SSID不同VLAN功能的典型配置
WX5002 不同 SSID 不同 VLAN 功能典型配置适用 WX5002 版本:Comware Software, Version 5.20, Release 1106P01 一、组网需求 WX5002、WA2110、H3C POE 交换...
H3C-VLAN典型配置指导
1VLAN 典型配置指导 章 1.1 基于端口的 ...开启 GigabitEthernet1/0/1 端口的 MAC-VLAN 功能...[B58新特性]H3C+WA系列本... 32页 免费 [B58...
SSID配合众多VLAN的配置建议和指导说明
特别提醒注意: 1) 如果控制器使用静态 mac-vlan ...配置VLANSSID关联 11页 免费 VLAN典型配置指导 18...[B58新特性]H3C+WA系列本... 32页 免费 WC7520...
H3C + Windows IAS + 用户VLAN下发 --典型配置案例
H3C + Windows IAS + 用户VLAN下发 --典型配置案例...[AC-WLAN-ESS10] mac-vlan enable (6) 配置无线...[B58新特性]H3C+WX系列本... 7页 免费 H3C-VL...
H3C常见命令手册
vlan 2 to 100 的 2 层隔离功能 [H3C]undo ...WX系列 AC+Fit AP 负载均衡典型配置举例 4.1 4.1 ...H3C WX 系列实现同一 SSID 下指定用户带宽上限(...
H3C AC配置模版
[H3C-vlan-interface x] ip address x.x.x.x ...[H3C-wlan-st-x]ssid xxxx //建立 SSID 为 ...将同一 个模板绑定到不同的 AP 以及 VLAN 的话,...
H3C静态链路聚合的典型配置
H3C 静态链路聚合的典型配置 一、组网需求: 两台 ...MAC 地址的端口、使能 Voice VLAN 的端口以及使能...[B58新特性]H3C+WA系列本... 32页 免费 喜欢...
更多相关标签:
ssid绑定vlan | ssid vlan | 多ssid vlan源代码 | ssid比较vlan | 根据ssid划分vlan | h3c wx3024e 修改ssid | h3c 隐藏ssid | h3c 胖ap ssid不显示 |