当前位置:首页 >> 信息与通信 >>

H3C WX系列无线控制器与iMC配合向用户下发ACL权限典型配置举例


H3C WX 系列无线控制器与 iMC 配合向用户下发 ACL 权限典 型配置举例
关键词:ACL,DOT1X 摘 要:本文介绍了用 H3C WX 系列无线控制器与 iMC 配合向用户下发 ACL 权限时必需的配置. 缩略语:
缩略语 ACL 英文全名 Access Control List 访问控制列表 中文解释

H
i

/>
3C

目 录
1 特性简介.................................................................................................................................................. 1
1.1 特性介绍 ........................................................................................................................................ 1 1.2 特性优点 ........................................................................................................................................ 1

2 应用场合.................................................................................................................................................. 1 3 注意事项.................................................................................................................................................. 1 4 配置举例.................................................................................................................................................. 1
4.1 组网需求 ........................................................................................................................................ 1 4.2 配置思路 ........................................................................................................................................ 2 4.3 使用版本 ........................................................................................................................................ 2 4.4 配置步骤 ........................................................................................................................................ 3 4.5 注意事项 ........................................................................................................................................ 9

5 相关资料.................................................................................................................................................. 9
5.1 相关协议和标准.............................................................................................................................. 9 5.2 其它相关资料 ................................................................................................................................. 9

H
ii

3C

1 特性简介
1.1 特性介绍
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的 功能.当用户上线时,如果 RADIUS 服务器上配置了授权 ACL,则设备会根据服务器下发的授权 ACL 对用户所在端口的数据流进行控制;在服务器上配置授权 ACL 之前,需要在设备上配置相应 的 ACL 规则. 管理员可以通过改变服务器的授权 ACL 设置或设备上对应的 ACL 规则来改变用户的 访问权限.

1.2 特性优点
WX 系列无线控制器结合 iMC 给 Client 下发授权 ACL 具有以下特点:
l l

在 AC 上配置具体的 ACL 规则. 由 iMC 下发 ACL 到用户.

2 应用场合 3 注意事项
(1) (2)

授权 ACL 下发一般可应用在如下场合:接入同一 AC 的同一 SSID 的多个用户,分别使用不同的资 源,或限制用户使用部分网络资源.

接入设备 ACL 配置正确. 相关 AAA 配置正确.

4 配置举例
4.1 组网需求
本配置举例中的 AC 使用的是 WX5002 无线控制器, 使用的是 WA2100 无线局域网接入点设备. AP

本配置举例中,AC 通过 VLAN2 接入 Switch,VLAN2 的 IP 地址为 1.1.2.1/24,AP 通过 VLAN1 接 入 Switch,AP 的 IP 地址为 2.1.1.11/24,iMC 的 IP 地址为 162.105.34.20/24.网络中有一个 FTP 服务器,IP 地址为 56.1.7.100.各个设备间路由可达.交换机 Switch 启动 DHCP 服务向 Client 分
1

H

3C

配 IP 地址, 客户端 Client 的网关在 AC (VLAN2) Client 认证通过后, . iMC 向 Client 下发 ACL3221, 禁止 Client 访问 FTP 服务器.
图4-1 AC 与 iMC 配合向用户下发 ACL 权限组网图

4.2 配置思路
l l l

配置 AAA 和 WLAN 服务

配置 iMC

4.3 使用版本
<AC> display version

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 1107

Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5002 uptime is 0 week, 4 days, 0 hour, 8 minutes

CPU type: BCM MIPS 1250 700MHz 512M bytes DDR SDRAM Memory 32M bytes Flash Memory Pcb Logic Basic BootROM Version: Version: Version: Version: B 1.0 1.16 1.16

Extend BootROM [SLOT [SLOT [SLOT [SLOT 1]CON 1]GE1/0/1 1]GE1/0/2

H
(Hardware)B,

(Hardware)B, (Hardware)B, (Hardware)B,

1]M-E1/0/1

<AP> display version H3C Comware Platform Software Comware Software, Version 5.20, 0000 Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. WA2100 uptime is 0 week, 0 day, 0 hour, 2 minutes

3C
(Driver)1.0, (Driver)1.0, (Driver)1.0, (Driver)1.0, (Cpld)1.0 (Cpld)1.0 (Cpld)1.0 (Cpld)1.0

配置 ACL

2

CPU type: ATHEROS MIPS 2313 180MHz 32M bytes SDRAM Memory 4M bytes Flash Memory Pcb Basic BootROM Version: Version: Version: Ver.D 1.17 1.17

Extend BootROM [SLOT [SLOT [SLOT 1]CON

(Hardware)Ver.D, (Driver)1.0 (Hardware)Ver.D, (Driver)1.0 (Hardware)Ver.D, (Driver)1.0

1]RADIO1/0/1 1]ETH1/0/1

4.4 配置步骤
1. 配置信息:
<AC> display current-configuration # version 5.20, Beta 1107 # sysname AC #

domain default enable testdomain2 # telnet server enable # port-security enable #

dot1x authentication-method eap #

acl number 3221

rule 0 deny ip destination 56.1.7.100 0 # vlan 1 # vlan 2 to 3 # radius scheme testscheme2 server-type extended primary authentication 162.105.34.20 primary accounting 162.105.34.20 key authentication testkey2 key accounting testkey2 user-name-format without-domain # domain system access-limit disable state active idle-cut disable

H

3C
3

self-service-url disable domain testdomain2 authentication lan-access radius-scheme testscheme2 authorization lan-access radius-scheme testscheme2 accounting lan-access radius-scheme testscheme2 access-limit disable state active idle-cut disable self-service-url disable # wlan service-template 1 crypto ssid testssid2 bind WLAN-ESS 1 cipher-suite tkip security-ie wpa service-template enable # interface NULL0 # interface Vlan-interface2 ip address 1.1.2.1 255.255.255.0 #

interface GigabitEthernet1/0/1 #

interface GigabitEthernet1/0/2 port link-type trunk

port trunk permit vlan 1 to 3 6 #

interface M-Ethernet1/0/1 #

interface WLAN-ESS1 port access vlan 2

port-security port-mode userlogin-secure-ext port-security tx-key-type 11key undo dot1x handshake # wlan ap ap2100 model WA2100 serial-id 210235A22W0079000256 radio 1 service-template 1 radio enable # snmp-agent snmp-agent local-engineid 800063A203000FE212FF02 snmp-agent community write private snmp-agent sys-info version all # load xml-configuration

H

3C
4

# user-interface aux 0 history-command max-size 256 idle-timeout 0 0 user-interface vty 0 4 authentication-mode none user privilege level 3 history-command max-size 256 idle-timeout 0 0 # return

2. 主要配置步骤 # 启用端口安全 Port-security,配置 Dot1x 认证方式为 EAP.
[AC] port-security enable [AC] dot1x authentication-method eap

# 配置 radius scheme.
[AC] radius scheme testscheme2 [AC-radius-testscheme2] server-type extended [AC-radius-testscheme2] primary authentication 162.105.34.20 [AC-radius-testscheme2] primary accounting 162.105.34.20 [AC-radius-testscheme2] key authentication testkey2 [AC-radius-testscheme2] key accounting testkey2

[AC-radius-testscheme2] user-name-format without-domain [AC-radius-testscheme2] quit

# 配置 domain.
[AC] domain testdomain2

[AC-isp-testdomain2] authentication lan-access radius-scheme testscheme2 [AC-isp-testdomain2] authorization lan-access radius-scheme testscheme2 [AC-isp-testdomain2] accounting lan-access radius-scheme [AC-isp-testdomain2] quit testscheme2

# 配置下发的 ACL.
[AC] acl number 3221 [AC-acl-adv-3221] rule deny ip destination 56.1.7.100 0 [AC-acl-adv-3221] quit

# 配置无线接口 WLAN-ESS.
[AC]interface WLAN-ESS 1 [AC-WLAN-ESS1] port access vlan 2 [AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext [AC-WLAN-ESS1] port-security tx-key-type 11key [AC-WLAN-ESS1] undo dot1x handshake [AC-WLAN-ESS1] quit

# 配置无线服务模板 service-template 1.
[AC] wlan service-template 1 crypto

H

3C
5

[AC-wlan-st-1] ssid testssid2 [AC-wlan-st-1] authentication-method open-system [AC-wlan-st-1] bind WLAN-ESS 1 [AC-wlan-st-1] cipher-suite tkip [AC-wlan-st-1] security-ie wpa [AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit

# 建立 AP,并在 AP 下绑定服务模板,AP 的配置要根据具体的 AP 和序列号进行配置.
[AC] wlan ap ap2100 model WA2100 [AC-wlan-ap-ap2100] serial-id 210235A22W0079000256 [AC-wlan-ap-ap2100] radio 1 [AC-wlan-ap-ap2100-radio-1] service-template 1 [AC-wlan-ap-ap2100-radio-1] radio enable [AC-wlan-ap-ap2100-radio-1] quit [AC-wlan-ap-ap2100] quit

3. iMC 配置 在 iMC 上配置 Dot1x 认证项(iMC 版本:3.20-E2403)如下:

(2)

增加接入设备,其中共享密钥要与步骤 2 中配置一致.

(3)

增加服务:配置基本信息中的服务名和服务后缀(与步骤 2 中的 domain name 配置一致), 授权信息中的证书认证,认证证书类型,认证证书子类型和下发 ACL,其他信息可保持缺省 值.

H
6

3C

(1)

正确安装 iMC 并导入证书,然后从 iMC 上添加设备 AC(配置略).

(4)

增加用户,配置用户 testuser2 不加入特定组.

(5)

增加接入用户:使用"选择"按钮选择前一步的用户,并配置帐号名,密码,在线用户数, 以及在第(3)步中建立的服务.相关绑定信息保留缺省值.

H

3C
7

(6)

windows 客户端配置:

本案例使用的 windowsXP 客户端.配置略. 4. 验证结果 (1) (2)

在 AC 上执行 display connection 可以看到有对应的 Client 的 MAC 地址,且 ACL 正确下发.

<AC> display connection vlan 2

Index=139 ,Username=testac2@testdomain2 MAC=001b-1109-a32b ,IP=N/A

Total 1 connection(s) matched.

<AC> display connection ucibindex 139 Index=139 , Username=testac2@testdomain2 MAC=001b-1109-a32b IP=N/A Access=8021X ,AuthMethod=EAP

Port Type=Wireless-802.11,Port Name=WLAN-DBSS1:285 Initial VLAN=2, Authorization VLAN=N/A ACL Group=3221 User Profile=N/A CAR=Disable Priority=Disable Start=2008-09-02 13:58:58 ,Current=2008-09-02 14:06:15 ,Online=00h07m17s Total 1 connection matched.

H

Client 不能访问 FTP 服务器 56.1.7.100,能正常访问其他网络资源.

3C
8

4.5 注意事项


5 相关资料
5.1 相关协议和标准


5.2 其它相关资料
《H3C WX 系列无线控制器产品 用户手册》"安全分册"中的"端口安全配置".

H
9

3C

相关文章:
H3C WX系列AC+Fit AP PSK认证方式典型配置举例
H3C WX 系列 AC+Fit AP PSK 认证方式典型配置举例 关键词:PSK 摘要:随着无线网络应用的广泛普及,越来越多无线用户出现,使得无线安全 问题凸显出来, 本配置举例...
WX系列远程portal认证与IMCv7平台典型配置
WX系列远程portal认证与IMCv7平台典型配置_互联网_IT...使用 WX3024 作为无线控制器,版本号为 R3120P13。...h3c-wu bind WLAN-ESS 10 service-template enable...
H3C WX系列AC 1+1热备份典型配置举例 1
H3C WX 系列 AC 1+1 热备份典型配置举例 关键词:1+1 热备份 摘要: 本文介绍了用 H3C 公司 WX 系列无线控制产品支持 1+1 方案部署的配置。 缩略语: 缩略...
H3C WX系列AC+Fit AP WEP加密典型配置举例
H3C WX系列AC+Fit AP WEP加密典型配置举例_计算机硬件...无线控制器 无线接入点 无线客户端 有线等效加密 ...为 open-system 和 shared-key,以配合网卡自动识别...
H3C + Windows IAS + 用户VLAN下发 --典型配置案例
H3C WX 系列无线控制器与 Windows IAS 配合实现用户 VLAN 属性的下发典型配置案例关键词:DOT1X,VLAN 摘要:本文介绍了 H3C 公司 WX 系列 AC 与 Windows IAS ...
H3C_WX系列AC+Fit_AP二层IPv4网络连接典型配置举例
H3C WX 系列 AC+Fit AP 二层 IPv4 网络连接典型配置举例 关键词:AP,AC,二层网络 摘要:AP AC 间的连接最常用的情况就是通过 IPv4 二层网络连接,这种...
33-H3C WX系列基于SSID+VLAN的本地转发典型配置举例
33-H3C WX系列基于SSID+VLAN的本地转发典型配置举例_信息与通信_工程科技_专业...特性介绍无线控制器的本地转发特性, 是一种在 AP 上完成客户端之间数据交互的...
20101227_H3C考题(
解决方案的配置管理工具 D. iMC ACL 可以支持业界...H3C 专门对行业客户需求开发的产品,可以支持 IPV6 ...系列路由器,在集成多业务方面主要体现在 A.无线 B...
H3C 无线方案
H3C WX 系列多业务无线控制器配合) 安全策略 支持:...ACL(IPv4/IPv6) 支持基于 SSID+VLAN 的本地转发 ...需配合 H3C iMC UAM 用户接入管理组件 不支持 支持...
H3C 无线介绍
无线控制器系列 o H3C WX3000 系列有线无线一体...User Profile 中可以下发配置包括 ACL、QoS(优兇...实现在控制器或者 iMC 服务器上配置好哪些 MAC ...
更多相关标签:
h3c acl vlan下发 | 域控制器策略下发 | 控制器 | 微信红包尾数控制器 | pid控制器 | 电动车控制器 | 锅炉控制器 | 可编程控制器 |