Для выбранного языка не найдены ресурсы переадресации.

Этот веб-сайт использует cookie-файлы. Продолжая просмотр, вы соглашаетесь на их использование. Ознакомьтесь с нашей политикой соблюдения конфиденциальности.>

Типичные примеры настройки WLAN

Rate and give feedback :
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Пример настройки авторизации пользователя на основе пользовательских групп (CLI)

Пример настройки авторизации пользователя на основе пользовательских групп (CLI)

Знакомство с авторизацией пользователя на основе пользовательских групп

При авторизации пользователя устройство контролирует права доступа к сети на основе роли пользователя во время каждой фазы аутентификации пользователя.

Группа пользователей состоит из пользователей (терминалов) с одинаковыми атрибутами как ролями и правами. Например, вы можете разделить пользователей на сети кампуса в группу R&D, финансовую группу, маркетинговую группу и группу гостей на основе структуры корпоративного отдела и предоставить различные политики безопасности различным отделам.

Когда AC подключен к Cisco ISE, в аутентификации 802.1x могут использоваться три метода аутентификации, то есть простой протокол аутентификации (PAP), протокол аутентификации с косвенным согласованием (CHAP) и расширяемый протокол аутентификации (EAP). Конфигурации для трех методов проверки подлинности аналогичны. В качестве примера используется EAP.

Подробнее о том, как настроить авторизацию пользователя на основе пользовательских групп на AC, см. Настройку пользовательскую группу.

Подробнее о том, как настроить авторизацию пользователя на основе пользовательских групп на сервере Cisco ISE, см. Настройку Cisco ISE.

Применимые продукты и версии

Табл. 3-92 Применимые продукты и версии

Продукт

Версия

Huawei AC

V200R007C10 и более поздние версии

Cisco ISE

2.0.0.306

Требования к службе

Различные группы пользователей создаются для назначения прав доступа к сети для разных пользователей при доступе к WLAN через аутентификацию 802.1x. Кроме того, службы пользователей не затрагиваются во время роуминга в зоне покрытия.

Требования к сети

  • Режим сети AC: Режим обхода уровня 2
  • Режим развертывания DHCP: AC и SwitchB функционируют как DHCP-серверы, чтобы соответственно назначить IP-адреса для AP и STA.
  • Режим переадресации сервисных данных: прямая переадресация
  • Режим аутентификации WLAN: WPA-WPA2+802.1X+AES
Рис. 3-80 Сеть для настройки авторизации пользователя на основе пользовательских групп

План данных

Табл. 3-93 План данных по AC

Пункт конфигурации

Данные

Управляющая VLAN

VLAN 100

Сервисная VLAN

VLAN 101

Исходный интерфейс AC

VLANIF 100: 10.23.100.1/24

DHCP-сервер

AC функционирует как DHCP-сервер для назначения IP-адресов точкам доступа (AP), а SwitchB функционирует как DHCP-сервер для назначения IP-адресов STA.

Пул IP-адресов для AP

10.23.100.2-10.23.100.254/24

Пул IP-адресов для STA

10.23.101.2-10.23.101.254/24

Параметры аутентификации RADIUS

  • Имя шаблона сервера RADIUS: wlan-net
  • IP-адрес: 10.23.103.1
  • № порта аутентификации: 1812
  • Общий ключ: huawei@123
  • Схема аутентификации: wlan-net

Профиль доступа 802.1x

  • Имя: wlan-net
  • Режим аутентификации: EAP

Профиль Аутентификации

  • Имя: wlan-net
  • Привязанный профиль и схема аутентификации: Профиль доступа 802.1x wlan-net, шаблон сервера RADIUS wlan-net и схема аутентификации RADIUS wlan-net

Группа AP

  • Имя: ap-group1
  • Привязанный профиль: Профиль VAP wlan-net и профиль регулятивного домена default

Профиль регулятивного домена

  • Имя: default
  • Код страны: CN

Профиль SSID

  • Имя: wlan-net
  • Имя SSID: wlan-net

Профиль безопасности

  • Имя: wlan-net
  • Политика безопасности: WPA-WPA2+802.1X+AES

Профиль VAP

  • Имя: wlan-net
  • Режим переадресации: прямая переадресация
  • Сервисная VLAN: VLAN 101
  • Привязанные профили: Профиль SSID wlan-net, профиль безопасности wlan-net, и профиль аутентификации wlan-net

Группа пользователей

  • Имя: group1
  • Привязанный номер ACL: 3001
  • Право группы пользователей: Только члены в группе пользователей могут получить доступ к сетевым ресурсам в 10.23.200.0/24.
Табл. 3-94 План данных на Cisco ISE

Пункт конфигурации

Данные

Отдел

R&D

Учетная запись

Учетная запись: huawei

Пароль: huawei123

Профиль устройства

Huawei

Имя устройства

AC6605

IP-адрес устройства

10.23.102.2/32

Общий ключ RADIUS

huawei@123

Протокол аутентификации

  • MS-CHAPv2
  • PEAP
  • CHAP (только для теста test-aaa)

Группа пользователей

group1

Схема настройки

  1. Настройте сетевое взаимодействие.
  2. Настройте AC и SwitchB для того, чтобы они соответственно назначили IP-адреса для AP и STA.
  3. Настройте AP для входа в сеть.
  4. Настройте аутентификацию 802.1x и авторизацию пользователя на AC.
  5. Настройте сервер Cisco ISE.

Замечания по конфигурации

  • Настройте изоляцию портов на интерфейсах устройства, напрямую подключенного к точкам доступа. Если изоляция порта не настроена и используется прямая переадресация, в VLAN может быть создано большое количество ненужных широковещательных пакетов, блокирующих сеть и ухудшающих работу пользователя.

  • AC и сервер должны иметь один и тот же общий ключ RADIUS.

Процедура

  1. Настройте сетевое взаимодействие.

    # Добавьте GE0/0/1 и GE0/0/2 на SwitchA (коммутатор доступа) к VLAN 100 и VLAN 101.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 100 101
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [SwitchA-GigabitEthernet0/0/1] port-isolate enable
    [SwitchA-GigabitEthernet0/0/1] quit
    [SwitchA] interface gigabitethernet 0/0/2
    [SwitchA-GigabitEthernet0/0/2] port link-type trunk
    [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
    [SwitchA-GigabitEthernet0/0/2] quit
    
    # Добавьте GE0/0/1 на SwitchB (коммутатор агрегации) к VLAN 100 и VLAN 101, GE0/0/2 к VLAN 100 и VLAN 102, GE0/0/3 к VLAN 103 и GE0/0/4 к VLAN104. Создайте VLANIF 102, VLANIF 103 и VLANIF 104 и настройте маршрут по умолчанию маршрутизатора со следующим переходом адреса.
    <HUAWEI> system-view
    [HUAWEI] sysname SwitchB
    [SwitchB] vlan batch 100 to 104
    [SwitchB] interface gigabitethernet 0/0/1
    [SwitchB-GigabitEthernet0/0/1] port link-type trunk
    [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
    [SwitchB-GigabitEthernet0/0/1] quit
    [SwitchB] interface gigabitethernet 0/0/2
    [SwitchB-GigabitEthernet0/0/2] port link-type trunk
    [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
    [SwitchB-GigabitEthernet0/0/2] quit
    [SwitchB] interface gigabitethernet 0/0/3
    [SwitchB-GigabitEthernet0/0/3] port link-type trunk
    [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
    [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
    [SwitchB-GigabitEthernet0/0/3] quit
    [SwitchB] interface gigabitethernet 0/0/4
    [SwitchB-GigabitEthernet0/0/4] port link-type trunk
    [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
    [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
    [SwitchB-GigabitEthernet0/0/4] quit
    [SwitchB] interface vlanif 102
    [SwitchB-Vlanif102] ip address 10.23.102.1 24
    [SwitchB-Vlanif102] quit
    [SwitchB] interface vlanif 103
    [SwitchB-Vlanif103] ip address 10.23.103.2 24
    [SwitchB-Vlanif103] quit
    [SwitchB] interface vlanif 104
    [SwitchB-Vlanif104] ip address 10.23.104.1 24
    [SwitchB-Vlanif104] quit
    [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
    
    # Добавьте GE0/0/1 на AC к VLAN 100 и VLAN 102. Создайте VLANIF 102 и настройте статический маршрут на сервер RADIUS.
    <AC6605> system-view
    [AC6605] sysname AC
    [AC] vlan batch 100 101 102
    [AC] interface gigabitethernet 0/0/1
    [AC-GigabitEthernet0/0/1] port link-type trunk
    [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 102
    [AC-GigabitEthernet0/0/1] quit
    [AC] interface vlanif 102
    [AC-Vlanif102] ip address 10.23.102.2 24
    [AC-Vlanif102] quit
    [AC] ip route-static 10.23.103.0 24 10.23.102.1
    
    # Настройте IP-адрес GE0/0/1 на маршрутизаторе и статический маршрут к сегменту сети для STA.
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] interface gigabitethernet 0/0/1
    [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
    [Router-GigabitEthernet0/0/1] quit
    [Router] ip route-static 10.23.101.0 24 10.23.104.1
    

  2. Настройте AC и SwitchB для работы в качестве DHCP-серверов, чтобы назначить IP-адресов соответственно для AP и STA.

    # На AC настройте VLANIF 100 для того, чтобы назначить IP-адреса для AP.
    [AC] dhcp enable
    [AC] interface vlanif 100
    [AC-Vlanif100] ip address 10.23.100.1 24
    [AC-Vlanif100] dhcp select interface
    [AC-Vlanif100] quit
    # На SwitchB настройте VLANIF 101 для назначения IP-адресов STA.
    ПРИМЕЧАНИЕ:
    Настройте DNS-сервер по мере необходимости. Общие методы заключаются в следующем:
    • В сценариях пула адресов интерфейса запустите команду dhcp server dns-list ip-address &<1-8> в виде интерфейса VLANIF.
    • В сценариях пула глобального адреса запустите команду dns-list ip-address &<1-8> в виде пула IP-адресов.
    [SwitchB] dhcp enable
    [SwitchB] interface vlanif 101
    [SwitchB-Vlanif101] ip address 10.23.101.1 24
    [SwitchB-Vlanif101] dhcp select interface
    [SwitchB-Vlanif101] quit

  3. Настройте AP для входа в сеть.

    # Создайте группу AP, к которой могут добавляться точки доступа с той же конфигурацией.

    [AC] wlan
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] quit
    

    # Создайте профиль регулятивного домена, настройте код страны AC в профиле и привяжите профиль к группе AP.

    [AC-wlan-view] regulatory-domain-profile name default
    [AC-wlan-regulate-domain-default] country-code cn
    [AC-wlan-regulate-domain-default] quit
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
    Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
    e?[Y/N]:y 
    [AC-wlan-ap-group-ap-group1] quit
    [AC-wlan-view] quit
    

    # Настройте исходный интерфейс AC.

    [AC] capwap source interface vlanif 100
    
    # Импортируйте AP в автономном режиме на AC и добавьте AP в группу AP ap-group1. Настройте имена для AP на основе местоположений AP, чтобы узнать, где находятся AP. Например, если AP с MAC-адресом 60de-4476-e360 развернута в зоне 1, назовите AP area_1.
    ПРИМЕЧАНИЕ:

    Режим аутентификации AP по умолчанию - это аутентификация MAC-адреса. Если настройки по умолчанию сохранены, не нужно запускать команду ap auth-mode mac-auth.

    В этом примере используется AP5030DN и имеет два Radio: Radio 0 и Radio 1. Radio 0 и Radio 1 работают соответственно на диапазонах 2.4 ГГц и 5 ГГц.

    [AC] wlan
    [AC-wlan-view] ap auth-mode mac-auth
    [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
    [AC-wlan-ap-0] ap-name area_1
    [AC-wlan-ap-0] ap-group ap-group1
    Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
    s of the radio, Whether to continue? [Y/N]:y 
    [AC-wlan-ap-0] quit
    

    # После включения AP запустите команду display ap all, чтобы проверить состояние AP. Если поле State отображается nor, AP вошла в сеть.

    [AC-wlan-view] display ap all
    Total AP information:
    nor  : normal          [1]
    --------------------------------------------------------------------------------
    ID   MAC            Name   Group     IP            Type            State STA Uptime
    --------------------------------------------------------------------------------
    0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S
    --------------------------------------------------------------------------------
    Total: 1
    

  4. Настройте канал и мощность AP.
  5. Настройте аутентификацию 802.1x на AC.
    1. Настройте параметры аутентификации RADIUS.

      # Создайте шаблон сервера RADIUS.

      [AC-wlan-view] quit
      [AC] radius-server template wlan-net
      [AC-radius-wlan-net] radius-server authentication 10.23.103.1 1812
      [AC-radius-wlan-net] radius-server shared-key cipher huawei@123
      [AC-radius-wlan-net] quit
      

      # Создайте схему аутентификации RADIUS.

      [AC] aaa
      [AC-aaa] authentication-scheme wlan-net
      [AC-aaa-authen-wlan-net] authentication-mode radius
      [AC-aaa-authen-wlan-net] quit
      [AC-aaa] quit
      

    2. Настройте профиль доступа 802.1x для управления параметрами контроля доступа 802.1x.

      # Создайте профиль доступа 802.1x wlan-net.

      [AC] dot1x-access-profile name wlan-net
      

      # Настройте аутентификацию ретранслятора EAP.

      [AC-dot1x-access-profile-wlan-net] dot1x authentication-method eap
      [AC-dot1x-access-profile-wlan-net] quit
      

    3. Создайте профиль аутентификации wlan-net и привяжите его к профилю доступа 802.1x, схеме аутентификации и шаблону сервера RADIUS.

      [AC] authentication-profile name wlan-net
      [AC-authentication-profile-wlan-net] dot1x-access-profile wlan-net
      [AC-authentication-profile-wlan-net] authentication-scheme wlan-net
      [AC-authentication-profile-wlan-net] radius-server wlan-net
      [AC-authentication-profile-wlan-net] quit

    4. Настройте параметры службы WLAN.

      # Создайте профиль безопасности wlan-net и установите политику безопасности в профиле.

      [AC] wlan
      [AC-wlan-view] security-profile name wlan-net
      [AC-wlan-sec-prof-wlan-net] security wpa-wpa2 dot1x aes
      [AC-wlan-sec-prof-wlan-net] quit
      

      # Создайте профиль SSID wlan-net и установите имя SSID на wlan-net.

      [AC-wlan-view] ssid-profile name wlan-net
      [AC-wlan-ssid-prof-wlan-net] ssid wlan-net
      [AC-wlan-ssid-prof-wlan-net] quit
      

      # Создайте профиль VAP wlan-net, настройте режим прямой переадресации данных и сервисные VLAN и привяжите профиль безопасности, профиль аутентификации и профиль SSID к профилю VAP.

      [AC-wlan-view] vap-profile name wlan-net
      [AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
      [AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
      [AC-wlan-vap-prof-wlan-net] security-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] authentication-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
      [AC-wlan-vap-prof-wlan-net] quit
      

      # Привяжите профиль VAP wlan-net к группе AP и примените профиль к Radio 0 и Radio 1 точки доступа.

      [AC-wlan-view] ap-group name ap-group1
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
      [AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
      [AC-wlan-ap-group-ap-group1] quit
      [AC-wlan-view] quit
      

  6. Настройте группу пользователей.

    # Настройте группу пользователей group1, которая может получить доступ к домену после аутентификации. Позволите пользователям в группе 1 получить доступ к сетевым ресурсам в сегменте сети 10.23.200.0/24.

    ПРИМЕЧАНИЕ:

    Настройте сервер RADIUS, чтобы авторизовать группы пользователей group1 для аутентифицированных сотрудников.

    [AC] acl 3001
    [AC-acl-adv-3001] rule 1 permit ip destination 10.23.200.0 0.0.0.255
    [AC-acl-adv-3001] rule 2 deny ip destination any
    [AC-acl-adv-3001] quit
    [AC] user-group group1
    [AC-user-group-group1] acl-id 3001
    [AC-user-group-group1] quit
    

  7. Настройте Cisco ISE.
    1. # Войдите на сервер Cisco ISE.

      # Введите адрес доступа сервера Cisco ISE в поле адреса, которое находится в формате https://Cisco ISE IP. Cisco ISE IP - это IP-адрес сервера Cisco ISE.

      # На отображаемой странице введите имя пользователя и пароль для входа на сервер Cisco ISE.

    2. Создайте отдел и учетную запись.

      # Выберите Administration > Identity Management > Groups > User Identity Groups. На панели справа нажмите Add и создайте отдел под названием R&D. Затем нажмите Submit.



      # Выберите Administration > Identity Management > Identities > Users. На панели справа нажмите Add, чтобы создать учетную запись с именем пользователя huawei и паролем huawei123. Добавьте учетную запись в отдел R&D. Затем нажмите Submit.



    3. Добавьте AC так, чтобы Cisco ISE могла взаимодействовать с AC.

      # Выберите Administration > Network Resources > Network Device Profiles. На панели слева нажмите Add и создайте профиль устройства с именем Huawei. Затем нажмите Submit.



      # Выберите Administration > Network Resources > Network Devices. На панели справа нажмите Add. Установите имя устройства на AC6605, IP-адрес на 10.23.102.2/32, и общий ключ RADIUS на huawei@123. Затем нажмите Submit.



    4. Настройте протокол аутентификации.

      # Выберите Policy > Policy Elements > Results > Authentication > Allowed Protocols. Выберите Default Network Access и нажмите Edit.



      # Выберите Allow CHAP, Allow MS-CHAPv2, и Allow PEAP. Для других параметров используйте настройки по умолчанию. Нажмите Save.
      ПРИМЕЧАНИЕ:

      По умолчанию Cisco ISE отключает протокол аутентификации CHAP. Нужно выбрать протокол аутентификации CHAP на сервере, чтобы протокол CHAP мог использоваться для проведения теста test-aaa на AC.



    5. Настройте авторизованную группу пользователей.

      # Выберите Policy > Policy Elements > Results > Authorization > Authorization Profiles. На панели справа нажмите Add. Настройте Name, Access Type и Advanced Attributes Settings. Затем нажмите Submit.



      # Выберите Policy > Authorization. Нажмите рядом с Edit и выберите Insert New Rule Above в меню, чтобы добавить новое разрешение политика.



      # В новой политике авторизации настройте Rule Name, Conditions, and Permissions. Нажмите Done и затем Save.



  8. На AC проверьте, могут ли пользователи проходить аутентификацию RADIUS.

    [AC] test-aaa huawei huawei123 radius-template wlan-net
    Info: Account test succeed.
    

  9. Проверьте конфигурацию.

    • WLAN с SSID wlan-net доступна для STA после завершения конфигурации.
    • STA получают IP-адреса тогда, когда они успешно связывают с WLAN.
    • Пользователь может использовать клиент аутентификации 802.1x на STA для проверки подлинности. После ввода правильного имени пользователя и пароля пользователь успешно прошел аутентификацию и может получить доступ к ресурсам в сегменте сети 10.23.200.0/24. Необходимо настроить клиент аутентификации 802.1x на основе настроенного режима аутентификации PEAP.
      • Конфигурация в операционной системе Windows XP:

        1. На вкладке Association диалогового окна Wireless network properties добавьте SSID wlan-net, установите режим аутентификации на WPA2, и алгоритм шифрования на AES.
        2. На вкладке Authentication установите тип EAP на PEAP и нажмите Properties. В диалоговом окне Protected EAP Properties снимите флажок Validate server certificate и нажмите Configure. В появившемся диалоговом окне снимите флажок Automatically use my Windows logon name and password и нажмите OK.
      • Конфигурация в операционной системе Windows 7:

        1. Откройте страницу Manage wireless networks, нажмите Add и выберите Manually create a network profile. Добавьте SSID wlan-net. Установите режим аутентификации на WPA2-Enterprise и алгоритм шифрования на AES. Нажмите Next.
        2. Нажмите Change connection settings. На отображаемой странице Wireless Network Properties выберите вкладку Security и нажмите Settings. В диалоговом окне Protected EAP Properties снимите флажок Validate server certificate и нажмите Configure. В появившемся диалоговом окне снимите флажок Automatically use my Windows logon name and password и нажмите OK.
        3. Нажмите OK. На странице Wireless Network Properties нажмите Advanced settings. На отображаемой странице Advanced settings выберите Specify authentication mode, установите аутентификации идентификатора на User authentication и нажмите OK.

Файлы конфигурации

  • Файл конфигурации SwitchA

    #
    sysname SwitchA
    #
    vlan batch 100 to 101
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk pvid vlan 100
     port trunk allow-pass vlan 100 to 101
     port-isolate enable group 1
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 to 101
    #
    return
  • Файл конфигурации SwitchB

    #
    sysname SwitchB
    #
    vlan batch 100 to 104
    #
    dhcp enable
    #
    interface Vlanif101
     ip address 10.23.101.1 255.255.255.0
     dhcp select interface
    #
    interface Vlanif102
     ip address 10.23.102.1 255.255.255.0
    #
    interface Vlanif103
     ip address 10.23.103.2 255.255.255.0
    #
    interface Vlanif104
     ip address 10.23.104.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 to 101
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 100 102
    #
    interface GigabitEthernet0/0/3
     port link-type trunk
     port trunk pvid vlan 103
     port trunk allow-pass vlan 103
    #
    interface GigabitEthernet0/0/4
     port link-type trunk
     port trunk pvid vlan 104
     port trunk allow-pass vlan 104
    #
    ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
    #
    return
  • Файл конфигурации маршрутизатора

    #
    sysname Router
    #
    interface GigabitEthernet0/0/1
     ip address 10.23.104.2 255.255.255.0
    #
    ip route-static 10.23.101.0 255.255.255.0 10.23.104.1
    #
    return
    
  • Файл конфигурации AC

    #
     sysname AC
    #
    vlan batch 100 102
    #
    authentication-profile name wlan-net
     dot1x-access-profile wlan-net
     authentication-scheme wlan-net
     radius-server wlan-net
    #
    dhcp enable
    #
    radius-server template wlan-net
     radius-server shared-key cipher %^%#*7d1;XNof/|Q0:DsP!,W51DIYPx}`AARBdJ'0B^$%^%#
     radius-server authentication 10.23.103.1 1812 weight 80
    #
    acl number 3001
     rule 1 permit ip destination 10.23.200.0 0.0.0.255
     rule 2 deny ip
    #
    user-group group1
     acl-id 3001
    #
    aaa
     authentication-scheme wlan-net
      authentication-mode radius
    #
    interface Vlanif100
     ip address 10.23.100.1 255.255.255.0
     dhcp select interface
    #
    interface Vlanif102
     ip address 10.23.102.2 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 100 102
    #
    ip route-static 10.23.103.0 255.255.255.0 10.23.102.1
    #
    capwap source interface vlanif100
    #
    wlan
     security-profile name wlan-net
      security wpa-wpa2 dot1x aes
     ssid-profile name wlan-net
      ssid wlan-net
     vap-profile name wlan-net
      service-vlan vlan-id 101
      ssid-profile wlan-net
      security-profile wlan-net
      authentication-profile wlan-net
     regulatory-domain-profile name default
     ap-group name ap-group1
      radio 0
       vap-profile wlan-net wlan 1
      radio 1
       vap-profile wlan-net wlan 1
     ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
      ap-name area_1
      ap-group ap-group1
      radio 0
       channel 20mhz 6
       eirp 127
      radio 1
       channel 20mhz 149
       eirp 127
    #
    dot1x-access-profile name wlan-net
    #
    return
Загрузить
Updated: 2018-08-21

№ документа:EDOC1100029357

Просмотры:7772

Загрузки: 106

Average rating:
This Document Applies to these Products
Связанные документы
Related Version
Share
Назад Далее