配置通过ACL为用户授权示例（Web）

操作步骤

1. 配置网络互通
   # 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/3加入VLAN100和VLAN101。

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchA
   [SwitchA] vlan batch 100 101
   [SwitchA] interface gigabitethernet 0/0/1
   [SwitchA-GigabitEthernet0/0/1] port link-type trunk
   [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
   [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
   [SwitchA-GigabitEthernet0/0/1] port-isolate enable
   [SwitchA-GigabitEthernet0/0/1] quit
   [SwitchA] interface gigabitethernet 0/0/3
   [SwitchA-GigabitEthernet0/0/3] port link-type trunk
   [SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 101
   [SwitchA-GigabitEthernet0/0/3] quit
   

   # 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，GE0/0/5加入VLAN105。

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchB
   [SwitchB] vlan batch 100 to 105
   [SwitchB] interface gigabitethernet 0/0/1
   [SwitchB-GigabitEthernet0/0/1] port link-type trunk
   [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
   [SwitchB-GigabitEthernet0/0/1] quit
   [SwitchB] interface gigabitethernet 0/0/2
   [SwitchB-GigabitEthernet0/0/2] port link-type trunk
   [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
   [SwitchB-GigabitEthernet0/0/2] quit
   [SwitchB] interface gigabitethernet 0/0/3
   [SwitchB-GigabitEthernet0/0/3] port link-type trunk
   [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
   [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
   [SwitchB-GigabitEthernet0/0/3] quit
   [SwitchB] interface gigabitethernet 0/0/4
   [SwitchB-GigabitEthernet0/0/4] port link-type trunk
   [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
   [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
   [SwitchB-GigabitEthernet0/0/4] quit
   [SwitchB] interface gigabitethernet 0/0/5
   [SwitchB-GigabitEthernet0/0/5] port link-type trunk
   [SwitchB-GigabitEthernet0/0/5] port trunk pvid vlan 105
   [SwitchB-GigabitEthernet0/0/5] port trunk allow-pass vlan 105
   [SwitchB-GigabitEthernet0/0/5] quit
   

   # 在汇聚交换机SwitchB上创建VLANIF102、VLANIF103、VLANIF104和VLANIF105接口，并配置下一跳为Router的缺省路由。

   [SwitchB] interface vlanif 102
   [SwitchB-Vlanif102] ip address 10.23.102.1 24
   [SwitchB-Vlanif102] quit
   [SwitchB] interface vlanif 103
   [SwitchB-Vlanif103] ip address 10.23.103.2 24
   [SwitchB-Vlanif103] quit
   [SwitchB] interface vlanif 104
   [SwitchB-Vlanif104] ip address 10.23.104.1 24
   [SwitchB-Vlanif104] quit
   [SwitchB] interface vlanif 105
   [SwitchB-Vlanif105] ip address 10.23.105.2 24
   [SwitchB-Vlanif105] quit
   [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
   

   # 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

   <Huawei> system-view
   [Huawei] sysname Router
   [Router] interface gigabitethernet 0/0/1
   [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
   [Router-GigabitEthernet0/0/1] quit
   [Router] ip route-static 10.23.101.0 24 10.23.104.1
   

2. 配置汇聚交换机SwitchB作为DHCP服务器为STA分配IP地址
   # 在汇聚交换机SwitchB上配置VLANIF101接口为STA提供IP地址。

   [SwitchB] dhcp enable
   [SwitchB] interface vlanif 101
   [SwitchB-Vlanif101] ip address 10.23.101.1 24
   [SwitchB-Vlanif101] dhcp select interface
   [SwitchB-Vlanif101] quit

3. 配置AC系统参数
   1. 配置AC基本参数。

      # 单击“配置 > 配置向导 > AC”，进入“AC基本配置”页面。

      # “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。

      
      
      

      # 单击页面下方的“下一步”，进入“端口配置”页面。

   2. 配置端口。
      # 选择接口“GigabitEthernet0/0/1”，展开“批量修改”，选择“接口类型”为“Trunk”，将“GigabitEthernet0/0/1”加入VLAN100（管理VLAN）和VLAN102。

      如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。

      
      
      

      # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

      # 单击“下一步”，进入“网络互联配置”页面。

   3. 配置网络互联。

      # 单击“接口配置”下的“新建”，进入“新建接口配置”页面。

      # 配置接口VLANIF100的IP地址为10.23.100.1/24，“DHCP状态”为“ON”，“DHCP类型”为“接口地址池”。

      DNS服务器地址请根据实际需要配置。
      
      
      

      # 单击“确定”，完成VLANIF100接口地址池的配置。

      # 以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。

      # 单击“静态路由表”下的“新建”，进入“新建静态路由表”页面。

      # 配置“目的IP地址”为“10.23.103.0”，“子网掩码”为“24(255.255.255.0)”，“下一跳”为“10.23.102.1”。
      
      

      # 单击“确定”，完成静态路由表的配置。

      # 单击“下一步”。

      # 单击“下一步”，进入“AC源地址”页面。

   4. 配置AC源地址。

      # “AC源地址”选择“VLANIF”，单击选择按钮，选择“Vlanif100”。
      
      

      # 单击“下一步”，进入“配置确认”页面。

   5. 配置确认。

      # 确认配置，单击“完成并继续AP上线配置”。

4. 配置AP上线
   1. 配置AP上线。

      # 单击“批量导入”，进入“批量导入”页面。单击，下载批量添加AP模板文件到本地。

      
      
      
      # 在AP模板文件中填写AP信息，示例如下。如需添加多个AP，可以参照该示例在AP模板文件中填写多条AP信息。

      • AP MAC地址：60de-4476-e360
      • AP SN：210235419610CB002287
      • AP名称：area_1
      • AP组：ap-group1

      • 当选择“AP认证方式”为“MAC认证”时，AP MAC地址为必填项，AP SN可不填。
      • 当选择“AP认证方式”为“SN认证”时，AP SN为必填项，AP MAC地址可不填。

      建议使用网络规划工具WLAN Planner将规划好的射频ID、AP信道、频宽、功率导出成.csv格式的表格，将表格中的这些信息填写到AP文件模板中，经度和纬度请根据实际情况配置。

      # 单击“导入AP文件”后的，选择填写后的模板文件，单击“导入”。

      # 导入完成后，页面显示导入结果信息，单击“确定”，完成添加。

      # 单击“下一步”，进入“AP分组”页面。

      # AP模板文件中已添加AP组信息，直接单击“下一步”，进入“配置确认”页面。

   2. 配置确认。

      # 确认配置，单击“完成并继续无线业务配置”。

5. 配置WLAN业务
   1. # 单击“新建”，进入“基本信息”页面。
   2. # 配置SSID名称、转发模式、业务VLAN ID等信息。
      
      
   3. # 单击“下一步”，进入“安全认证”页面。
   4. # 配置“安全配置”为802.1X认证，并配置外置Radius服务器的相关参数。
      
      
   5. # 单击“下一步”，进入“接入控制”页面。
   6. # 选择“绑定AP组”为“ap-group1”。
   7. # 单击“完成”。
6. 配置AP的信道和功率
   1. 关闭AP射频的信道和功率自动调优功能，并手动配置AP的信道和功率。

      射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。

      # 选择“配置 > AP配置 > AP配置 > AP信息”，进入“AP列表”页面。

      # 单击需要配置信道和功率的AP ID，进入“AP个性化配置”页面。

      # 单击“射频管理”前的，显示当前射频管理下的模板。

      # 单击“射频0”，进入射频0配置页面。在射频0配置页面关闭信道自动调优和功率自动调优功能，并设置信道为带宽20MHz信道6，发送功率为127dBm。

      
      
      

      # “射频1”上关闭信道自动调优和功率自动调优功能，并设置信道带宽20MHz信道149，发送功率127dBm的步骤与“射频0”类似，此处不再赘述。

      # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

7. 配置认证成功后的授权参数ACL3002

   # 单击“配置 > 安全管理 > ACL > 高级ACL配置 > ACLv4”，进入“高级ACL配置”页面。

   # 单击“新建”，进入“新建高级ACL”页面，配置ACL。
   
   

   # 单击“确定”，返回“高级ACL配置”页面。

   # 单击ACL编号3002右侧的“添加规则”，进入“添加规则”页面，添加ACL规则。
   
   

   # 单击“确定”，返回“高级ACL配置”页面，再添加一条ACL规则。
   
   

   # 单击“确定”，完成ACL配置。

8. 配置锐捷SAM服务器
   1. 登录锐捷SAM服务器。

      # 在浏览器中输入锐捷SAM服务器的访问地址，地址格式为http://serverip:8080/sam/，其中serverip是锐捷SAM服务器的IP地址。

      # 在登录页面中，输入用户名和密码进行登录。缺省情况下，用户名为admin，密码为111。

   2. 添加AC设备，使锐捷SAM可以和AC联动。

      # 依次选择“系统管理 > 设备管理”，单击“添加”，进入“添加设备”页面。

      # 配置“设备IP地址”为AC的IP地址“10.23.102.2”，“设备类型”为“无线交换机”，“具体型号”为“其他厂家设备”，“设备Key”为“huawei@123”，“读写Community”为“Huawei123”，其余参数使用缺省配置即可。
      
      

      “设备Key”和“读写Community”需要分别和AC上配置的RADIUS共享密钥和读写团体名一致。

      # 单击“保存”，在弹出的对话框中单击“确定”。

   3. 添加接入控制。

      # 依次选择“接入控制管理 > 接入控制管理”，单击“添加”，进入“添加接入控制”页面。

      # 在“接入控制基本信息”页签中配置“接入控制名”为“dot1x”，“允许重复登录次数”为“0”，其余参数使用缺省配置即可。
      
      

      本例中配置“允许重复登录次数”为“0”表示不限制用户登录次数，实际配置请根据需要调整。

      # 在“用户信息校验”页签中选择“允许的接入方式”为“有线1X接入”、“无线1X接入”和“智能终端1X接入”，其中，“有线1X接入”用于test-aaa测试，其余参数使用缺省配置即可。
      
      

      # 单击“保存”，在弹出的对话框中单击“确定”。

   4. 配置用户模板并添加套餐。

      # 依次选择“用户管理 > 用户模板管理”，单击“添加用户模板”，进入“添加用户模板”页面。

      # 配置“模板名称”为“dot1x”，其余参数使用缺省配置即可，单击“保存”。
      
      

      # 在创建的“dot1x”用户模板页面单击，然后单击“添加套餐”。
      
      

      # 在“添加套餐”页面配置“套餐”为“dot1x”，不启用“重复登录次数限制”，“计费策略”选择“不计费”，其余参数使用缺省配置即可。
      
      

      # 单击“保存”，返回“dot1x”用户模板页面。

      # 单击“dot1x”用户模板右侧的，然后单击“修改规则”。
      
      

      # 在“修改规则”页面修改“服务”为“dot1x”，“接入控制”为“dot1x”，其余参数使用缺省配置即可。
      
      

      # 单击“保存”，返回“dot1x”用户模板页面，检查配置是否正确。

   5. 配置用户组。

      # 依次选择“用户管理 > 用户组管理”，进入“用户组管理”页面。

      # 在“添加用户组”区域配置“用户组名”为“dot1x”，“默认用户模板”为“dot1x”，“默认套餐”为“dot1x”，其余参数使用缺省配置即可。
      
      

      # 单击“保存”，在弹出的对话框中单击“确定”。

   6. 开户。

      # 依次选择“用户管理 > 用户管理”，单击“开户”，进入“开户”页面。

      # 在“基本信息”区域配置“用户名”为“huawei”，密码为“huawei123”，“用户组”为“dot1x”，“用户模板”为“dot1x”，“套餐”为“dot1x”，“VPN服务器ACL”为“3002”，其余参数使用缺省配置即可。
      
      

      # 单击“保存”，在弹出的对话框中单击“确定”。

9. 检查配置结果
   • 员工认证通过后，能够访问业务服务器和实验室。
   • 认证通过后，在AC上选择“监控 > 用户”，可以看到员工的在线信息。