配置通过ACL为用户授权示例（Web）

WLAN产品对接配置专题

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置通过ACL为用户授权示例（Web）

用户授权简介

用户授权是指在用户认证的各个阶段，根据用户角色来对网络访问权限进行控制。802.1x用户在RADIUS服务器上通过认证后，RADIUS服务器会把授权信息下发给设备端。锐捷SAM作为RADIUS服务器时，支持下发的授权参数有多种，本举例中以ACL编号来进行用户授权。

ACL编号授权：RADIUS服务器上配置了ACL编号下发功能，则授权信息中含有下发的ACL编号，设备端根据下发的ACL编号匹配相应的ACL规则，对用户权限进行控制。

ACL编号下发，使用的RADIUS属性为：(011)Filter-Id。
AC上支持接受的ACL编号取值范围为3000～3031。

AC和锐捷SAM对接时，802.1X认证支持PAP、CHAP和EAP三种认证方式，本举例以EAP认证方式为例，PAP和CHAP认证方式的配置与之类似，但是PAP和CHAP认证方式下，终端需要安装锐捷认证客户端，通过输入正确的用户名和密码后，才能正常访问WLAN网络。

对于设备侧配置，如果您只需查阅通过ACL为用户授权相关的配置方法，请直接参见在AC上配置用户授权。

如果您只需查阅锐捷SAM服务器侧的配置方法，请直接参见配置锐捷SAM。

举例适用的产品和版本

表6-16 举例适用的产品和版本

产品	版本
华为AC	V200R007C10及之后版本
锐捷SAM	ENTERPRISE_3.9(p1)

业务需求

用户接入WLAN网络，使用802.1x客户端进行认证时，根据用户角色来对网络访问权限进行控制。

某公司内部大量员工无线终端接入网络。为确保网络的安全性，管理员需对终端的网络访问权限进行控制，要求名称为“huawei”的用户认证成功后只能访问业务服务器（IP地址为10.23.105.1）。

组网需求

AC组网方式：旁挂二层组网。
DHCP部署方式：
- AC作为DHCP服务器为AP分配IP地址。
- SwitchB作为DHCP服务器为STA分配IP地址。
业务数据转发方式：直接转发。
WLAN认证方式：WPA-WPA2+802.1x+AES。

图6-6 配置通过ACL为用户授权组网图

数据规划

表6-17 AC数据规划

配置项	数据
管理VLAN	VLAN100
业务VLAN	VLAN101
AC源接口	VLANIF100：10.23.100.1/24
DHCP服务器	AC作为DHCP服务器为AP分配IP地址。 SwitchB作为DHCP服务器为STA分配IP地址。
AP的IP地址池	10.23.100.2～10.23.100.254/24
STA的IP地址池	10.23.101.2～10.23.101.254/24
RADIUS认证参数	RADIUS服务器模板名称：wlan-net IP地址：10.23.103.1 认证端口号：1812 共享密钥：huawei@123 认证方案：wlan-net
认证成功后可访问的资源	业务服务器的访问权限通过ACL号授权，ACL号为：3002
802.1x接入模板	名称：wlan-net 认证方式：EAP
认证模板	名称：wlan-net 引用模板和认证方案：802.1x接入模板wlan-net、RADIUS服务器模板wlan-net、认证方案wlan-net
读写团体名	名称：Huawei123
AP组	名称：ap-group1 引用模板：VAP模板wlan-net、域管理模板default
域管理模板	名称：default 国家码：中国
SSID模板	名称：wlan-net SSID名称：wlan-net
安全模板	名称：wlan-net 安全策略：WPA-WPA2+802.1x+AES
VAP模板	名称：wlan-net 转发模式：直接转发业务VLAN：VLAN101 引用模板：SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net

表6-18 锐捷SAM数据规划

配置项	数据
设备信息	设备IP地址：10.23.102.2 设备类型：无线交换机具体型号：其他厂家设备设备Key：huawei@123 读写Community：Huawei123
接入控制	名称：dot1x 允许重复登录次数：0 允许的接入方式：有线1X接入、无线1X接入、智能终端1X接入
用户模板	名称：dot1x
套餐	名称：dot1x 重复登录次数限制：不启用计费策略：不计费规则：服务为dot1x，接入控制为dot1x
用户组	名称：dot1x 默认用户模板：dot1x 默认套餐：dot1x
用户	账号：huawei 密码：huawei123 用户组：dot1x 用户模板：dot1x 套餐：dot1x
授权ACL	3002

配置思路

配置网络互通。
配置WLAN基本业务。
配置AC与RADIUS服务器的对接参数、认证成功后的网络访问权限等。
配置锐捷SAM服务器。

配置注意事项

建议在与AP直连的设备接口上配置端口隔离，如果不配置端口隔离，尤其是业务数据转发方式采用直接转发时，可能会在VLAN内形成大量不必要的广播报文，导致网络阻塞，影响用户体验。
AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。

操作步骤

配置网络互通

# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/3加入VLAN100和VLAN101。

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100 101
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/1] port-isolate enable
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/3] quit

# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，GE0/0/5加入VLAN105。

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan batch 100 to 105
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
[SwitchB-GigabitEthernet0/0/2] quit
[SwitchB] interface gigabitethernet 0/0/3
[SwitchB-GigabitEthernet0/0/3] port link-type trunk
[SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
[SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
[SwitchB-GigabitEthernet0/0/3] quit
[SwitchB] interface gigabitethernet 0/0/4
[SwitchB-GigabitEthernet0/0/4] port link-type trunk
[SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
[SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
[SwitchB-GigabitEthernet0/0/4] quit
[SwitchB] interface gigabitethernet 0/0/5
[SwitchB-GigabitEthernet0/0/5] port link-type trunk
[SwitchB-GigabitEthernet0/0/5] port trunk pvid vlan 105
[SwitchB-GigabitEthernet0/0/5] port trunk allow-pass vlan 105
[SwitchB-GigabitEthernet0/0/5] quit

# 在汇聚交换机SwitchB上创建VLANIF102、VLANIF103、VLANIF104和VLANIF105接口，并配置下一跳为Router的缺省路由。

[SwitchB] interface vlanif 102
[SwitchB-Vlanif102] ip address 10.23.102.1 24
[SwitchB-Vlanif102] quit
[SwitchB] interface vlanif 103
[SwitchB-Vlanif103] ip address 10.23.103.2 24
[SwitchB-Vlanif103] quit
[SwitchB] interface vlanif 104
[SwitchB-Vlanif104] ip address 10.23.104.1 24
[SwitchB-Vlanif104] quit
[SwitchB] interface vlanif 105
[SwitchB-Vlanif105] ip address 10.23.105.2 24
[SwitchB-Vlanif105] quit
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2

# 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

<Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
[Router-GigabitEthernet0/0/1] quit
[Router] ip route-static 10.23.101.0 24 10.23.104.1

配置汇聚交换机SwitchB作为DHCP服务器为STA分配IP地址

# 在汇聚交换机SwitchB上配置VLANIF101接口为STA提供IP地址。

[SwitchB] dhcp enable
[SwitchB] interface vlanif 101
[SwitchB-Vlanif101] ip address 10.23.101.1 24
[SwitchB-Vlanif101] dhcp select interface
[SwitchB-Vlanif101] quit

配置AC系统参数
1. 配置AC基本参数。
  # 单击“配置 > 配置向导 > AC”，进入“AC基本配置”页面。
  
  # “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。
  
  # 单击页面下方的“下一步”，进入“端口配置”页面。
2. 配置端口。
  # 选择接口“GigabitEthernet0/0/1”，展开“批量修改”，选择“接口类型”为“Trunk”，将“GigabitEthernet0/0/1”加入VLAN100（管理VLAN）和VLAN102。
  
  如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。
  
  # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。
  
  # 单击“下一步”，进入“网络互联配置”页面。
3. 配置网络互联。
  # 单击“接口配置”下的“新建”，进入“新建接口配置”页面。
  
  # 配置接口VLANIF100的IP地址为10.23.100.1/24，“DHCP状态”为“ON”，“DHCP类型”为“接口地址池”。
  
  DNS服务器地址请根据实际需要配置。
  
  # 单击“确定”，完成VLANIF100接口地址池的配置。
  
  # 以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。
  
  # 单击“静态路由表”下的“新建”，进入“新建静态路由表”页面。
  
  # 配置“目的IP地址”为“10.23.103.0”，“子网掩码”为“24(255.255.255.0)”，“下一跳”为“10.23.102.1”。
  
  # 单击“确定”，完成静态路由表的配置。
  
  # 单击“下一步”。
  
  # 单击“下一步”，进入“AC源地址”页面。
4. 配置AC源地址。
  # “AC源地址”选择“VLANIF”，单击选择按钮，选择“Vlanif100”。
  
  # 单击“下一步”，进入“配置确认”页面。
5. 配置确认。
  # 确认配置，单击“完成并继续AP上线配置”。
配置AP上线
1. 配置AP上线。
  # 单击“批量导入”，进入“批量导入”页面。单击，下载批量添加AP模板文件到本地。
  # 在AP模板文件中填写AP信息，示例如下。如需添加多个AP，可以参照该示例在AP模板文件中填写多条AP信息。
  - AP MAC地址：60de-4476-e360
  - AP SN：210235419610CB002287
  - AP名称：area_1
  - AP组：ap-group1
  当选择“AP认证方式”为“MAC认证”时，AP MAC地址为必填项，AP SN可不填。
  
  当选择“AP认证方式”为“SN认证”时，AP SN为必填项，AP MAC地址可不填。
  
  建议使用网络规划工具WLAN Planner将规划好的射频ID、AP信道、频宽、功率导出成.csv格式的表格，将表格中的这些信息填写到AP文件模板中，经度和纬度请根据实际情况配置。
  # 单击“导入AP文件”后的，选择填写后的模板文件，单击“导入”。
  
  # 导入完成后，页面显示导入结果信息，单击“确定”，完成添加。
  
  # 单击“下一步”，进入“AP分组”页面。
  
  # AP模板文件中已添加AP组信息，直接单击“下一步”，进入“配置确认”页面。
2. 配置确认。
  # 确认配置，单击“完成并继续无线业务配置”。
配置WLAN业务
1. # 单击“新建”，进入“基本信息”页面。
2. # 配置SSID名称、转发模式、业务VLAN ID等信息。
3. # 单击“下一步”，进入“安全认证”页面。
4. # 配置“安全配置”为802.1X认证，并配置外置Radius服务器的相关参数。
5. # 单击“下一步”，进入“接入控制”页面。
6. # 选择“绑定AP组”为“ap-group1”。
7. # 单击“完成”。
配置AP的信道和功率
1. 关闭AP射频的信道和功率自动调优功能，并手动配置AP的信道和功率。
  
  射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。
  
  # 选择“配置 > AP配置 > AP配置 > AP信息”，进入“AP列表”页面。
  
  # 单击需要配置信道和功率的AP ID，进入“AP个性化配置”页面。
  
  # 单击“射频管理”前的，显示当前射频管理下的模板。
  
  # 单击“射频0”，进入射频0配置页面。在射频0配置页面关闭信道自动调优和功率自动调优功能，并设置信道为带宽20MHz信道6，发送功率为127dBm。
  
  # “射频1”上关闭信道自动调优和功率自动调优功能，并设置信道带宽20MHz信道149，发送功率127dBm的步骤与“射频0”类似，此处不再赘述。
  
  # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。
配置认证成功后的授权参数ACL3002
# 单击“配置 > 安全管理 > ACL > 高级ACL配置 > ACLv4”，进入“高级ACL配置”页面。

# 单击“新建”，进入“新建高级ACL”页面，配置ACL。

# 单击“确定”，返回“高级ACL配置”页面。

# 单击ACL编号3002右侧的“添加规则”，进入“添加规则”页面，添加ACL规则。

# 单击“确定”，返回“高级ACL配置”页面，再添加一条ACL规则。

# 单击“确定”，完成ACL配置。
配置锐捷SAM服务器
1. 登录锐捷SAM服务器。
  # 在浏览器中输入锐捷SAM服务器的访问地址，地址格式为http://serverip:8080/sam/，其中serverip是锐捷SAM服务器的IP地址。
  
  # 在登录页面中，输入用户名和密码进行登录。缺省情况下，用户名为admin，密码为111。
2. 添加AC设备，使锐捷SAM可以和AC联动。
  # 依次选择“系统管理 > 设备管理”，单击“添加”，进入“添加设备”页面。
  
  # 配置“设备IP地址”为AC的IP地址“10.23.102.2”，“设备类型”为“无线交换机”，“具体型号”为“其他厂家设备”，“设备Key”为“huawei@123”，“读写Community”为“Huawei123”，其余参数使用缺省配置即可。
  
  “设备Key”和“读写Community”需要分别和AC上配置的RADIUS共享密钥和读写团体名一致。
  
  # 单击“保存”，在弹出的对话框中单击“确定”。
3. 添加接入控制。
  # 依次选择“接入控制管理 > 接入控制管理”，单击“添加”，进入“添加接入控制”页面。
  
  # 在“接入控制基本信息”页签中配置“接入控制名”为“dot1x”，“允许重复登录次数”为“0”，其余参数使用缺省配置即可。
  
  本例中配置“允许重复登录次数”为“0”表示不限制用户登录次数，实际配置请根据需要调整。
  
  # 在“用户信息校验”页签中选择“允许的接入方式”为“有线1X接入”、“无线1X接入”和“智能终端1X接入”，其中，“有线1X接入”用于test-aaa测试，其余参数使用缺省配置即可。
  
  # 单击“保存”，在弹出的对话框中单击“确定”。
4. 配置用户模板并添加套餐。
  # 依次选择“用户管理 > 用户模板管理”，单击“添加用户模板”，进入“添加用户模板”页面。
  
  # 配置“模板名称”为“dot1x”，其余参数使用缺省配置即可，单击“保存”。
  
  # 在创建的“dot1x”用户模板页面单击，然后单击“添加套餐”。
  
  # 在“添加套餐”页面配置“套餐”为“dot1x”，不启用“重复登录次数限制”，“计费策略”选择“不计费”，其余参数使用缺省配置即可。
  
  # 单击“保存”，返回“dot1x”用户模板页面。
  
  # 单击“dot1x”用户模板右侧的，然后单击“修改规则”。
  
  # 在“修改规则”页面修改“服务”为“dot1x”，“接入控制”为“dot1x”，其余参数使用缺省配置即可。
  
  # 单击“保存”，返回“dot1x”用户模板页面，检查配置是否正确。
5. 配置用户组。
  # 依次选择“用户管理 > 用户组管理”，进入“用户组管理”页面。
  
  # 在“添加用户组”区域配置“用户组名”为“dot1x”，“默认用户模板”为“dot1x”，“默认套餐”为“dot1x”，其余参数使用缺省配置即可。
  
  # 单击“保存”，在弹出的对话框中单击“确定”。
6. 开户。
  # 依次选择“用户管理 > 用户管理”，单击“开户”，进入“开户”页面。
  
  # 在“基本信息”区域配置“用户名”为“huawei”，密码为“huawei123”，“用户组”为“dot1x”，“用户模板”为“dot1x”，“套餐”为“dot1x”，“VPN服务器ACL”为“3002”，其余参数使用缺省配置即可。
  
  # 单击“保存”，在弹出的对话框中单击“确定”。
检查配置结果
- 员工认证通过后，能够访问业务服务器和实验室。
- 认证通过后，在AC上选择“监控 > 用户”，可以看到员工的在线信息。