配置通过ACL和动态VLAN为用户授权示例（命令行）

WLAN产品对接配置专题

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

用户授权简介

用户授权是指在用户认证的各个阶段，根据用户角色来对网络访问权限进行控制。802.1x用户在RADIUS服务器上通过认证后，RADIUS服务器会把授权信息下发给设备端。Aruba ClearPass作为RADIUS服务器时，支持下发的授权参数有多种，本举例中以ACL编号和动态VLAN来进行用户授权。

ACL编号授权

RADIUS服务器上配置了ACL编号下发功能，则授权信息中含有下发的ACL编号，设备端根据下发的ACL编号匹配相应的ACL规则，对用户权限进行控制。

ACL编号下发，使用的RADIUS属性为：(011)Filter-Id。

AC上支持接受的ACL编号取值范围为3000～3031。
动态VLAN授权

RADIUS服务器上配置了动态VLAN下发功能，则授权信息中含有下发的VLAN属性，设备端在接收到下发的VLAN属性后，会将用户所属的VLAN修改为下发VLAN。授权下发的VLAN并不改变接口的配置，也不影响接口的配置。但是，授权下发的VLAN的优先级高于用户配置的VLAN，即通过认证后起作用的VLAN是授权下发的VLAN，用户配置的VLAN在用户下线后生效。
动态VLAN下发，使用了以下RADIUS属性：
- (064)Tunnel-Type：必须指定为VLAN，或数值13
- (065)Tunnel-Medium-Type：必须指定为802，或数值6
- (081)Tunnel-Private-Group-ID：可以是VLAN ID或VLAN名称
要通过RADIUS服务器正确下发VLAN属性，以上三个属性必须同时使用，而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。

AC和Aruba ClearPass对接时，802.1x认证支持PAP、CHAP和EAP三种认证方式，本举例以EAP认证方式为例，其它两种认证方式的配置与之类似。

对于设备侧配置，如果您只需查阅通过ACL为用户授权相关的配置方法，请直接参见在AC上配置用户授权。

如果您只需查阅Aruba ClearPass服务器侧的配置方法，请直接参见配置Aruba ClearPass。

举例适用的产品和版本

表3-13 举例适用的产品和版本

产品	版本
华为AC	V200R007C10及之后版本
Aruba ClearPass Policy Manager	6.5.0.71095

业务需求

用户接入WLAN网络，使用802.1x客户端进行认证时，根据用户角色来对网络访问权限进行控制。

某公司内部大量员工无线终端接入网络。为确保网络的安全性，管理员需对终端的网络访问权限进行控制，要求终端认证成功后能够访问业务服务器（IP地址为10.23.105.1）和实验室内的设备（所属VLAN号为20，IP地址段为10.23.20.2–10.23.20.100）。

组网需求

AC组网方式：旁挂二层组网。
DHCP部署方式：
- AC作为DHCP服务器为AP分配IP地址。
- SwitchB作为DHCP服务器为STA分配IP地址。
业务数据转发方式：直接转发。
WLAN认证方式：WPA-WPA2+802.1x+AES。

图3-5 配置通过ACL和动态VLAN为用户授权组网图

数据规划

表3-14 AC数据规划

配置项	数据
管理VLAN	VLAN100
业务VLAN	VLAN101
AC源接口	VLANIF100：10.23.100.1/24
DHCP服务器	AC作为DHCP服务器为AP分配IP地址。 SwitchB作为DHCP服务器为STA分配IP地址。
AP的IP地址池	10.23.100.2～10.23.100.254/24
STA的IP地址池	10.23.101.2～10.23.101.254/24 10.23.20.101～10.23.20.254/24
RADIUS认证参数	RADIUS服务器模板名称：wlan-net IP地址：10.23.103.1 认证端口号：1812 共享密钥：huawei@123 认证方案：wlan-net
认证成功后可访问的资源	实验室的访问权限通过动态VLAN授权，VLAN号为：20 业务服务器的访问权限通过ACL号授权，ACL号为：3002
802.1x接入模板	名称：wlan-net 认证方式：EAP
认证模板	名称：wlan-net 引用模板和认证方案：802.1x接入模板wlan-net、RADIUS服务器模板wlan-net、认证方案wlan-net
AP组	名称：ap-group1 引用模板：VAP模板wlan-net、域管理模板default
域管理模板	名称：default 国家码：CN
SSID模板	名称：wlan-net SSID名称：wlan-net
安全模板	名称：wlan-net 安全策略：WPA-WPA2+802.1x+AES
VAP模板	名称：wlan-net 转发模式：直接转发业务VLAN：VLAN101 引用模板：SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net

表3-15 Aruba ClearPass数据规划

配置项	数据
用户账号	账号：huawei 密码：huawei123
设备名称	AC6605
设备IP地址	10.23.102.2/32
RADIUS共享密钥	huawei@123
服务	名称：Radius 类型：802.1x Wireless – Identity Only 认证方法： MS-CHAPv2 PEAP 认证源：Local User Respository[Local SQL DB]
服务	名称：TEST-AAA 类型：802.1x Wireless – Identity Only 认证方法：PAP（仅用于test-aaa测试）认证源：Local User Respository[Local SQL DB]
授权ACL	3002
动态VLAN	VLAN20

配置思路

配置网络互通。
配置WLAN基本业务。
配置AC与RADIUS服务器的对接参数、认证成功后的网络访问权限等。
配置Aruba ClearPass服务器。
- 添加用户。
- 添加AC。
- 配置配置文件。
- 配置策略。
- 配置服务。

配置注意事项

建议在与AP直连的设备接口上配置端口隔离，如果不配置端口隔离，尤其是业务数据转发方式采用直接转发时，可能会在VLAN内形成大量不必要的广播报文，导致网络阻塞，影响用户体验。
AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。
终端如果通过DHCP方式获取IP地址，VLAN授权成功后或更改授权VLAN后，需要手动触发DHCP重新申请IP地址。

操作步骤

配置网络互通

# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/3加入VLAN20、VLAN100和VLAN101，GE0/0/2接入VLAN20。

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 20 100 101
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 20 100 101
[SwitchA-GigabitEthernet0/0/1] port-isolate enable
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 20
[SwitchA-GigabitEthernet0/0/2] quit
[SwitchA] interface gigabitethernet 0/0/3
[SwitchA-GigabitEthernet0/0/3] port link-type trunk
[SwitchA-GigabitEthernet0/0/3] port trunk allow-pass vlan 20 100 101
[SwitchA-GigabitEthernet0/0/3] quit

# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN20、VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，GE0/0/5加入VLAN105。

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan batch 20 100 to 105
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 20 100 101
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
[SwitchB-GigabitEthernet0/0/2] quit
[SwitchB] interface gigabitethernet 0/0/3
[SwitchB-GigabitEthernet0/0/3] port link-type trunk
[SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
[SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
[SwitchB-GigabitEthernet0/0/3] quit
[SwitchB] interface gigabitethernet 0/0/4
[SwitchB-GigabitEthernet0/0/4] port link-type trunk
[SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
[SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
[SwitchB-GigabitEthernet0/0/4] quit
[SwitchB] interface gigabitethernet 0/0/5
[SwitchB-GigabitEthernet0/0/5] port link-type trunk
[SwitchB-GigabitEthernet0/0/5] port trunk pvid vlan 105
[SwitchB-GigabitEthernet0/0/5] port trunk allow-pass vlan 105
[SwitchB-GigabitEthernet0/0/5] quit

# 在汇聚交换机SwitchB上创建VLANIF102、VLANIF103、VLANIF104和VLANIF105接口，并配置下一跳为Router的缺省路由。

[SwitchB] interface vlanif 102
[SwitchB-Vlanif102] ip address 10.23.102.1 24
[SwitchB-Vlanif102] quit
[SwitchB] interface vlanif 103
[SwitchB-Vlanif103] ip address 10.23.103.2 24
[SwitchB-Vlanif103] quit
[SwitchB] interface vlanif 104
[SwitchB-Vlanif104] ip address 10.23.104.1 24
[SwitchB-Vlanif104] quit
[SwitchB] interface vlanif 105
[SwitchB-Vlanif105] ip address 10.23.105.2 24
[SwitchB-Vlanif105] quit
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2

# 在AC上创建用于授权的VLAN20，配置AC的接口GE0/0/1加入VLAN100和VLAN102，创建VLANIF102接口，并配置指向RADIUS服务器的静态路由。

<AC6605> system-view
[AC6605] sysname AC
[AC] vlan batch 20 100 101 102
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 102
[AC-GigabitEthernet0/0/1] quit
[AC] interface vlanif 102
[AC-Vlanif102] ip address 10.23.102.2 24
[AC-Vlanif102] quit
[AC] ip route-static 10.23.103.0 24 10.23.102.1

# 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

<Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
[Router-GigabitEthernet0/0/1] quit
[Router] ip route-static 10.23.101.0 24 10.23.104.1

配置AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址

# 在AC上配置VLANIF100接口为AP提供IP地址。

[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit

# 在汇聚交换机SwitchB上配置VLANIF101接口为STA提供IP地址。

[SwitchB] dhcp enable
[SwitchB] interface vlanif 101
[SwitchB-Vlanif101] ip address 10.23.101.1 24
[SwitchB-Vlanif101] dhcp select interface
[SwitchB-Vlanif101] quit

# 在汇聚交换机SwitchB上配置VLANIF20接口为授权用户提供IP地址。其中，IP地址段10.23.20.2–10.23.20.100不参与分配。

[SwitchB] interface vlanif 20
[SwitchB-Vlanif20] ip address 10.23.20.1 24
[SwitchB-Vlanif20] dhcp select interface
[SwitchB-Vlanif20] dhcp server excluded-ip-address 10.23.20.2 10.23.20.100
[SwitchB-Vlanif20] quit

配置AP上线

# 创建AP组，用于将相同配置的AP都加入同一AP组中。

[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit

# 创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y 
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

# 配置AC的源接口。

[AC] capwap source interface vlanif 100

# 在AC上离线导入AP，并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360，并且根据AP的部署位置为AP配置名称，便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域，命名此AP为area_1。

ap auth-mode命令缺省情况下为MAC认证，如果之前没有修改其缺省配置，可以不用执行ap auth-mode mac-auth。

举例中使用的AP为AP5030DN，具有射频0和射频1两个射频。AP5030DN的射频0为2.4GHz射频，射频1为5GHz射频。

[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y 
[AC-wlan-ap-0] quit

# 将AP上电后，当执行命令display ap all查看到AP的“State”字段为“nor”时，表示AP正常上线。

[AC-wlan-view] display ap all
Total AP information:
nor  : normal          [1]
-------------------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP            Type            State STA Uptime   ExtraInfo
-------------------------------------------------------------------------------------------------
0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S      -
-------------------------------------------------------------------------------------------------
Total: 1

配置AP射频的信道和功率

射频的信道和功率自动调优功能默认开启，如果不关闭此功能则会导致手动配置不生效。举例中AP射频的信道和功率仅为示例，实际配置中请根据AP的国家码和网规结果进行配置。

# 关闭AP射频0的信道和功率自动调优功能，并配置AP射频0的信道和功率。

[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] radio 0
[AC-wlan-radio-0/0] calibrate auto-channel-select disable
[AC-wlan-radio-0/0] calibrate auto-txpower-select disable
[AC-wlan-radio-0/0] channel 20mhz 6
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/0] eirp 127
[AC-wlan-radio-0/0] quit

# 关闭AP射频1的信道和功率自动调优功能，并配置AP射频1的信道和功率。

[AC-wlan-ap-0] radio 1
[AC-wlan-radio-0/1] calibrate auto-channel-select disable
[AC-wlan-radio-0/1] calibrate auto-txpower-select disable
[AC-wlan-radio-0/1] channel 20mhz 149
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/1] eirp 127
[AC-wlan-radio-0/1] quit
[AC-wlan-ap-0] quit

在AC上配置802.1X认证

配置RADIUS认证参数。

# 创建RADIUS服务器模板。

[AC-wlan-view] quit
[AC] radius-server template wlan-net
[AC-radius-wlan-net] radius-server authentication 10.23.103.1 1812
[AC-radius-wlan-net] radius-server shared-key cipher huawei@123
[AC-radius-wlan-net] quit

# 创建RADIUS方式的认证方案。

[AC] aaa
[AC-aaa] authentication-scheme wlan-net
[AC-aaa-authen-wlan-net] authentication-mode radius
[AC-aaa-authen-wlan-net] quit
[AC-aaa] quit

# 配置RADIUS属性NAS-Identifier的属性值。

ClearPass服务器设置的NAS-Identifier属性的值必须与AC上配置的一致。如果设备上不配置该属性，ClearPass服务器上NAS-Identifier属性的值应设置为AC的名称。

[AC] radius-server template wlan-net
[AC-radius-wlan-net] radius-attribute set NAS-Identifier huaweiac
[AC-radius-wlan-net] quit

配置802.1X接入模板，管理802.1X接入控制参数。

# 创建名为“wlan-net”的802.1X接入模板。

[AC] dot1x-access-profile name wlan-net

# 配置认证方式为EAP中继模式。

[AC-dot1x-access-profile-wlan-net] dot1x authentication-method eap
[AC-dot1x-access-profile-wlan-net] quit

创建名为“wlan-net”的认证模板，并引用802.1X接入模板、认证方案和RADIUS服务器模板。

[AC] authentication-profile name wlan-net
[AC-authentication-profile-wlan-net] dot1x-access-profile wlan-net
[AC-authentication-profile-wlan-net] authentication-scheme wlan-net
[AC-authentication-profile-wlan-net] radius-server wlan-net
[AC-authentication-profile-wlan-net] quit

配置WLAN业务参数。

# 创建名为“wlan-net”的安全模板，并配置安全策略。

[AC] wlan
[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] security wpa-wpa2 dot1x aes
[AC-wlan-sec-prof-wlan-net] quit

# 创建名为“wlan-net”的SSID模板，并配置SSID名称为“wlan-net”。

[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net
[AC-wlan-ssid-prof-wlan-net] quit

# 创建名为“wlan-net”的VAP模板，配置业务数据转发模式为直接转发、业务VLAN，并且引用安全模板、认证模板和SSID模板。

[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] authentication-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
[AC-wlan-vap-prof-wlan-net] quit

# 配置AP组引用VAP模板，AP上射频0和射频1都使用VAP模板“wlan-net”的配置。

[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

配置认证成功后的授权参数ACL3002

[AC] acl 3002
[AC-acl-adv-3002] rule 1 permit ip destination 10.23.105.1 0
[AC-acl-adv-3002] rule 2 deny ip destination any
[AC-acl-adv-3002] quit

配置Aruba ClearPass服务器
1. 登录Aruba ClearPass服务器。
  # 在浏览器中输入Aruba ClearPass的访问地址，地址格式为https://Aruba ClearPass IP，其中Aruba ClearPass IP是Aruba ClearPass服务器的IP地址。
  
  # 选择“ClearPass Policy Manager”。
  
  # 在登录页面中，输入用户名和密码进行登录。
2. 创建本地账号。
  # 依次选择“配置 > 身份 > 本地用户”，在右侧操作区域单击“添加用户”，创建帐号“huawei”，密码为“huawei123”，勾选“启用用户”，选择“角色”，单击“添加”。
3. 添加AC设备，使Aruba ClearPass可以和AC联动。
  # 依次选择“配置 > 网络 > 设备”，在右侧操作区域单击“添加设备”，配置设备名称、IP地址、RADIUS共享密钥和供应商名称，单击“Add”。
4. 配置服务“Radius”。
  # 依次选择“配置 > 服务”，在右侧操作区域单击“添加服务”。
  
  # 在“服务”页签，选择类型为“802.1X Wireless – Identity Only”，配置名称为“Radius”，勾选“授权”；在“服务规则”页签下点击“Click to add”，选择“类型”为“Radius:IETF”，“名称”为“NAS-Identifier”，“运算符”为“EQUALS”，设置“值”为“huaweiac”。
  
  ClearPass服务器设置的NAS-Identifier属性的值必须与AC上配置的一致。如果设备上不配置该属性，ClearPass服务器上NAS-Identifier属性的值应设置为AC的名称。
  
  # 在“认证”页签，添加认证方法“[EAP PEAP]”和“[EAP MSCHAPv2]”，添加认证源“[Local User Repository][Local SQL DB]”。
  
  # 在“授权”页签，添加认证源“[Local User Repository][Local SQL DB]”。
  
  # 其它页签使用缺省配置即可，单击“保存”。
5. 配置服务“TEST-AAA”。
  
  为了后续在AC上进行test-aaa测试，需要在服务器上添加另一个服务。
  
  由于Abura ClearPass Policy Manager 6.5.0版本暂不支持本地保存CHAP密码，AC上使用test-aaa命令测试用户是否能够通过RADIUS认证时只能使用PAP协议。
  
  ClearPass服务器设置的NAS-Identifier属性的值必须与AC上配置的一致。如果设备上不配置该属性，ClearPass服务器上NAS-Identifier属性的值应设置为AC的名称。
  
  # 依次选择“配置 > 服务”，在右侧操作区域单击“添加服务”。
  
  # 在“服务”页签，选择类型为“802.1X Wireless – Identity Only”，配置名称为“TEST-AAA”，将“服务规则”中的“NAS-Port-Type”值改为“Ethernet(15)”；在“服务规则”页签下点击“Click to add”，选择“类型”为“Radius:IETF”，“名称”为“NAS-Identifier”，“运算符”为“EQUALS”，设置“值”为“huaweiac”。
  
  # 在“认证”页签，添加认证方法“PAP”，添加认证源“[Local User Respository][Local SQL DB]”，单击“保存”。
  
  # 其它页签使用缺省配置即可。
6. 配置授权ACL和动态VLAN。
  # 依次选择“配置 > 强制执行 > 配置文件”，在右侧操作区域单击“添加强制执行配置文件”。
  
  # 在“配置文件”页签，选择“模板”为“基于RADIUS的强制执行”，输入“名称”为“ACLVLAN”。
  
  # 在“属性”页签，配置属性和属性值，单击“保存”。
  
  # 其他页签的配置保持缺省值。
  
  # 依次选择“配置 > 强制执行 > 策略”，在右侧操作区域单击“添加强制执行策略”。
  
  # 在“强制执行”页签，输入“名称”为“ACLVLAN”，选择“强制执行类型”为“RADIUS”，选择“默认配置文件”为“Allow Access Profile”。
  
  # 在“规则”页签，单击“Add Rule”，在“规则编辑器”中，选择“类型”为“Authentication”，选择“名称”为“Username”，选择“运算符”为“EQUALS”，配置“值”为“huawei”，选择“配置文件名”为“[RADIUS]ACLVLAN”，即为用户名为“huawei”的用户下发授权ACL和动态VLAN，单击“保存”。
  
  # 在“规则”页签，再次单击“Add Rule”，在“规则编辑器”中，选择“类型”为“Authentication”，选择“名称”为“Username”，选择“运算符”为“NOT_EQUALS”，配置“值”为“huawei”，选择“配置文件名”为“[RADIUS][Allow Access Profile]”，即为不下发授权的用户允许认证通过，单击“保存”。
  
  # 单击“保存”，完成授权ACL和动态VLAN的配置。
7. 绑定授权。
  # 选择“配置 > 服务”，在右侧操作区域单击服务名“Radius”，进入“编辑”页面，选择“强制执行”页签，选择“强制执行策略”为“ACLVLAN”，单击“保存”。

在AC上测试用户是否能够通过RADIUS认证

[AC] test-aaa huawei huawei123 radius-template wlan-net pap
Info: Account test succeed.

检查配置结果

员工认证通过后，能够访问业务服务器和实验室。

认证通过后，在AC上执行命令display access-user，可以看到员工的在线信息。

[AC] display access-user access-type dot1x 
------------------------------------------------------------------------------
UserID Username                IP address       MAC            Status          
------------------------------------------------------------------------------
460    huawei                  10.23.20.254     8000-6e74-e78a Success 
------------------------------------------------------------------------------
Total: 1, printed: 1

配置文件

SwitchA的配置文件

#
sysname SwitchA
#
vlan batch 20 100 to 101
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 20 100 to 101
 port-isolate enable group 1
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 20 100 to 101
#
return

SwitchB的配置文件

#
sysname SwitchB
#
vlan batch 20 100 to 105
#
dhcp enable
#
interface Vlanif20
 ip address 10.23.20.1 255.255.255.0
 dhcp select interface
 dhcp server excluded-ip-address 10.23.20.2 10.23.20.100
#
interface Vlanif101
 ip address 10.23.101.1 255.255.255.0
 dhcp select interface
#
interface Vlanif102
 ip address 10.23.102.1 255.255.255.0
#
interface Vlanif103
 ip address 10.23.103.2 255.255.255.0
#
interface Vlanif104
 ip address 10.23.104.1 255.255.255.0
#
interface Vlanif105
 ip address 10.23.105.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 20 100 to 101
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 102
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk pvid vlan 103
 port trunk allow-pass vlan 103
#
interface GigabitEthernet0/0/4
 port link-type trunk
 port trunk pvid vlan 104
 port trunk allow-pass vlan 104
#
interface GigabitEthernet0/0/5
 port link-type trunk
 port trunk pvid vlan 105
 port trunk allow-pass vlan 105
#
ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
#
return

Router的配置文件

#
sysname Router
#
interface GigabitEthernet0/0/1
 ip address 10.23.104.2 255.255.255.0
#
ip route-static 10.23.101.0 255.255.255.0 10.23.104.1
#
return

AC的配置文件

#
 sysname AC
#
vlan batch 20 100 to 102
#
authentication-profile name wlan-net
 dot1x-access-profile wlan-net
 authentication-scheme wlan-net
 radius-server wlan-net
#
dhcp enable
#
radius-server template wlan-net
 radius-server shared-key cipher %^%#r2}aCaYC_5+]c@/eolcB+CNMD=m\g2HmQ1/!crRU%^%#
 radius-server authentication 10.23.103.1 1812 weight 80
 radius-attribute set NAS-Identifier huaweiac
#
acl number 3002
 rule 1 permit ip destination 10.23.105.1 0 
 rule 2 deny ip
#
aaa
 authentication-scheme wlan-net
  authentication-mode radius
#
interface Vlanif100
 ip address 10.23.100.1 255.255.255.0
 dhcp select interface
#
interface Vlanif102
 ip address 10.23.102.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 102
#
ip route-static 10.23.103.0 255.255.255.0 10.23.102.1
#
capwap source interface vlanif100
#
wlan
 security-profile name wlan-net
  security wpa-wpa2 dot1x aes
 ssid-profile name wlan-net
  ssid wlan-net
 vap-profile name wlan-net
  service-vlan vlan-id 101
  ssid-profile wlan-net
  security-profile wlan-net
  authentication-profile wlan-net
 regulatory-domain-profile name default
 ap-group name ap-group1
  radio 0
   vap-profile wlan-net wlan 1
  radio 1
   vap-profile wlan-net wlan 1
 ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
  ap-name area_1
  ap-group ap-group1
  radio 0
   channel 20mhz 6
   eirp 127
  radio 1
   channel 20mhz 149
   eirp 127
#
dot1x-access-profile name wlan-net
#
return

翻译

English

下载文档

更新时间：2020-12-17

文档编号：EDOC1000113778

浏览量：175646

下载量：10083

平均得分:

本文档适用于这些产品