配置通过用户组为用户授权示例(Web)
用户组为用户授权简介
用户授权是指在用户认证的各个阶段,根据用户角色来对网络访问权限进行控制。
用户组指具有相同角色、相同权限等属性的一组用户(终端)的集合。例如,园区网中可以根据企业部门结构划分研发组、财务组、市场组、访客组等部门用户组,对于不同部门可授予不同安全策略。
AC和H3C iMC对接时,802.1X认证支持PAP、CHAP和EAP三种认证方式,本举例以EAP认证方式为例,PAP和CHAP认证方式的配置与之类似,但是PAP和CHAP认证方式下,终端需要安装H3C的iNode客户端,并且安全策略必须为open或wep。
对于设备侧配置,如果您只需查阅通过用户组为用户授权相关的配置方法,请直接参见配置用户组。
如果您只需查阅H3C iMC服务器侧的配置方法,请直接参见配置H3C iMC。
数据规划
配置项 |
数据 |
|---|---|
管理VLAN |
VLAN100 |
业务VLAN |
VLAN101 |
AC的源接口 |
VLANIF100:10.23.100.1/24 |
DHCP服务器 |
AC作为DHCP服务器为AP分配IP地址,SwitchB作为DHCP服务器为STA分配IP地址 |
AP的IP地址池 |
10.23.100.2~10.23.100.254/24 |
STA的IP地址池 |
10.23.101.2~10.23.101.254/24 |
RADIUS认证参数 |
|
802.1X接入模板 |
|
认证模板 |
|
AP组 |
|
域管理模板 |
|
SSID模板 |
|
安全模板 |
|
VAP模板 |
|
用户组 |
|
配置思路
- 配置网络互通。
- 使用配置向导,配置AC系统参数。
- 使用配置向导,配置AP在AC上线。
- 使用配置向导在AC上配置WLAN相关业务。在配置安全策略时,选择802.1X和RADIUS认证,配置RADIUS服务器参数。
- 配置用户组。
- 配置H3C iMC服务器。
配置注意事项
建议在与AP直连的设备接口上配置端口隔离,如果不配置端口隔离,尤其是业务数据转发方式采用直接转发时,可能会在VLAN内形成大量不必要的广播报文,导致网络阻塞,影响用户体验。
AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。
操作步骤
- 配置周边设备
# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 100 101 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 [SwitchA-GigabitEthernet0/0/1] port-isolate enable [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] port link-type trunk [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 [SwitchA-GigabitEthernet0/0/2] quit
# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101,GE0/0/2加入VLAN100和VLAN102,GE0/0/3加入VLAN103,GE0/0/4加入VLAN104,创建VLANIF102、VLANIF103和VLANIF104接口,并配置下一跳为Router的缺省路由。<HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] vlan batch 100 to 104 [SwitchB] interface gigabitethernet 0/0/1 [SwitchB-GigabitEthernet0/0/1] port link-type trunk [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 [SwitchB-GigabitEthernet0/0/1] quit [SwitchB] interface gigabitethernet 0/0/2 [SwitchB-GigabitEthernet0/0/2] port link-type trunk [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102 [SwitchB-GigabitEthernet0/0/2] quit [SwitchB] interface gigabitethernet 0/0/3 [SwitchB-GigabitEthernet0/0/3] port link-type trunk [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103 [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103 [SwitchB-GigabitEthernet0/0/3] quit [SwitchB] interface gigabitethernet 0/0/4 [SwitchB-GigabitEthernet0/0/4] port link-type trunk [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104 [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104 [SwitchB-GigabitEthernet0/0/4] quit [SwitchB] interface vlanif 102 [SwitchB-Vlanif102] ip address 10.23.102.1 24 [SwitchB-Vlanif102] quit [SwitchB] interface vlanif 103 [SwitchB-Vlanif103] ip address 10.23.103.2 24 [SwitchB-Vlanif103] quit [SwitchB] interface vlanif 104 [SwitchB-Vlanif104] ip address 10.23.104.1 24 [SwitchB-Vlanif104] quit [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
# 配置Router的接口GE0/0/1的IP地址,并配置指向STA网段的静态路由。<Huawei> system-view [Huawei] sysname Router [Router] interface gigabitethernet 0/0/1 [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24 [Router-GigabitEthernet0/0/1] quit [Router] ip route-static 10.23.101.0 24 10.23.104.1
- 配置DHCP服务器为STA分配IP地址
# 在SwitchB上配置VLANIF101接口为STA提供IP地址。DNS服务器地址请根据实际需要配置。常用配置方法如下:
- 接口地址池场景,需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
- 全局地址池场景,需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
[SwitchB] dhcp enable [SwitchB] interface vlanif 101 [SwitchB-Vlanif101] ip address 10.23.101.1 24 [SwitchB-Vlanif101] dhcp select interface [SwitchB-Vlanif101] quit
- 配置AC系统参数
- 配置AC基本参数。
# 单击,进入“AC基本配置”页面。
# “所在国家/地区”按实际情况选择,以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。
# 单击页面下方的“下一步”,进入“端口配置”页面。
- 配置端口。
# 选择接口“GigabitEthernet0/0/1”,展开“批量修改”,选择“接口类型”为“Trunk”,将“GigabitEthernet0/0/1”加入VLAN100(管理VLAN)和VLAN102。
如果AC直接连接AP,需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。
# 单击“应用”,在弹出的提示对话框中单击“确定”,完成配置。
# 单击“下一步”,进入“网络互联配置”页面。
- 配置网络互联。
# 单击“接口配置”下的“新建”,进入“新建接口配置”页面。
# 配置接口VLANIF100的IP地址为10.23.100.1/24,“DHCP状态”为“ON”,“DHCP类型”为“接口地址池”。
DNS服务器地址请根据实际需要配置。# 单击“确定”,完成VLANIF100接口地址池的配置。
# 以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。
# 单击“静态路由表”下的“新建”,进入“新建静态路由表”页面。
# 配置“目的IP地址”为“10.23.103.0”,“子网掩码”为“24(255.255.255.0)”,“下一跳”为“10.23.102.1”。
# 单击“确定”,完成静态路由表的配置。
# 单击“下一步”。
# 单击“下一步”,进入“AC源地址”页面。
- 配置AC源地址。
# “AC源地址”选择“VLANIF”,单击选择按钮,选择“Vlanif100”。
# 单击“下一步”,进入“配置确认”页面。
- 配置AC基本参数。
- 配置AP上线
- 配置AP上线。
# 单击“批量导入”,进入“批量导入”页面。单击
,下载批量添加AP模板文件到本地。
# 在AP模板文件中填写AP信息,示例如下。如需添加多个AP,可以参照该示例在AP模板文件中填写多条AP信息。- AP MAC地址:60de-4476-e360
- AP SN:210235419610CB002287
- AP名称:area_1
- AP组:ap-group1
# 单击“导入AP文件”后的
,选择填写后的模板文件,单击“导入”。
# 导入完成后,页面显示导入结果信息,单击“确定”,完成添加。
# 单击“下一步”,进入“AP分组”页面。
# AP模板文件中已添加AP组信息,直接单击“下一步”,进入“配置确认”页面。
- 配置AP上线。
- 配置WLAN业务
- # 配置SSID名称、转发模式、业务VLAN ID等信息。
- # 配置“安全配置”为802.1X认证,并配置外置Radius服务器的相关参数。
- 配置计费服务器。
# 选择,进入“RADIUS设置”页面。
# 在“RADIUS服务器模板”中,选择“wlan-net”,进入“修改RADIUS服务器模板”页面。这里的RADIUS服务器模板“wlan-net”是在配置WLAN业务中配置外置Radius服务器时自动生成的。# 在“服务器配置”区域,勾选“计费”,“端口号”配置为“1813”。
# 单击“确定”。
- 配置授权服务器。
# 返回“RADIUS设置”页面,在“授权服务器”中,单击“新建”,进入“新建授权服务器”页面。
# 配置授权服务器,配置“授权服务器IP地址”为“10.23.103.1”,选择“模板名称”为“wlan-net”,配置“密钥”为“huawei@123”。
# 单击“确定”。
- 创建计费方案模板,并在认证模板下引用计费方案模板。
# 选择。
# 在AP组列表中单击AP组名称“ap-group1”,选择,进入“计费方案模板”界面。
# 单击“新建”,配置“模板名称”为“wlan-net”,单击“确定”,进入“计费方案模板”页面。
# 配置计费方案模板,选择“计费模式”为“RADIUS计费”,其他参数保持缺省值即可。
# 单击“应用”。
- # 配置SSID名称、转发模式、业务VLAN ID等信息。
- 配置AP的信道和功率
- 关闭AP射频的信道和功率自动调优功能,并手动配置AP的信道和功率。
射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。
# 选择,进入“AP列表”页面。
# 单击需要配置信道和功率的AP ID,进入“AP个性化配置”页面。
# 单击“射频管理”前的
,显示当前射频管理下的模板。
# 单击“射频0”,进入射频0配置页面。在射频0配置页面关闭信道自动调优和功率自动调优功能,并设置信道为带宽20MHz信道6,发送功率为127dBm。
# “射频1”上关闭信道自动调优和功率自动调优功能,并设置信道带宽20MHz信道149,发送功率127dBm的步骤与“射频0”类似,此处不再赘述。
# 单击“应用”,在弹出的提示对话框中单击“确定”,完成配置。
- 关闭AP射频的信道和功率自动调优功能,并手动配置AP的信道和功率。
- 配置用户组
- 配置ACL。
# 单击,进入“高级ACL配置”页面。
# 在“ACLv4”页签下单击“新建”,进入“新建高级ACL”页面,配置ACL。
# 单击“确定”,返回“高级ACL配置”页面。
# 单击ACL编号3001右侧的“添加规则”,进入“添加规则”页面,添加ACL规则。
# 单击“确定”,返回“高级ACL配置”页面,以同样的方法再添加一条ACL规则。
# 单击“确定”,完成ACL配置。
- 配置用户组。
# 单击,进入“用户组”页面。
# 单击“新建”,进入“新建用户组”页面,配置“用户组名称”和绑定ACL。
# 单击“确定”,完成用户组配置。
- 配置ACL。
- 配置H3C iMC
- 导入根证书和服务器证书。
缺省情况下,H3C iMC服务器没有可以用于802.1X认证的证书,需要手动导入在证书服务器申请的服务器证书和根证书。从证书服务器导出证书时必须同时导出私钥,否则证书无法加密。申请和导入证书的过程请参考服务器相关资料,此处不作介绍。
# 依次选择,进入“证书配置”页面。
# 选择“根证书配置”页签,单击“导入EAP根证书”,进入“根证书配置”页面。
# 单击“选择文件”,选择根证书。
# 单击“下一步”,单击“确定”。导入成功可以看到根证书信息。
# 选择“服务器证书配置”页签,单击“导入EAP服务器证书”,进入“服务器证书配置”页面。
# 勾选“服务器证书和私钥在同一个文件”,单击“选择文件”,选择服务器证书。
是否勾选“服务器证书和私钥在同一个文件”取决于生成证书时,服务器证书和私钥是否在同一个文件。
# 单击“下一步”,进入“服务器证书私钥密码”页面。
# 输入生成服务器证书时使用的私钥。
# 单击“确定”。导入成功可以看到服务器证书信息。
- 添加AC设备,使H3C iMC可以和AC联动。
# 依次选择,单击“增加”,进入“增加接入设备”页面。
# 在“接入配置”区域中配置“认证端口”为“1812”,配置“计费端口”为“1813”,选择“接入设备类型”为“STANDARD(Standard)”,配置“共享密钥”为“huawei@123”,其余参数使用缺省配置即可。
# 在“设备列表”区域中单击“手工增加”,配置设备IP地址为“10.23.102.2”,单击“确定”。
# 单击“确定”。
- 配置接入策略“dot1x”。
# 依次选择,单击“增加”,进入“增加接入策略”页面。
# 配置“接入策略名”为“dot1x”,选择“证书认证”为“EAP证书认证”,选择“认证证书类型”为“EAP-PEAP认证”,勾选“下发ACL”,配置“手工输入”为“group1”,其余参数使用缺省配置即可。
# 单击“确定”。
- 配置接入服务“dot1x”。
# 依次选择,单击“增加”,进入“增加接入服务”页面。
# 配置“服务名”为“dot1x”,选择“缺省接入策略”为“dot1x”,其余参数使用缺省配置即可。
“服务后缀”是可选配置,它与域名类似,如果配置了服务后缀,用户认证时需要使用“用户名@服务后缀”的格式进行认证。
# 单击“确定”。
- 配置接入用户。
# 依次选择,单击“增加”,进入“增加接入用户”页面。
# 单击“增加用户”,在弹出的“增加用户”页面中输入用户姓名和证件号码,单击“检查是否可用”,确认用户姓名和证件号码可用,单击“确定”。
# 在“接入信息”区域配置“账号名”为“huawei”,“密码”为“huawei123”,并在“接入服务”区域勾选“dot1x”,其余参数使用缺省配置即可。
“账号名”和“密码”用于进行接入认证。
同一个用户可以选择绑定多个接入服务。
# 单击“确定”。
- 导入根证书和服务器证书。
- 检查配置结果
- 完成配置后,用户可通过无线终端搜索到SSID为wlan-net的无线网络。
- 用户关联到无线网络上后,无线PC能够被分配相应的IP地址。
- 在STA上使用802.1X客户端进行认证,输入正确的用户名和密码后,STA认证成功,只能访问10.23.200.0/24网段的网络资源。需要根据配置的认证方式PEAP对客户端进行相应的配置。
Windows XP系统下的配置
- 首先在无线网络属性中,添加SSID为wlan-net,并选择认证方式为WPA2,加密使用的算法AES。
- 在“验证”选项卡中,选择EAP类型为PEAP,单击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),单击“配置”,去掉自动使用Windows登录名和密码选项,然后单击“确定”。
Windows 7系统下的配置
- 进入管理无线网络页面,单击“添加”,选择手动创建网络配置文件,添加SSID为wlan-net,并选择认证方式为WPA2-企业,加密使用的算法AES,单击“下一步”。
- 单击“更改连接设置”,进入“无线网络属性”界面,选择“安全”页签,单击“设置”,取消勾选“验证服务器证书”(此处不验证服务器证书),单击“配置”,取消勾选“自动使用Windows登录名和密码”,单击“确定”。
- 单击“确定”,返回“无线网络属性”界面,单击“高级设置”,在“高级设置”界面,勾选“指定身份验证模式”,并选择身份验证模式为“用户身份验证”,单击“确定”。
- 认证通过后,在AC上选择,可以看到员工的在线信息。
,下载批量添加AP模板文件到本地。
,选择填写后的模板文件,单击
,显示当前射频管理下的模板。
