配置通过用户组为用户授权示例(Web)
用户组为用户授权简介
用户授权是指在用户认证的各个阶段,根据用户角色来对网络访问权限进行控制。
用户组指具有相同角色、相同权限等属性的一组用户(终端)的集合。例如,园区网中可以根据企业部门结构划分研发组、财务组、市场组、访客组等部门用户组,对于不同部门可授予不同安全策略。
AC和H3C iMC对接时,802.1X认证支持PAP、CHAP和EAP三种认证方式,本举例以EAP认证方式为例,PAP和CHAP认证方式的配置与之类似,但是PAP和CHAP认证方式下,终端需要安装H3C的iNode客户端,并且安全策略必须为open或wep。
对于设备侧配置,如果您只需查阅通过用户组为用户授权相关的配置方法,请直接参见配置用户组。
如果您只需查阅H3C iMC服务器侧的配置方法,请直接参见配置H3C iMC。
数据规划
配置项 |
数据 |
---|---|
管理VLAN |
VLAN100 |
业务VLAN |
VLAN101 |
AC的源接口 |
VLANIF100:10.23.100.1/24 |
DHCP服务器 |
AC作为DHCP服务器为AP分配IP地址,SwitchB作为DHCP服务器为STA分配IP地址 |
AP的IP地址池 |
10.23.100.2~10.23.100.254/24 |
STA的IP地址池 |
10.23.101.2~10.23.101.254/24 |
RADIUS认证参数 |
|
802.1X接入模板 |
|
认证模板 |
|
AP组 |
|
域管理模板 |
|
SSID模板 |
|
安全模板 |
|
VAP模板 |
|
用户组 |
|
配置思路
- 配置网络互通。
- 使用配置向导,配置AC系统参数。
- 使用配置向导,配置AP在AC上线。
- 使用配置向导在AC上配置WLAN相关业务。在配置安全策略时,选择802.1X和RADIUS认证,配置RADIUS服务器参数。
- 配置用户组。
- 配置H3C iMC服务器。
配置注意事项
建议在与AP直连的设备接口上配置端口隔离,如果不配置端口隔离,尤其是业务数据转发方式采用直接转发时,可能会在VLAN内形成大量不必要的广播报文,导致网络阻塞,影响用户体验。
AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。
操作步骤
- 配置周边设备
# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。
<HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 100 101 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port link-type trunk [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100 [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 [SwitchA-GigabitEthernet0/0/1] port-isolate enable [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] port link-type trunk [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 [SwitchA-GigabitEthernet0/0/2] quit
# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101,GE0/0/2加入VLAN100和VLAN102,GE0/0/3加入VLAN103,GE0/0/4加入VLAN104,创建VLANIF102、VLANIF103和VLANIF104接口,并配置下一跳为Router的缺省路由。<HUAWEI> system-view [HUAWEI] sysname SwitchB [SwitchB] vlan batch 100 to 104 [SwitchB] interface gigabitethernet 0/0/1 [SwitchB-GigabitEthernet0/0/1] port link-type trunk [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 [SwitchB-GigabitEthernet0/0/1] quit [SwitchB] interface gigabitethernet 0/0/2 [SwitchB-GigabitEthernet0/0/2] port link-type trunk [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102 [SwitchB-GigabitEthernet0/0/2] quit [SwitchB] interface gigabitethernet 0/0/3 [SwitchB-GigabitEthernet0/0/3] port link-type trunk [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103 [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103 [SwitchB-GigabitEthernet0/0/3] quit [SwitchB] interface gigabitethernet 0/0/4 [SwitchB-GigabitEthernet0/0/4] port link-type trunk [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104 [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104 [SwitchB-GigabitEthernet0/0/4] quit [SwitchB] interface vlanif 102 [SwitchB-Vlanif102] ip address 10.23.102.1 24 [SwitchB-Vlanif102] quit [SwitchB] interface vlanif 103 [SwitchB-Vlanif103] ip address 10.23.103.2 24 [SwitchB-Vlanif103] quit [SwitchB] interface vlanif 104 [SwitchB-Vlanif104] ip address 10.23.104.1 24 [SwitchB-Vlanif104] quit [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
# 配置Router的接口GE0/0/1的IP地址,并配置指向STA网段的静态路由。<Huawei> system-view [Huawei] sysname Router [Router] interface gigabitethernet 0/0/1 [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24 [Router-GigabitEthernet0/0/1] quit [Router] ip route-static 10.23.101.0 24 10.23.104.1
- 配置DHCP服务器为STA分配IP地址
# 在SwitchB上配置VLANIF101接口为STA提供IP地址。DNS服务器地址请根据实际需要配置。常用配置方法如下:
- 接口地址池场景,需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
- 全局地址池场景,需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
[SwitchB] dhcp enable [SwitchB] interface vlanif 101 [SwitchB-Vlanif101] ip address 10.23.101.1 24 [SwitchB-Vlanif101] dhcp select interface [SwitchB-Vlanif101] quit
- 配置AC系统参数
- 配置AP上线
- 配置WLAN业务
- 配置AP的信道和功率
- 配置用户组
- 配置H3C iMC
- 检查配置结果
- 完成配置后,用户可通过无线终端搜索到SSID为wlan-net的无线网络。
- 用户关联到无线网络上后,无线PC能够被分配相应的IP地址。
- 在STA上使用802.1X客户端进行认证,输入正确的用户名和密码后,STA认证成功,只能访问10.23.200.0/24网段的网络资源。需要根据配置的认证方式PEAP对客户端进行相应的配置。
Windows XP系统下的配置
- 首先在无线网络属性中,添加SSID为wlan-net,并选择认证方式为WPA2,加密使用的算法AES。
- 在“验证”选项卡中,选择EAP类型为PEAP,单击“属性”,去掉验证服务器证书选项(此处不验证服务器证书),单击“配置”,去掉自动使用Windows登录名和密码选项,然后单击“确定”。
Windows 7系统下的配置
- 进入管理无线网络页面,单击“添加”,选择手动创建网络配置文件,添加SSID为wlan-net,并选择认证方式为WPA2-企业,加密使用的算法AES,单击“下一步”。
- 单击“更改连接设置”,进入“无线网络属性”界面,选择“安全”页签,单击“设置”,取消勾选“验证服务器证书”(此处不验证服务器证书),单击“配置”,取消勾选“自动使用Windows登录名和密码”,单击“确定”。
- 单击“确定”,返回“无线网络属性”界面,单击“高级设置”,在“高级设置”界面,勾选“指定身份验证模式”,并选择身份验证模式为“用户身份验证”,单击“确定”。
- 认证通过后,在AC上选择 ,可以看到员工的在线信息。