H3C WX系列无线控制器与Windows IAS配合实现用户ACL属性的下发典型配置案例_动视

H3C WX系列无线控制器与Windows IAS配合实现用户ACL属性的下发典型配置案例

2025-09-22 17:45:32 责编:小OO

点击下载本文 文档为doc格式

H3C WX系列无线控制器与Windows IAS配合实现用户ACL

属性的下发典型配置案例

关键词：DOT1X，ACL

摘要：本文介绍了H3C公司WX系列无线控制产品与Windows IAS配合实现用户ACL属性下发时必需的配置。

缩略语：

缩略语英文全名中文解释

IAS Internet Authentication Server 因特网认证服务器

ACL Access control list 访问控制列表

1 特性简介 (1)

1.1 特性介绍 (1)

1.2 特性优点 (1)

2 应用场合 (1)

3 注意事项 (1)

4 配置举例 (1)

4.1 组网需求 (1)

4.2 配置思路 (2)

4.3 使用版本 (2)

4.4 配置步骤 (2)

4.5 注意事项 (9)

5 相关资料 (10)

5.1 相关协议和标准 (10)

5.2 其它相关资料 (10)

1 特性简介

1.1 特性介绍

下发ACL 是接入设备与Radius 服务器配合来对用户访问网络的权限进行控制。用户认证通过后根据Radius 服务器报文中的ACL 内容，对用户可以访问哪些网络资源，不可以访问哪些网络资源进行控制。

1.2 特性优点

网络管理员可以通过下发ACL 对用户访问网络的权限进行控制，具有很强的灵活性和适应性。 2 应用场合

下发ACL 可以作为EAD 安全解决方案一个补充，从而实现对企业无线网络入口安全保护。 3 注意事项

(1) Windows IAS 配置正确 (2) 接入设备相关的DOT1X 、AAA 配置正确

4 配置举例

4.1 组网需求

本配置举例中的AP 使用的是WA2200系列无线局域网接入点设备，AC 使用的是WX6103系列无线控制器。Radius server 的IP 地址为8.1.45.67/24。Client 和AP 通过DHCP 服务器获取IP 地址。

Client 通过认证后允许访问网络8.1.0.0/16即VLAN210，其他网络资源不允许访问。 H

4.2 配置思路

l配置接入设备

l配置Windows IAS Radius服务器

4.3 使用版本

display version

H3C Comware Platform Software

Comware Software, Version 5.20, Beta 2108

H3C WX6103 uptime is 1 week, 5 days, 2 hours, 46 minutes

H3C WX6103 with 1 BCM MIPS 1125H 600MHz Processor

1024M bytes DDR

261M bytes CFCard Memory

Config Register points to CFCARD

Hardware Version is Ver.C

CPLD Version is 007

Backboard CPLD Version is 003

Basic Bootrom Version is 1.11

Extend Bootrom Version is 1.12

[Slot 0]EWPX1G24XA0 Hardware Version is NA

[Slot 1]EWPX1WCMB0 Hardware Version is Ver.C

4.4 配置步骤

1. 配置信息：

display current-configuration

version 5.20, Beta 2108

sysname AC

dhcp relay server-group 1 ip 8.1.45.100 #

domain default enable radius H

port-security enable

acl number 3000

rule 0 permit ip destination 8.1.0.0 0.0.255.255

rule 1 deny ip

vlan 1

vlan 210

# radius scheme radius

primary authentication 8.1.45.67 primary accounting 8.1.45.67 key authentication luqiang

key accounting luqiang

nas-ip 8.1.61.3

accounting-on enable

domain radius

authentication lan-access radius-scheme radius authorization lan-access radius-scheme radius accounting lan-access radius-scheme radius access-limit disable

state active

idle-cut disable

self-service-url disable

# wlan service-template 10 clear ssid radius

bind WLAN-ESS 10

service-template enable

interface Vlan-interface1 ip address 7.0.0.61 255.255.255.0

dhcp select relay

dhcp relay server-select 1

interface Vlan-interface210 ip address 8.1.61.3 255.255.0.0 #

interface M-GigabitEthernet1/0/0 #

interface Ten-GigabitEthernet1/0/1 port link-type trunk

port trunk permit vlan 1 210

# H 3C

interface WLAN-ESS10

port access vlan 210

port-security port-mode userlogin-secure-ext

# wlan ap wa2220x model WA2220X-AGP serial-id 210235A29E007C000009

radio 2

channel 3

max-power 6

service-template 10

radio enable

2. 主要配置步骤

在DOT1X 接入端配置802.1x 和认证。

# 启用端口安全port-security ，配置Dot1x 认证方式为CHAP 。

[AC] port-security enable

[AC] dot1x authentication-method chap

# 配置认证策略。

[AC] radius scheme radius [AC-radius-radius] primary authentication 8.1.45.67

[AC-radius-radius] primary accounting 8.1.45.67

[AC-radius-radius] key authentication radius

[AC-radius-radius] key accounting radius

[AC-radius-radius] nas-ip 8.1.61.3

[AC-radius-radius] accounting-on enable

[AC-radius-radius] quit

# 配置认证域。 [AC] domain radius

[AC-isp-radius] authentication lan-access radius-scheme radius

[AC-isp-radius] authorization lan-access radius-scheme radius

[AC-isp-radius] accounting lan-access radius-scheme radius

[AC-isp-radius] quit

# 把配置的认证域cams 设置为系统缺省域。

[AC] domain default enable radius

# 配置ACL 。

[AC] acl number 3000

[AC-acl-adv-3000] rule 0 permit ip destination 8.1.0.0 0.0.255.255

[AC-acl-adv-3000] rule 1 deny ip

# 配置无线口，并在无线口启用端口安全（802.1x 认证）。

[AC] vlan 10

[AC-vlan10] quit

[AC] interface WLAN-ESS10

[AC-WLAN-ESS10] port access vlan 210

[AC-WLAN-ESS10] port-security port-mode userlogin-secure-ext H 3C

[AC-WLAN-ESS10] quit

# 配置无线服务模板。

[AC] wlan service-template 10 clear

[AC-wlan-st-10] ssid radius

[AC-wlan-st-10] bind WLAN-ESS 10

[AC-wlan-st-10] service-template enable

[AC-wlan-st-10] quit

# 配置AP 模板并绑定无线服务模板。

[AC] wlan ap wa2220x model WA2220X-AGP

[AC-wlan-ap-wa2220x] serial-id 210235A29E007C000009

[AC-wlan-ap-wa2220x] radio 2

[AC-wlan-ap-wa2220x-radio-2] channel 3

[AC-wlan-ap-wa2220x-radio-2] max-power 6

[AC-wlan-ap-wa2220x-radio-2] service-template 10

[AC-wlan-ap-wa2220x-radio-2] radio enable

# 配置VLAN 虚接口

[AC] vlan 210

[AC] quit

[AC] interface vlan 210

[AC-Vlan-interface210] ip address 8.1.61.3 24

[AC] interface Vlan-interface 1

[AC-Vlan-interface210] ip address 7.0.0.61 24

[AC-Vlan-interface1] dhcp select relay

[AC-Vlan-interface1] dhcp relay server-select 1

3. Windows IAS 配置

在Windows IAS 上配置ACL 下发，需要在用户使用的“远程访问策略”中添加Filter-ID 属性。配置方法如下：

(1) 进入Internet 验证服务的远程访问策略，双击选取用户所使用的访问策略，点击<编辑配置文

件>按钮，弹出“编辑拨入配置文件”窗口。 H 3C

(2) 在“编辑拨入配置文件”窗口中选取“高级”页签，点击<添加>按钮，弹出“添加属性”窗口。 (3) 在“添加属性”中选取Filter-ID 选项，双击Filter-ID ，弹出“多值属性信息”对话框。 H

(4) 在“多值属性信息”对话框中点击<添加>按钮，弹出“属性信息”窗口。

(5) 在“属性信息”窗口中配置Fileter-ID 属性值，我司字符串和十六进制格式均支持。FilterID

属性数字表示ACL NUMBER 。

l 设置输入属性值所用的格式为以字符串形式下发，下发的格式类型需要接入设备端支持。 H

l 设置输入属性值所用的格式为以十六进制数的形式下发，下发的格式类型需要接入设备端支

持。

完后点击<确定>按钮，完成属性添加。 (6) 完成属性添加后如下，点击<应用>按钮，然后确定完成。 H 3C

4. 验证结果

使用display sessions 查看DOT1X 用户，是否用户在线，是否下发了ACL 。 display connection ucibindex 1174

Index=1174, Username=test@radius

MAC=0810-742d-a88d

IP=N/A

Access=8021X ,AuthMethod=CHAP

Port Type=Wireless-802.11,Port Name=WLAN-DBSS10:78

Initial VLAN=10, Authorization VLAN=N/A

ACL Group=3000

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2008-09-14 17:05:38 ,Current=2008-09-14 17:05:51 ,Online=00h00m13s Total 1 connection matched.

4.5 注意事项

无 H 3C

5.1 相关协议和标准

802.1x和Radius

5.2 其它相关资料

《H3C WX系列无线控制产品用户手册》的“安全分册”。

3 H下载本文

显示全文

全部频道