基于802.1x用户下发ACL的方式,实现对不同无线用户在无线接入网络中的访问权限控制,确保guest client只能访问特定授权的网页,保护公司信息安全。
同过本设置,可以控制guest用户的访问权限。当一个外部来宾来到公司,可以通过无线网络访问公司的一些对外资源,但是涉及公司内部的网站是禁止访问的。
一、组网需求
本配置举例中的AC使用的是WX5004设备,IP地址为85.3.1.220/24。Client和AP通过DHCP服务器获取IP地址
配置采用本地认证方式进行802.1x认证 。
二、配置信息
本文章介绍以命令行方式配置,如果你要使用web方式配置,请自行下载文档查看详细步骤,文档包含详细AC配置命令
下载地址:http://pan.baidu.com/s/1kVOSn
三、主要配置步骤
# 创建ACL 3000,并添加许可来宾账户guest访问的网页IP地址。
<AC>system-view [AC]acl number 3000 [AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0 [AC-acl-adv-3000]quit
# 创建来宾账户guest,设置guest的密码为明文显示密码guest,并指定来宾账户可以使用Lan-access和802.1Xl服务,有效期截止到2010/01/31的00:00:00。
[AC]local-user guest [AC-luser-guest] password simple guest [AC-luser-guest] service-type lan-access [AC-luser-guest] service-type portal [AC-luser-guest] expiration-date 00:00:00-2010/01/31
# 设置来宾账户guest的授权ACL。
[AC-luser-guest] authorization-attribute acl 3000
四、验证结果
(1)使用命令行display connection查看是否有guest用户在线。
[AC]display connection Index=52 ,Username=staff@system MAC=0014-6c4e-a3ad ,IP=N/A Index=55 ,Username=guest@system MAC=001e-583f-08d0 ,IP=N/A Total 2 connection(s) matched.
(2)通过命令行display connection ucibindex查看guest用户的较详细信息。
[AC]display connection ucibindex 55 Index=55 , Username=guest@system MAC=001e-583f-08d0 IP=N/A Access=8021X ,AuthMethod=EAP Port Type=Wireless-802.11,Port Name=WLAN-DBSS0:1 Initial VLAN=1, Authorization VLAN=N/A ACL Group=3000 User Profile=N/A CAR=Disable Priority=Disable Start=2009-04-01 15:14:39 ,Current=2009-04-01 15:23:37 ,Online=00h08m57s Total 1 connection matched
