基于portal用户下发ACL的方式,实现对不同无线用户在无线接入网络中的访问权限控制,确保guest client只能访问特定授权的网页,保护公司信息安全。
特性优点
同过本设置,可以控制guest用户的访问权限。当一个外部来宾来到公司,可以通过无线网络访问公司的一些对外资源,但是涉及公司内部的网站事禁止访问的。
一、组网图
二、使用版本以及详细配置
请下载文档查看:http://pan.baidu.com/s/1kVYZT
三、主要配置步骤
# 创建ACL 3000,并添加许可来宾账户guest访问的网页IP地址。
[AC]acl number 3000 [AC-acl-adv-3000] rule 10 permit ip destination 85.3.1.254 0
# 创建来宾账户guest,设置guest的密码为明文显示密码guest,并指定来宾账户可以使用Lan-access和Portal服务,有效期截止到2010/01/31的00:00:00。
[AC]local-user guest [AC-luser-guest] password simple guest [AC-luser-guest] service-type lan-access [AC-luser-guest] service-type portal [AC-luser-guest] expiration-date 00:00:00-2010/01/31
#设置来宾账户guest的授权ACL。
[AC-luser-guest] authorization-attribute acl 3000
WEB 配置方式请查看步骤下载的文档。
四、验证结果
(1) 使用命令行display connection查看是否有用户在线。
<H3C>display connection
Index=0 ,Username=admin@system
IP=85.3.1.113
Index=9 ,Username=guest@system
MAC=0014-6c4e-a3ad ,IP=85.3.1.8
Total 2 connection(s) matched.
(2)通过命令行display connection ucibindex查看用户的较详细信息。
<H3C>display connection ucibindex 9
Index=9 , Username=guest@system
MAC=0014-6c4e-a3ad
IP=85.3.1.8
Access=PORTAL ,AuthMethod=PAP
Port Type=Wireless-802.11,Port Name=N/A
Initial VLAN=1, Authorization VLAN=N/A
ACL Group=3000
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-04-01 17:38:22 ,Current=2009-04-02 09:20:33 ,Online=15h42m10s
Total 1 connection matched.
