特性介绍
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果RADIUS服务器上配置了授权ACL,则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制;在服务器上配置授权ACL之前,需要在设备上配置相应的ACL规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。
特性优点
WX系列无线控制器结合iMC给Client下发授权ACL具有以下特点:
》在AC上配置具体的ACL规则。
》由iMC下发ACL到用户。
应用场合
授权ACL下发一般可应用在如下场合:接入同一AC的同一SSID的多个用户,分别使用不同的资源,或限制用户使用部分网络资源。
一、组网需求
本配置举例中,AC通过VLAN2接入Switch,VLAN2的IP地址为1.1.2.1/24,AP通过VLAN1接入Switch,AP的IP地址为2.1.1.11/24,iMC的IP地址为162.105.34.20/24。网络中有一个FTP服务器,IP地址为56.1.7.100。各个设备间路由可达。交换机Switch启动DHCP服务向Client分配IP地址,客户端Client的网关在AC(VLAN2)。Client认证通过后,iMC向Client下发ACL3221,禁止Client访问FTP服务器。
二、使用版本和命令详情
请下载文档查看:http://pan.baidu.com/s/1AHyYq
本站如遇文档加密,密码统一为: elvhome.com ,也就是本站一级域名。
三、主要配置步骤及解释
# 启用端口安全Port-security,配置Dot1x认证方式为eap
[AC]port-security enable [AC]dot1x authentication-method eap
# 配置radius scheme
[AC]radius scheme testscheme2 [AC-radius-imc]server-type extended [AC-radius-imc]primary authentication 162.105.34.20 [AC-radius-imc]primary accounting 162.105.34.20 [AC-radius-imc]key authentication testkey2 [AC-radius-imc]key accounting testkey2 [AC-radius-imc]user-name-format without-domain [AC-radius-imc]quit# 配置domain
[AC]domain testdomain2 [AC-isp-aclimc]authentication lan-access radius-scheme testscheme2 [AC-isp-aclimc]authorization lan-access radius-scheme testscheme2 [AC-isp-aclimc]accounting lan-access radius-scheme testscheme2 [AC-isp-aclimc]quit
# 配置下发的ACL
[AC]acl number 3221 [AC-acl-adv-3221]rule deny ip destination 56.1.7.100 0 [AC-acl-adv-3221]quit# 配置无线接口WLAN-ESS
[AC]int WLAN-ESS 1 [AC-WLAN-ESS1]port access vlan 2 [AC-WLAN-ESS1]port-security port-mode userlogin-secure-ext [AC-WLAN-ESS1]port-security tx-key-type 11key [AC-WLAN-ESS1]undo dot1x handshake [AC-WLAN-ESS1]quit
# 配置无线服务模板service-template 1
[AC]wlan service-template 1 crypto [AC-wlan-st-1]ssid testssid2 [AC-wlan-st-1]authentication-method open-system [AC-wlan-st-1]bind WLAN-ESS 1 [AC-wlan-st-1]cipher-suite tkip [AC-wlan-st-1]security-ie wpa [AC-wlan-st-1]service-template enable [AC-wlan-st-1]quit
# 建立AP,并在AP下绑定服务模板,AP的配置要根据具体的AP和序列号进行配置
[AC]wlan ap ap2100 model WA2100 [AC-wlan-ap-ap2100]serial-id 210235A22W0079000256 [AC-wlan-ap-ap2100]radio 1 [AC-wlan-ap-ap2100-radio-1]service-template 1 [AC-wlan-ap-ap2100-radio-1]radio enable [AC-wlan-ap-ap2100-radio-1]quit [AC-wlan-ap-ap2100]quit
四、IMC配置
请参考步骤二下载的文档,文档密码为:本站顶级域名 elvhome.com