H3C WX系列无线控制器与iMC配合向用户下发ACL权限

特性介绍
ACL（Access Control List，访问控制列表）提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时，如果RADIUS服务器上配置了授权ACL，则设备会根据服务器下发的授权ACL对用户所在端口的数据流进行控制；在服务器上配置授权ACL之前，需要在设备上配置相应的ACL规则。管理员可以通过改变服务器的授权ACL设置或设备上对应的ACL规则来改变用户的访问权限。

特性优点
WX系列无线控制器结合iMC给Client下发授权ACL具有以下特点：
》在AC上配置具体的ACL规则。
》由iMC下发ACL到用户。

应用场合
授权ACL下发一般可应用在如下场合：接入同一AC的同一SSID的多个用户，分别使用不同的资源，或限制用户使用部分网络资源。

一、组网需求

本配置举例中，AC通过VLAN2接入Switch，VLAN2的IP地址为1.1.2.1/24，AP通过VLAN1接入Switch，AP的IP地址为2.1.1.11/24，iMC的IP地址为162.105.34.20/24。网络中有一个FTP服务器，IP地址为56.1.7.100。各个设备间路由可达。交换机Switch启动DHCP服务向Client分配IP地址，客户端Client的网关在AC（VLAN2）。Client认证通过后，iMC向Client下发ACL3221，禁止Client访问FTP服务器。 

二、使用版本和命令详情

请下载文档查看：http://pan.baidu.com/s/1AHyYq

本站如遇文档加密，密码统一为： elvhome.com   ,也就是本站一级域名。

三、主要配置步骤及解释

# 启用端口安全Port-security，配置Dot1x认证方式为eap

[AC]port-security enable
[AC]dot1x authentication-method eap

# 配置radius scheme

[AC]radius scheme testscheme2
[AC-radius-imc]server-type extended
[AC-radius-imc]primary authentication 162.105.34.20
[AC-radius-imc]primary accounting 162.105.34.20
[AC-radius-imc]key authentication testkey2
[AC-radius-imc]key accounting testkey2
[AC-radius-imc]user-name-format without-domain
[AC-radius-imc]quit

# 配置domain

[AC]domain testdomain2
[AC-isp-aclimc]authentication lan-access radius-scheme testscheme2
[AC-isp-aclimc]authorization lan-access radius-scheme testscheme2
[AC-isp-aclimc]accounting lan-access radius-scheme  testscheme2
[AC-isp-aclimc]quit

# 配置下发的ACL

[AC]acl number 3221
[AC-acl-adv-3221]rule deny ip destination 56.1.7.100 0
[AC-acl-adv-3221]quit

# 配置无线接口WLAN-ESS

[AC]int WLAN-ESS 1
[AC-WLAN-ESS1]port access vlan 2
[AC-WLAN-ESS1]port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS1]port-security tx-key-type 11key
[AC-WLAN-ESS1]undo dot1x handshake
[AC-WLAN-ESS1]quit

# 配置无线服务模板service-template 1

[AC]wlan service-template 1 crypto
[AC-wlan-st-1]ssid testssid2
[AC-wlan-st-1]authentication-method open-system
[AC-wlan-st-1]bind WLAN-ESS 1
[AC-wlan-st-1]cipher-suite tkip
[AC-wlan-st-1]security-ie wpa
[AC-wlan-st-1]service-template enable
[AC-wlan-st-1]quit

# 建立AP，并在AP下绑定服务模板，AP的配置要根据具体的AP和序列号进行配置

[AC]wlan ap ap2100 model WA2100
[AC-wlan-ap-ap2100]serial-id 210235A22W0079000256
[AC-wlan-ap-ap2100]radio 1
[AC-wlan-ap-ap2100-radio-1]service-template 1
[AC-wlan-ap-ap2100-radio-1]radio enable
[AC-wlan-ap-ap2100-radio-1]quit
[AC-wlan-ap-ap2100]quit

四、IMC配置

请参考步骤二下载的文档，文档密码为：本站顶级域名   elvhome.com