Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
目 录
1 简介
本文档介绍H3C WCG无线中控网关旁挂部署方案配置举例。
2 特性使用指南
2.1 使用场合
适用于WCG旁挂的组网方式且需要手动配置核心交换机、接入交换机的场景。
2.2 配置前提
- 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
- 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
3 配置举例
- 核心交换机支持IRF组网,本配置举例以单台核心交换机为例。
- 本配置举例的WBC插卡软件版本号为E5446P06。
3.1 组网需求
如图3-1所示,某公司采用WCG无线中控网关旁挂部署方案,WCG旁挂在核心交换机上,核心交换机下挂多个接入交换机,防火墙作为外网出口设备,同时兼具上网行为审计与管理、防病毒、IPS、URL过滤和流量管理等功能。具体的使用场景要求如下:
- WBC插卡本地云简网络作为Portal认证服务器。
- WCG作为802.1x/MAC认证服务器、DHCP服务器。
- WCG作为无线用户认证的接入设备,核心交换机作为有线用户认证的接入设备。
- WCG开启DNS代理,需能通外网且配置DNS服务器地址。主要因为WBC的短信网关配置、访客认证、APP认证等需要WBC能访问外网,而WBC的DNS服务器地址默认指到WCG上的,所以WCG也需要能访问外网且开启DNS代理。
- 核心交换机开启DNS代理,DHCP地址池中的DNS地址设置为核心交换机的对应IP地址;核心交换机开启DHCP中继和DHCP功能。
- 核心交换机作为流量转发核心设备,所有二层和三层流量均经核心交换机转发。
- 外网出口为防火墙设备,核心交换机的SE1/0/24接口与防火墙相连。
图3-1 WCG无线中控网关旁挂部署方案组网图
3.1.1 办公网需求
- 用户管理:公司内部主要分为内部员工1和内部员工2两个部门组织。各个部门需使用不同的用户组进行统一管理,不同用户组对应不同VLAN和IP网段。
- 认证方式:公司员工通过无线和有线上网方式,使用802.1x认证和Portal固定账号认证。Portal认证首次登录后,要求一周内上线无感知。
- 互访要求:内部员工1用户组和内部员工2用户组之间的用户可以互访,但与访客用户组之间不能互访,组内可以互访,内部员工1用户组可以访问Internet,内部员工2用户组禁止访问Internet。
3.1.2 访客网络需求
- 用户管理:创建访客用户组进行统一管理,划分访客网络VLAN和IP网段。
- 认证方式:使用Portal短信认证。首次登录后,要求一周内上线无感知。
- 互访要求:不能和公司内部用户组互访,只能访问Internet,访客用户组内不能互访。
3.1.3 哑终端连接需求
- 用户管理:创建哑终端用户组进行统一管理,划分哑终端网络VLAN和IP网段。
- 认证方式:使用MAC地址认证。
- 互访要求:和公司内部用户组可互访,可访问Internet。
3.2 配置思路
本配置举例组网环境中,WCG作为旁挂设备,上网行为审计与管理、防病毒、IPS、URL过滤和流量管理等功能由防火墙设备负责,故本文档配置中不涉及上述功能的配置,相关功能配置请参考防火墙相关配置文档。
WCG配置由WBC云简网络进行配置并自动下发,核心交换机和接入交换机的配置需要手工配置。
WCG的网络和认证业务配置流程如下:
图3-2 WCG的网络和认证业务配置流程
3.3 注意事项
- WCG需以出厂配置启动,并且需手动配置WCG下行口。
- 使用短信认证需要提前购买短信包服务。
3.4 配置步骤
3.4.1 云简网络管理界面登录
(1) 将PC与WCG设备1、2、3、4口中任意一口相连,打开PC上网络连接更改适配器设置,选中对应网卡,点击鼠标右键,再点击属性,如下图。
图3-3 更改适配器设置
(2) 按照如下图中标号顺序依次选择或者点击,完成适配器设置。
图3-4 设置自动获取IP地址
(3) 设置好后,鼠标双击更改的适配器图标,再点击<详细信息>按钮,可查看到PC网卡自动获取到的IP地址为192.168.0.20。
图3-5 设置自动获取IP地址
(4) 打开PC浏览器,输入网址https://wbc.wcg.h3c.com:31443/或者https://172.25.252.18:31443/进入到云简网络的登录界面。输入默认用户名wbcadmin、密码wbcadmin和验证码,点击<登录>按钮即可登录到云简网络的配置管理页面。
图3-6 登录云简网络
3.4.2 部署方案选择
(1) 在顶部导航栏选择“网络管理”,在左侧导航栏选择“设置 > 业务开关”,
(2) 在“WCG业务网络”页签开启业务网络开关并选择中控网关旁挂部署方案,
(3) 出现左下方提示时,选择清空当前场所业务配置,此时WCG设备会恢复出厂配置并重启,且管理平台将断开连接。等待设备重启完成后即可按照如下配置步骤进行配置。
图3-7 选择中控网关旁挂部署方案
3.4.3 用户组创建
1. 云简网络界面用户组配置
(1) 在左侧导航栏中选择“配置 > WCG > 用户组管理”,进入“用户组管理”页面,点击<创建>按钮创建用户组。
图3-8 配置用户组
(2) 输入用户组名称“访客”,建议用户根据业务网络需求采用手动规划的方式规划无线和有线用户VLAN、IP网段和网关地址。WCG设备侧会根据云简网络侧的用户组配置自动创建相关的DHCP地址池。
图3-9 创建访客用户组
(3) 按照上述操作,依次完成其他用户组的创建。创建的4个用户组为访客、内部员工1、内部员工2和哑终端用户组。
图3-10 创建的所有用户组
2. WCG设备侧需手动配置的命令行
可以通过如下两种方式对WCG设备进行手动配置,任选其一:
- 在顶部导航栏选择“网络管理”,在左侧导航栏选择“维护 > 命令助手”,然后在“命令助手”页面开启telnet模式对WCG设备进行手动配置。
- 将PC直接连接到WCG,然后通过配置终端对WCG设备进行手动配置。
# WCG与核心交换机相连的GE1/0/1接口根据需求配置,本配置举例中将WCG的GE1/0/1配置为Trunk口,允许VLAN 1和VLAN 4091通过,其中VLAN 1为管理VLAN,VLAN 4091为业务VLAN。
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan 1 4091
# 创建VLAN 4091。
vlan 4091
# 配置VLAN 4091的IP地址为192.168.91.2。
interface Vlan-interface4091
ip address 192.168.91.2 255.255.255.252
# 开启DNS代理。
dns proxy enable
# 配置DNS服务器IP地址为114.114.114.114。
dns server 114.114.114.114
# 配置静态路由。
ip route-static 0.0.0.0 0 192.168.91.1
3. 核心交换机设备侧需手动配置的命令行
# 在核心交换机上创建用户组对应VLAN以及VLAN 4001、VLAN 4002、VLAN 4091,用户组对应VLAN以及VLAN 4001下需开启ARP Snooping功能。
#
vlan 10
arp snooping enable
#
vlan 20
arp snooping enable
#
vlan 30
arp snooping enable
#
vlan 40
arp snooping enable
#
vlan 70
arp snooping enable
#
vlan 1010
arp snooping enable
#
vlan 1020
arp snooping enable
#
vlan 1030
arp snooping enable
#
vlan 1040
arp snooping enable
#
vlan 1070
arp snooping enable
#
vlan 4001
arp snooping enable
#
vlan 4002
#
vlan 4091
#
# 配置核心交换机与WCG相连的SE1/0/1接口为Trunk类型,允许VLAN 1和VLAN 4091通过。
interface Smartrate-Ethernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4091
¡ 在核心交换机上配置对应VLAN的接口IP地址:VLAN 1接口自动获取IP地址(根据需求配置,本举例中采用自动获取的方式);VLAN 4091接口IP地址为192.168.91.1,与WCG的GE1/0/1接口VLAN IP地址在同一网段;其他VLAN接口的IP地址为WCG上对应DHCP地址池中的网关地址;
¡ 开启本地ARP代理和普通ARP代理;
¡ 开启DHCP中继,中继服务器IP地址为WCG的VLAN 4091 IP地址192.168.91.2。由于WCG上没有创建用户组所在VLAN以及VLAN 4002、VLAN 4001,所以需在核心交换机上配置DHCP中继,以便终端能获取到IP地址。
#
interface Vlan-interface1
ip address dhcp-alloc
#
interface Vlan-interface10
ip address 10.101.0.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface20
ip address 10.102.0.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface30
ip address 10.103.0.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface40
ip address 10.104.0.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface70
ip address 10.107.0.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface1010
ip address 10.101.128.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface1020
ip address 10.102.128.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface1030
ip address 10.103.128.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface1040
ip address 10.104.128.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface1070
ip address 10.107.128.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface4001
ip address 192.168.32.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface4002
ip address 192.168.48.1 255.255.240.0
proxy-arp enable
local-proxy-arp enable
dhcp select relay
dhcp relay server-address 192.168.91.2
#
interface Vlan-interface4091
ip address 192.168.91.1 255.255.255.252
#
# 配置核心交换机上行接口SE1/0/24的IP地址为192.168.16.1/29。
interface Smartrate-Ethernet1/0/24
port link-mode route
ip address 192.168.16.1 255.255.255.248
(5) 核心交换机上创建上行静态路由
# 访问外网的流量走SE1/0/24接口,下一跳指向防火墙GE1/0/2接口IP地址192.168.16.2。
ip route-static 0.0.0.0 0 192.168.16.2
# 云简网络流量走VLAN 1,下一跳指向WCG的VLAN 1 IP地址192.168.0.100。
ip route-static 172.25.252.18 32 192.168.0.100
(6) 配置核心交换机的下行接口SE1/0/3和SE1/0/5
¡ 端口类型需配置为hybrid,PVID配置为VLAN 4001;
¡ VLAN 1、VLAN 4002和无线终端所在VLAN全部tagged;
¡ VLAN 4001和有线终端所在VLAN全部untagged;
¡ 开启mac-vlan功能;
¡ 配置端口安全,放行VLAN 1、VLAN 4002和无线终端所在VLAN;
interface Smartrate-Ethernet1/0/3
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 10 20 30 40 70 4002 tagged
port hybrid vlan 1010 1020 1030 1040 1070 4001 untagged
port hybrid pvid vlan 4001
mac-vlan enable
port-security free-vlan 1 10 20 30 40 70 4002
#
interface Smartrate-Ethernet1/0/5
port link-mode bridge
port link-type hybrid
port hybrid vlan 1 10 20 30 40 70 4002 tagged
port hybrid vlan 1010 1020 1030 1040 1070 4001 untagged
port hybrid pvid vlan 4001
mac-vlan enable
port-security free-vlan 1 10 20 30 40 70 4002
# 开启DNS代理。
dns proxy enable
# 配置DNS服务器(根据实际情况配置)。
dns server 8.8.8.8
dns server 114.114.114.114
# 配置云简网络认证以及WBC云简网络域名对应的IP地址为172.25.252.18。
ip host oasisauth.h3c.com 172.25.252.18
ip host wbc.wcg.h3c.com 172.25.252.18
# 开启DHCP功能。
dhcp enable
# 开启STP功能。
stp global enable
3.4.4 用户创建
在云简网络页面顶部导航栏中选择“网络管理”,然后在左侧导航栏中选择“配置 > WCG > 用户管理”,进入“用户管理”页面配置802.1X认证用户、MAC认证用户和Portal认证用户。
1. 办公网用户802.1X认证账号添加
(1) 在“802.1X认证用户”页签下添加用户账号,该用户账号用于802.1x认证。
图3-11 配置802.1X认证用户
(2) 点击<增加>按钮,在弹出的对话框中输入账号、密码,选择账号对应的用户组和有效期,点击<提交>按钮完成操作。
图3-12 添加接入用户账号
(3) 点击“802.1X认证用户”页签的<导入>按钮,也可以通过模板批量导入802.1X认证用户账号。
图3-13 批量增加802.1X认证账号
(4) 本配置举例添加了以下802.1X认证账号。
图3-14 802.1X认证账号
2. 哑终端MAC认证账号添加
(1) 在“MAC认证用户”页签下添加MAC认证用户账号,MAC认证用户账号用于终端MAC地址认证。
图3-15 配置MAC认证账号
(2) 点击<增加>按钮,在弹出的对话框中输入MAC地址、终端名称,并选择用户组和有效期,点击<提交>按钮完成操作。
图3-16 增加MAC地址认证账号
(3) 点击“MAC认证用户”页签下的<导入>按钮,也可以通过模板批量导入MAC认证用户账号。
图3-17 批量增加MAC认证账号
(4) 本配置举例添加的MAC认证账号如下。
图3-18 MAC认证账号
3. 访客和办公网用户Portal认证账号添加
(1) 在“Portal认证用户”页签下添加用户账号,该用户账号用于Portal认证。
图3-19 配置Portal认证用户
(2) 点击<增加>按钮,在弹出的对话框中输入账号名、密码、确认密码,并选择账号对应的用户组、失效日期以及配置信息,点击<确定>按钮完成操作。
图3-20 增加Portal认证账号
(3) 点击“Portal认证用户”页签的<导入>按钮,也可以通过模板批量导入Portal用户账号。
图3-21 批量增加Portal认证账号
(4) 本配置举例添加了以下Portal认证用户账号。
图3-22 Portal认证账号
3.4.5 Portal认证模板配置
- 仅当认证方式选择Portal认证时,才需要配置认证模板。
- 本配置举例的认证模板中需开启两种认证方式:一种认证方式选择账号登录;另一种认证方式选择短信登录,短信登录需要设置短信网关。
在左侧导航栏中选择“配置 > WCG > 认证配置”,进入“认证配置”页面,配置无线和有线认证模板。
1. 配置无线认证模板
(1) 在“无线认证配置”页签下点击<增加>按钮新增无线认证模板。
(2) 选择展示模板,在弹出的对话框输入模板名称web认证,点击<应用>按钮。
图3-23 选择展示模板
图3-24 创建模板
(3) 模板添加成功后,可以点击<确定>按钮前往绘制无线认证模板;也可以点击<取消>按钮,稍后点击认证模板对应的绘制按钮前往绘制。
图3-25 绘制模板
2. 配置有线认证模板
缺省存在一个有线认证模板,不能新增和删除。
(1) 在“有线认证配置”页签,点击有线认证模板对应的绘制按钮前往绘制。
图3-26 有线认证配置
(2) 在“有线认证模板”配置页面,点击“定制PC端页面”,开启PC端认证。
图3-27 定制PC端页面
3. 配置固定账号认证
无线和有线认证模板的固定账号认证配置步骤相同,本配置以无线认证模板配置为例。
(1) 添加固定账号
添加固定账号的配置请参见3.4.4 3. 访客和办公网用户Portal认证账号添加。
(2) 开启固定账号认证
点击“账号登录”并开启“账号登录”功能。
图3-28 开启固定账号认证
4. 配置短信认证
- 使用短信网关功能需要WCG系列无线中控网关能够访问互联网。
- 本节以亿美短信平台为例进行配置,其它短信平台的配置参数略有差异。
- 无线和有线认证模板的短信认证配置步骤相同,本配置以无线认证模板配置为例。
(1) 至亿美平台(www.emay.cn)购买短信包。
(2) 在左侧导航栏中选择“设置 > 短信网关”,然后在“短信网关”页签下点击<新建>按钮配置短信网关。
(3) 输入短信网关名称,选择短信平台“亿美”,输入序列号、key和密码,点击<确定>按钮完成操作。
若存在短信签名,此处的短信签名需要和短信平台上的短信签名保持一致才可以正常收发短信。
图3-29 配置短信网关
(4) 开启短信认证
点击“短信登录”并开启“短信登录”功能。
(5) 编辑短信模板
管理员可修改终端收到的短信的详细内容,模板内容必须包含“验证码是{1}”、“{2}秒”两段文字,且“验证码是”、“秒”、“{1}”、“{2}”文字唯一;模板内容可以包含文字“{0}”,若包含则必须唯一。
¡ {0}表示短信发出时间,由系统自动填充,管理员无法自行设置时间,可选项。
¡ {1}表示短信的随机验证码,由系统自动填充,管理员无法自行设置验证码,必选项。
¡ {2}表示短信有效期,管理员可手动配置,必选项。
若同时配置了短信平台和WCG云简网络的短信模板,则短信平台的模板配置生效,WCG云简网络的配置仅验证码有效时长配置生效。请确保二者的验证码有效时长配置相同。
图3-30 开启短信认证
5. 高级配置
无线和有线认证模板的高级配置步骤相同,本配置以无线认证模板配置为例。
(1) 在“高级配置 > 上网限制”页面,进行上网时长配置,并开启允许PC上网。
图3-31 上网限制
(2) 在“高级配置 > 免认证”页面,配置免认证时长为一周,即一周内上线无感知。
图3-32 免认证
(3) 在“高级配置 > 上网时段限制”页面,此处不做配置,对上网时段无限制。
图3-33 上网时段限制
(4) 完成配置后点击<完成>按钮。
3.4.6 业务网络配置
(1) 在左侧导航栏中选择“配置 > WCG > 业务网络管理”,进入“业务网络管理”页面配置三个不同的业务网络。
¡ 业务网络1选择802.1x认证,对应办公网的802.1x认证,绑定办公网用户组。
¡ 业务网络2选择Portal认证,对应办公网和访客的Portal认证,绑定办公网用户组和访客。
¡ 业务网络3选择MAC认证,对应哑终端的MAC认证,绑定哑终端用户组。
(2) 点击<创建>按钮,开始WCG业务配置。
图3-34 创建WCG业务网络
1. 办公网-802.1x认证业务创建
- 在“网络配置”页面输入网络名称“办公网-802.1x”,点击<下一步>按钮。
图3-35 网络配置
- 在“无线配置”页面中输入SSID“h3c-office-1x”,选择认证方式为802.1x认证,再点击<下一步>按钮。
图3-36 无线配置
- 在“用户配置”页面中点击<绑定>按钮,绑定办公网下的内部员工1和内部员工2两个用户组,点击<确定>按钮,再点击<下一步>按钮。
图3-37 绑定用户组
- 在“网络策略配置”页面点击<完成>按钮。
中控网关旁挂部署方案时,网络策略需要在核心交换机上配置。
图3-38 网络策略配置
# 配置主认证服务器IP地址为WCG VLAN 4091的IP地址192.168.91.2,配置认证报文和计费报文的共享密钥,配置发送给RADIUS服务器的用户名不携带域名,配置nas-ip为192.168.91.1(核心交换机VLAN 4091的IP地址)。
radius scheme wcg_oasis_scheme
primary authentication 192.168.91.2
key authentication cipher $c$3$hUxeeenGSit1GWL6H9I+IdhUmjkaGMwfTQ==
key accounting cipher $c$3$xOl4d2AvYzhg7b6LlmrYmYirTVpK/SWHpw==
user-name-format without-domain
nas-ip 192.168.91.1
# 配置ISP域。
domain name oasis_wcg_domain
authentication lan-access radius-scheme wcg_oasis_scheme
authorization lan-access radius-scheme wcg_oasis_scheme
accounting lan-access none
# 开启全局802.1x认证。
dot1x
# 配置mac迁移。
port-security mac-move permit
# 在核心交换机的下行接口(SE1/0/3和SE1/0/5)下配置802.1x认证。
interface Smartrate-Ethernet1/0/3
dot1x
dot1x mandatory-domain oasis_wcg_domain
#
interface Smartrate-Ethernet1/0/5
dot1x
dot1x mandatory-domain oasis_wcg_domain
2. portal认证业务创建
- 在“网络配置”页面输入网络名称“web认证”,点击<下一步>按钮。
图3-39 网络配置
- 在“无线配置”页面中输入SSID“h3c-web”,加密方式选择“无加密”,认证方式选择“portal认证”,认证模板选择之前步骤创建的“web认证”模板,再点击<下一步>按钮。
图3-40 无线配置
- 在“用户配置”页面中点击<绑定>按钮,绑定办公网下的内部员工1、内部员工2和访客三个用户组,点击<确定>按钮,再点击<下一步>按钮。
图3-41 绑定用户组
- 在“网络策略配置”页面点击<完成>按钮。
中控网关旁挂部署方案时,网络策略需要在核心交换机上配置。
图3-42 网络策略配置
本配置举例有线认证采用在核心交换机上配置web-auth认证,配置步骤及命令如下:
# 放行到云简网络的报文。
web-auth free-ip oasisauth.h3c.com
# 配置domain。
domain none
authentication lan-access none
authorization lan-access none
accounting lan-access none
# 配置Web认证服务器。
web-auth server cloud
url http://oasisauth.h3c.com/portal/protocol
ip 192.168.91.1 port 80
server-type oauth
url-parameter nas_id value cm-0-99999999-210235A3JWH196000008
url-parameter redirect_uri value http://192.168.91.1/portal/cloudlogin.html
url-parameter template_id value 2
url-parameter userip source-address
url-parameter usermac source-mac
#
注意:
# cm-0-99999999-210235A3JWH196000008:此处210235A3JWH196000008是核心交换机的SN。99999999是场所ID,查看方法为:先点到场所界面,按F12,点击<刷新>按钮,在“Network”页签出现get请求报文,点击该报文在“Headers”页签找到shopid即为场所ID。
图3-43 查看场所ID
# template_id value 2:此处2是认证模板ID,查看方法为:在“有线认证配置”页面点击绘制按钮,在URL中可以查看到有线认证模板ID。
图3-44 有线认证配置
图3-45 查看有线认证模板ID
# 配置通过ARP获取接入用户信息。
portal access-info trust arp
# 开启本地Portal服务。
portal local-web-server http
default-logon-page defaultfile.zip
# 配置Portal免认证。
portal mac-trigger-server cloud
cloud-binding enable
cloud-server url http://oasisauth.h3c.com:80
# 核心交换机下行口(SE1/0/3和SE1/0/5)配置web-auth认证。
interface Smartrate-Ethernet1/0/3
web-auth domain none
web-auth enable apply server cloud
web-auth apply portal mac-trigger-server cloud
#
interface Smartrate-Ethernet1/0/5
web-auth domain none
web-auth enable apply server cloud
web-auth apply portal mac-trigger-server cloud
3. 哑终端MAC认证业务创建
- 在“网络配置”页面下输入网络名称“哑终端”,点击<下一步>按钮。
图3-46 网络配置
- 在“无线配置”页面中输入SSID“h3c-mac”,选择无加密,MAC认证方式,再点击<下一步>按钮。
图3-47 无线配置
- 在“用户配置”页面中点击<绑定>按钮,绑定哑终端用户组,点击<确定>按钮,再点击<下一步>按钮。
图3-48 绑定用户组
- 在“网络策略配置”页面点击<完成>按钮。
中控网关旁挂部署方案时,网络策略需要在核心交换机上配置。
图3-49 网络策略配置
# Radius和ISP域的配置同802.1x认证业务,共用domain oasis_wcg_domain。
# 开启全局mac认证。
mac-authentication
# 配置mac迁移。
port-security mac-move permit
# 核心交换机的下行接口(SE1/0/3和SE1/0/5)下配置MAC认证。
interface Smartrate-Ethernet1/0/3
mac-authentication
mac-authentication domain oasis_wcg_domain
#
interface Smartrate-Ethernet1/0/5
mac-authentication
mac-authentication domain oasis_wcg_domain
4. 业务网络配置完成
完成创建802.1x认证、MAC认证和Portal认证的业务网络,显示如下:
图3-50 查看业务网络
3.4.7 访问控制配置
由于网关在核心交换机上,需在核心交换机侧配置对应ACL并在对应VLAN下引用配置以实现用户组间互访控制和Internet访问控制。本地转发下需在AP侧开启全局VLAN用户隔离实现用户组内访问控制;另外Internet访问控制也可通过在核心交换机的上行口(SE1/0/24)下配置QoS策略,实现对用户的Internet访问控制。
1. 内部员工访问控制配置
互访要求:内部员工1用户组和内部员工2用户组之间的用户可以互访,但与访客用户组之间不能互访,组内可以互访,内部员工1用户组可以访问Internet,内部员工2用户组禁止访问Internet。
# 配置ACL规则,阻断到访客用户组的报文。
acl advanced 3030
rule 1 deny ip destination 10.102.0.0 0.0.15.255
rule 2 deny ip destination 10.102.128.0 0.0.15.255
# 在内部员工1用户组对应的VLAN 30和VLAN 1030下入方向引用ACL 3030作包过滤。
interface Vlan-interface30
packet-filter 3030 inbound
#
interface Vlan-interface1030
packet-filter 3030 inbound
# 配置ACL规则,阻断到访客用户组的报文。
acl advanced 3040
rule 1 deny ip destination 10.102.0.0 0.0.15.255
rule 2 deny ip destination 10.102.128.0 0.0.15.255
# 在内部员工2用户组对应的VLAN 40和VLAN 1040下入方向引用ACL 3040作包过滤。
interface Vlan-interface40
packet-filter 3040 inbound
#
interface Vlan-interface1040
packet-filter 3040 inbound
(3) 核心交换机上行口(SE1/0/24)下配置QoS策略实现Internet访问控制。
# 配置ACL,匹配VLAN 40的用户。
acl advanced 3035
rule 1 permit ip source 10.104.0.0 0.0.15.255
rule 2 permit ip source 10.104.128.0 0.0.15.255
# 匹配ACL 3035。
traffic classifier 1 operator and
if-match acl 3035
# 流行为数据阻断。
traffic behavior 1
filter deny
# 配置QoS策略。
qos policy 1
classifier 1 behavior 1
# 核心交换机的上行出口的出方向引用QoS策略。
interface Smartrate-Ethernet1/0/24
qos apply policy 1 outbound
2. 访客访问控制配置
互访要求:不能和公司内部用户组互访,只能访问Internet,访客用户组内不能互访。
# 阻断到内部员工1、内部员工2和哑终端用户组的报文。
acl advanced 3020
rule 1 deny ip destination 10.103.0.0 0.0.15.255
rule 2 deny ip destination 10.103.128.0 0.0.15.255
rule 3 deny ip destination 10.104.0.0 0.0.15.255
rule 4 deny ip destination 10.104.128.0 0.0.15.255
rule 5 deny ip destination 10.107.0.0 0.0.15.255
rule 6 deny ip destination 10.107.128.0 0.0.15.255
# 在访客用户组对应的VLAN 20和VLAN 1020下入方向引用ACL 3020作包过滤。
interface Vlan-interface20
packet-filter 3020 inbound
#
interface Vlan-interface1020
packet-filter 3020 inbound
组内(同一VLAN下)的用户隔离分4种情况,如下:
¡ 组内有线终端和有线终端的互相隔离;
¡ 组内有线终端和无线终端的互相隔离;
¡ 组内不同AP下无线终端和无线终端的互相隔离;
¡ 组内同一AP下无线终端和无线终端的互相隔离;
前3种情况需要在核心交换机下手工配置ACL规则限制访问组内其他用户。
最后一种情况,由于是AP本地转发,需要在AP上开启VLAN用户隔离实现。
# 核心交换机下配置ACL规则,在上述ACL 3020中添加规则rule7、8、9、10部分,放通到VLAN 20和VLAN 1020网关的报文,阻断到访客用户组的报文。
acl advanced 3020
rule 7 permit ip destination 10.102.0.1 0.0.0.0
rule 8 permit ip destination 10.102.128.1 0.0.0.0
rule 9 deny ip destination 10.102.0.0 0.0.15.255
rule 10 deny ip destination 10.102.128.0 0.0.15.255
# 在VLAN 20和VLAN 1020接口的入方向引用。
interface Vlan-interface20
packet-filter 3020 inbound
packet-filter filter all
#
interface Vlan-interface1020
packet-filter 3020 inbound
packet-filter filter all
# AP设备侧配置VLAN 20和VLAN 1020内用户隔离,允许网关MAC转发。
user-isolation vlan 20 permit-mac 5098-b816-07a6
user-isolation vlan 1020 permit-mac 75098-b816-07a6
user-isolation vlan 20 enable
user-isolation vlan 1020 enable
3. 哑终端访问控制配置
互访要求:和公司内部用户组可互访,组内可互访,可访问Internet。
无需进行访问控制配置。
3.4.8 配置防火墙回程路由
# 配置终端和设备访问外网的回程路由,下一跳指定为核心交换机的SE1/0/24口。
ip route-static 10.0.0.0 8 192.168.16.1
ip route-static 192.168.0.0 16 192.168.16.1
ip route-static 172.25.252.0 24 192.168.16.1
3.4.9 配置接入交换机
vlan 2 to 4094
# 将上行接口GigabitEthernet1/0/1配置为Trunk类型,允许所有VLAN通过,PVID为VLAN 4001。
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 4001
# 与AP相连的下行接口配置为Trunk类型,允许所有VLAN通过,PVID为VLAN 1。
interface GigabitEthernet1/0/3
port link-type trunk
port trunk permit vlan all
# 与非AP(如PC)相连的下行接口配置为Access类型,VLAN为4001。
interface GigabitEthernet1/0/9
port access vlan 4001
interface GigabitEthernet1/0/8
port-isolate enable group 1
poe enable
stp global enable
lldp timer rx-timeout 30
3.4.10 配置AP接口
# 通过MAP文件下发配置,本配置举例中所有接口配置为Trunk类型,允许所有VLAN通过,PVID为VLAN 1。
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 1
# 首先将map.txt文件通过ftp或者tftp的方式导入到WCG设备中,然后在WCG设备侧的ap-group下配置引用对应的map.txt文件。
wlan ap-group default-group
ap-model WA6322
map-configuration flash:/map.txt
3.5 验证结果
3.5.1 办公网802.1x认证用户登录
1. 无线802.1x认证
(1) 打开手机无线Wi-Fi,搜索无线网络h3c-office-1x并连接。
(2) 安全性选择802.1x EAP、EAP方法选择PEAP、阶段2身份验证选择MSCHAPV2,CA证书选择无,然后再输入用户名和密码即可连接成功。
图3-51 无线终端802.1x认证
2. 有线802.1x认证
(1) 在有线PC上安装iNode智能客户端。
图3-52 iNode智能客户端
(2) 选择802.1x连接,输入用户名和密码,属性设置下选择对应的网卡,最后点击<连接>按钮,即可连接上线。
图3-53 有线802.1x认证
3.5.2 办公网Portal认证用户登录
1. 无线Portal认证
(1) 打开手机无线Wi-Fi,搜索无线网络h3c-web并连接。
(2) 连接后会被自动重定向到Portal认证登录界面,选择账号登录并输入用户名和密码,即可完成认证登录上线。
图3-54 无线Portal认证
2. 有线Portal认证
有线PC连接到交换机后,打开浏览器会被自动重定向到Portal认证登录界面,选择账号登录并输入用户名和密码,即可完成认证登录上线。
图3-55 有线Portal认证
3.5.3 访客短信认证登录
1. 无线短信认证
(1) 打开手机无线Wi-Fi,搜索无线网络h3c-web并连接。
(2) 连接后会被自动重定向到Portal认证登录界面,选择短信登录并输入手机号码和验证码,即可完成认证登录上线。
图3-56 无线短信认证
2. 有线短信认证
有线PC连接到交换机后,打开浏览器会被自动重定向到Portal认证登录界面,选择短信登录并输入手机号码和验证码,即可完成认证登录上线。
图3-57 有线短信认证
3.5.4 哑终端MAC认证登录
对于无线连接的哑终端,直接连接到无线网络h3c-mac即可完成MAC认证登录上线。
对于有线连接的哑终端,直接连接到交换机即可完成MAC认证登录上线。