2022年RADIUS服务器进行MAC验证 .pdf

RADIUS 服务器进行 MAC 验证,配置nat，使无线接入端连接外网一、 实验目的：通过Radius 服务器的mac 验证和路由器上的nat 配置，使得在局域网内的无线设备可以上网。二、实验拓扑图：APDHCP服务器ACRadiusE1/0/24E1/0/8E1/0/5E1/0/1外网E0/1Vlan 3192.168.3.0/24Vlan 4192.168.4.0/24Vlan 2192.168.2.0/24Vlan 5192.16.5.0/24Vlan 1192.168.1.0/24192.168.6.0/24PCE0/0Pool1:192.168.1.254Pool2:192.168.2.254Vlan 1 2 3 4 5 6Vlan 1 2 4连接 AP 获取地址将 PC 的私网 IP 进行 nat 转换通过 Radius 的认证上网为PC 提供 IP地址三、使用的设备列表：S3610交换机3 台AR28 路由器1 台AP 无线路由器1 台AC 无线控制器1 台Radius 服务器1 台四、具体的配置：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 11 页 - - - - - - - - - 步骤一：在AC 上设置用户和做mac 地址绑定，以及设计无线网AC sys h3csysname AC( 注意， AC 为 WA2620-AGN，本 AC 改名字的时候不能只打 sys+ 名字，需要的是完整才能打出来sysname+ 名字 ) ACint vlan 1 AC-vlan-interfacelundo ip add AC-vlan-interfacelvlan 2 AC-vlan2vlan 4 AC-vlan4int vlan 4 AC-vlan-interface4ip add 192.168.4.1 24 AC-vlan-interface4quit AC radius scheme yu AC-radius-yu server-type extended AC-radius-yu primary authentication 192.168.5.1 AC-radius-yu primary accounting 192.168.5.1 AC-radius-yu key authentication h3c( radius上默认的密钥为h3c ，可以重设，所以在配置上需要一致，所以这里配置h3c)AC-radius-yu key accounting h3c AC-radius-yu user-name-format without-domain( 注意：这条指令的意思是，不用域名，让你在radius添加账户时可以不带域名) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 11 页 - - - - - - - - - AC radius scheme yu AC-isp-yu authentication lan-access radius-scheme yu AC-isp-yu authorization lan-access radius-scheme lu AC-isp-yu accounting lan-access radius-scheme lu ACint g1/0/1 AC-GigabitEthernet1/0/1 port link-type trunk AC-GigabitEthernet1/0/1 port trunk permit vlan 1 to 2 4 AC interface WLAN-ESS7 AC-WLAN-ESS7 port access vlan 2 AC-WLAN-ESS7 port-security port-mode mac-authentication AC wlan service-template 7 clear AC-wlan-st-7ssid yu AC-wlan-st-7 bind WLAN-ESS 7 AC-wlan-st-7 service-template enable ACwlan ap yu model wa2620-agn AC-wlan-ap-yu serial-id 219801A0A89112G03396 AC-wlan-ap-yuradio 2 AC-wlan-ap-yu-radio-2 service-template 7 AC-wlan-ap-yu-radio-2 radio enable AC ip route-static 0.0.0.0 0.0.0.0 192.168.4.254 AClocal user 90c1151c77db AC-luser-90c1151c77dbpassword simple 90c1151c77db 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 11 页 - - - - - - - - - (这里是接入的无线客户端的mac地址) 步骤二：在AC 交换模块上配置连接ACSW oap connet slot 0 sys acswint vlan 1 acsw-vlan-interfacelundo ip add acsw-vlan-interfacelvlan 2 acsw-vlan2vlan 4 acsw-vlan4quit acswinterface GigabitEthernet1/0/8 acsw- GigabitEthernet1/0/8port link-type trunk acsw- GigabitEthernet1/0/8port trunk permit vlan 1 to 2 4 acswint g1/0/9 acsw- GigabitEthernet1/0/9 port link-type trunk acsw- GigabitEthernet1/0/9 port trunk permit vlan 1 to 2 4 步骤三：配置Dhcp中继交换机上的ip 地址池Dhcp 中继交换机dhcpvlan 3 dhcpdhcp enable dhcpdhcp server ip-pool 1 dhcp-pool-pool1network 192.168.1.0 24 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 11 页 - - - - - - - - - dhcp-pool-pool1gateway-list 192.168.1.254 dhcp-pool-pool1option 43 hex 80070000 01C0A804 01 dhcp-pool-pool2network 192.168.2.0 24 dhcp-pool-pool2gateway-list 192.168.2.254 dhcpint vlan 3 dhcp-vlan-interface3ip add 192.168.3.1 24 dhcpint e1/0/24 dhcp-Ethernet1/0/24 port access vlan 3 dhcprip 1 dhcp-rip-1 network 192.168.3.0 dhcpdhcp server forbidden-ip 192.168.1.254 dhcpdhcp server forbidden-ip 192.168.2.254 步骤四：作为连接所有设备的交换机，配置其中继功能SW swvlan 2 sw-vlan2vlan 3 sw-vlan3vlan 4 sw-vlan4vlan 5 sw-vlan5vlan 6 sw-vlan6quit sw dhcp relay server-group 1 ip 192.168.3.1 swint vlan 1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 11 页 - - - - - - - - - sw-vlan-interfacelip add 192.168.1.254 24 sw-vlan-interfaceldhcp select relay sw-vlan-interfaceldhcp relay server-select 1 sw-vlan-interface2ip address 192.168.2.254 24 sw-vlan-interface2dhcp select relay sw-vlan-interface2dhcp relay server-select 1 sw-vlan-interface3ip address 192.168.3.254 24 sw-vlan-interface4ip address 192.168.4.254 24 sw-vlan-interface5ip address 192.168.5.254 24 sw-vlan-interface6 ip address 192.168.6.254 24 swint e1/0/5 sw-Ethernet1/0/5 port access vlan 5 swint e1/0/6 sw- Ethernet1/0/6 port access vlan 2 swint e1/0/8 sw-Ethernet1/0/8 port link-type trunk sw-Ethernet1/0/8 port trunk permit vlan 1 to 2 4 swint e1/0/24 sw- Ethernet1/0/24port access vlan 3 swrip 1 sw-rip-1 network 192.168.1.0 sw-rip-1network 192.168.2.0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 11 页 - - - - - - - - - sw-rip-1 network 192.168.3.0 sw-rip-1 network 192.168.4.0 sw-rip-1 network 192.168.5.0 sw-rip-1 network 192.168.6.0 swdhcp enble sw ip route-static 0.0.0.0 0.0.0.0 192.168.6.1(这里指向下一跳的地址，即连接外网的路由器的接口地址) 步骤五 :配置路由器上的路由功能RA RA acl number 2000 RA-acl-basic-2000rule 1 permit source 192.168.2.0 0.0.0.255 RA-acl-basic-2000rule 2 permit source 192.168.6.0 0.0.0.255 RArip RA-rip network 192.168.2.0 RA-rip network 192.168.6.0 RAint e0/0 RA- Ethernet0/0ip add 192.168.6.1 24 RAint e0/1 RA- Ethernet0/1 ip address 10.3.102.33 24 RA- Ethernet0/1 nat outbound 2000 RA ip route-static 0.0.0.0 0.0.0.0 10.3.102.1 至此，基本配置全部完成名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 11 页 - - - - - - - - - 步骤五：测试配置结果查看 3 层注册是否成功假如 3 层注册不成功，我们应该一环环进行检查，ping测试AC ping switch测试DHCP ping switch测试3 层注册成功后，我们检查下DHCP 获取情况建立起 RADIUS 服务器名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 11 页 - - - - - - - - - 手机连接过程与结果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 11 页 - - - - - - - - - 手机客户端连接后的DHCP 获取情况查看一下路由器上nat转换的情况接下来看看我们连接的手机是不是可以正常的上网名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 11 页 - - - - - - - - - 随便上的 2 个不同的网， 再看看上面的各种图片证明，毫无疑问实验成功。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 11 页 - - - - - - - - -