04-对登录用户的控制配置
本章节下载: 04-对登录用户的控制配置 (170.56 KB)
l 不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
本章主要介绍了一下内容:
WA系列无线局域网接入点设备提供对不同登录方式进行控制,如表1-1所示。
登录方式 |
控制方式 |
实现方法 |
相关小节 |
Telnet |
通过SSID对登录到AP设备的无线客户端进行控制 |
通过WLAN ACL实现 |
|
通过源IP对Telnet进行控制 |
通过基本ACL实现 |
||
通过源IP、目的IP对Telnet进行控制 |
通过高级ACL实现 |
||
通过源MAC对Telnet进行控制 |
通过二层ACL实现 |
||
SNMP |
通过源IP对网管用户进行控制 |
通过基本ACL实现 |
确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过WLAN ACL控制列表实现。WLAN ACL访问控制列表的序号取值范围为100~199。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表1-2 通过WLAN ACL对登录用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入WLAN ACL视图 |
acl number acl-number |
必选 缺省情况下,匹配顺序为其匹配顺序只能为配置顺序 |
定义子规则 |
rule [ rule-id ] { permit | deny } [ ssid ssid-name ] |
必选 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
引用访问控制列表,通过SSID对登录到AP设备的无线客户端进行控制 |
acl acl-number inbound |
必选 inbound:对通过无线服务接入到AP设备的无线用户进行ACL控制 |
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表1-3 通过源IP对Telnet进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name ] * |
必选 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
引用访问控制列表,通过源IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到AP设备的用户进行ACL控制 outbound:对从AP设备Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表1-4 配置高级ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入高级ACL视图 |
acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
引用访问控制列表,通过源IP、目的IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到AP设备的用户进行ACL控制 outbound:对从AP设备Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表1-5 配置二层ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入高级ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { console | vty } first-num2 [ last-num2 ] } |
- |
引用访问控制列表,通过源MAC对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到AP设备的用户进行ACL控制 |
二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问AP设备。
图1-1 对AP的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问AP设备。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
WA系列无线局域网接入点设备支持通过网管软件进行远程管理。网管用户可以通过SNMP访问AP设备。通过引用访问控制列表,可以对访问AP设备的SNMP用户进行控制。
确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表1-6 通过源IP对网管用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name ] * |
必选 |
退出ACL视图 |
quit |
- |
在配置SNMP团体名的命令中引用访问控制列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必选 根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP” |
在配置SNMP组名的命令中引用访问控制列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
在配置SNMP用户名的命令中引用访问控制列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 | 3des} priv-password ] ] [ acl acl-number ] |
通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问AP设备。
图1-2 对SNMP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问AP设备。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
WA系列无线局域网接入点设备支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问设备。通过引用访问控制列表,可以对访问设备的Web用户进行控制。
确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表1-7 通过源IP对Web用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name ] * |
必选 |
退出ACL视图 |
quit |
- |
引用访问控制列表对Web用户进行控制 |
ip http acl acl-number |
必选 |
网络管理员可以通过命令行强制在线Web用户下线。
表1-8 强制在线Web用户下线
操作 |
命令 |
说明 |
强制在线Web用户下线 |
free web-users { all | user-id user-id | user-name user-name } |
必选 在用户视图下执行 |
通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问AP设备。
图1-3 对AP的HTTP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问AP设备。
[Sysname] ip http acl 2030
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!