用户环境是这样的,核心是3750交换机有个195和199两个网段,通过trunk口下连一台第三方的二层交换机,有个H3C的ap连接在该二层交换机上,属于199网段,SSID开放不需要认证。
因为是生产线上测试无线设备,测试设备需要连接到这个SSID上上网去验证一些东西,又不想其他人用手机连接到这个SSID上去上网。关键的问题就是客户端每周都会换一批,必须使用dhcp,用不能静态设置IP地址。
用户有每批测试终端设备的mac地址表, 需要实现,这些mac地址的设备连接改SSID可以上网,其他的设备接入网络不允许上网。
我通过配制VACL,配置如下:
3750上的VACL
mac access-list extended devices-mac
permit host 0000.0000.0001 any ##所有终端设备的mac地址
permit any host 0000.0000.0001
permit host 0000.0000.0002 any
permit any host 0000.0000.0002
permit host 0000.0000.0003 any
permit any host 0000.0000.0003
......
vlan access-map vlan-map 10
action forward
match mac address devices-mac
vlan access-map vlan-map 20
action drop
vlan filter vlan-map vlan-list 199
但是应用后所有终端都不能上网, 这个还需要添加下联二层交换机和AP的mac地址吗? 应该不需要吧
或者是我直接把这个devices-mac的acl应用到3750连接二层交换机的接口上可以吗? (因为生产环境,所有没试)
不知道大家有没有做过这个, 有没有其他比较好的解决方案呢?
在线等.......