• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C无线控制器典型配置案例集(V5)-6W114

目录

24-Portal支持基于MAC地址的快速认证典型配置举例(V5)

本章节下载 24-Portal支持基于MAC地址的快速认证典型配置举例(V5)  (457.48 KB)

24-Portal支持基于MAC地址的快速认证典型配置举例(V5)

Portal支持基于MAC地址的快速认证典型配置举例(V5)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:6W114-20210416

 

Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍Portal支持基于MAC地址的快速认证的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、Portal、WLAN特性。

3  配置举例

3.1  组网需求

图1所示,AP和Client通过DHCP服务器获取IP地址,iMC同时作为Portal服务器、RADIUS 服务器和MAC绑定服务器,要求:

·     Client在通过Portal认证前,只能访问Portal服务器;Client通过Portal认证后,可以访问外部网络。

·     AC采用直接方式的Portal认证。

·     在300秒内,Client的流量达到10240字节之前,允许Client访问外部网络资源,一旦流量达到10240字节,则触发MAC快速认证,不需要用户重新输入用户名和密码。

图1 Portal支持MAC地址的快速认证组网图

 

3.2  配置注意事项

·     AC上配置的nas-ip要与RADIUS服务器上添加设备时使用的地址一致。

·     配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

3.3  配置步骤

3.3.1  AC的配置

(1)     配置AC的接口。

# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 181.100.1.3 16

[AC-Vlan-interface100] quit

# 创建VLAN 200,作为ESS接口的缺省VLAN

[AC] vlan 200

[AC-vlan200] quit

# 创建VLAN 300,作为Client接入的业务VLAN。

[AC] vlan 300

[AC-vlan300] quit

# 配置ACSwitch相连的GigabitEthernet1/0/1接口为Trunk模式,禁止VLAN 1通过,允许VLAN 100VLAN 200VLAN 300通过。

[AC] interface GigabitEthernet1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300

[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC-GigabitEthernet1/0/1] quit

# 配置AC可达iMC的静态路由。

[AC] ip route-static 8.0.0.0 255.0.0.0 181.100.1.6

(2)     配置无线接口

# 创建WLAN ESS接口。

[AC] interface wlan-ess 1

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] port hybrid pvid vlan 200

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS1] port hybrid vlan 200 untagged

# 使能MAC-VLAN功能。

[AC-WLAN-ESS1] mac-vlan enable

[AC-WLAN-ESS1] quit

(3)     配置无线服务

# 创建clear类型的服务模板1

[AC] wlan service-template 1 clear

# 设置当前服务模板的SSID为service。

[AC-wlan-st-1] ssid service

# 将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 1

# 启用无线服务。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(4)     配置射频接口并绑定服务模板

# 创建AP的模板,名称为officeap,型号名称选择WA2620E-AGN,并配置AP的序列号。

[AC] wlan ap officeap model WA2620E-AGN

[AC-wlan-ap-officeap] serial-id 21023529G007C000020

# 进入radio 2射频视图。

[AC-wlan-ap-officeap] radio 2

# 将在AC上配置的服务模板1与射频2进行关联,Client通过服务模板1接入VLAN 300。

[AC-wlan-ap-officeap-radio-2] service-template 1 vlan-id 300

# 使能AP的radio 2。

[AC-wlan-ap-officeap-radio-2] radio enable

[AC-wlan-ap-officeap-radio-2] quit

[AC-wlan-ap-officeap] quit

(5)     配置RADIUS方案

# 创建RADIUS方案office并进入其视图。

[AC] radius scheme office

# 服务器类型设置为extended。

[AC-radius-office] server-type extended

# 设置主认证RADIUS服务器的IP地址8.1.1.45,共享密钥为expert。

[AC-radius-office] primary authentication 8.1.1.45 key simple expert

# 指定发送给RADIUS服务器的用户名不携带域名。

[AC-radius-office] user-name-format without-domain

# 配置nas-ip为VLAN 100的地址为181.100.1.3。

[AC-radius-office] nas-ip 181.100.1.3

[AC-radius-office] quit

(6)     配置认证域

# 创建名为office的域并进入其视图。

[AC] domain office

# 为Portal用户配置认证方案为RADIUS方案,方案名为office。

[AC-isp-office] authentication portal radius-scheme office

# 为Portal用户配置授权方案为RADIUS方案,方案名为office。

[AC-isp-office] authorization portal radius-scheme office

# 为Portal用户配置计费为none,不计费。

[AC-isp-office] accounting portal none

[AC-isp-office] quit

(7)     配置Portal认证

# 配置Portal服务器名为office,地址为8.1.1.45,密钥为123456以及认证页面地址为http://8.1.1.45:8080/portal。

[AC] portal server office ip 8.1.1.45 key simple 123456 url http://8.1.1.45:8080/portal

# 配置MAC绑定服务器的IP地址为8.1.1.45。

[AC] portal mac-trigger server ip 8.1.1.45

# 配置Portal免认证规则,符合源接口为GigabitEthernet1/0/1的报文不会触发Portal认证。

[AC] portal free-rule 0 source interface GigabitEthernet1/0/1

# 进入VLAN 300接口视图。

[AC] interface vlan-interface 300

# 配置服务器名为office,认证方式为直接认证方式。

[AC-Vlan-interface300] portal server office method direct

# 配置nas-ip为181.100.1.3,Portal认证域为office。

[AC-Vlan-interface300] portal nas-ip 181.100.1.3

[AC-Vlan-interface300] portal domain office

# 使能MAC快速认证功能,指定用户流量的检测周期为300秒,触发MAC快速认证的流量阈值为10240字节。

[AC-Vlan-interface300] portal mac-trigger enable period 300 threshold 10240

[AC-Vlan-interface300] quit

3.3.2  Switch的配置

# 创建VLAN 100和VLAN 300,其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量,VLAN 300为无线用户接入的VLAN。

<Switch> system-view

[Switch] vlan 100

[Switch-vlan100] quit

[Switch] vlan 200

[Switch-vlan200] quit

[Switch] vlan 300

[Switch-vlan300] quit

# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,当前Trunk口的PVID为100,允许VLAN 100、200和300通过。

[Switch] interface GigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300

[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

[Switch-GigabitEthernet1/0/1] quit

# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port access vlan 100

# 使能PoE功能。

[Switch-GigabitEthernet1/0/2] poe enable

[Switch-GigabitEthernet1/0/2] quit

# 配置VLAN 100接口的IP地址。

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] ip address 181.100.1.6 255.255.0.0

[Switch-Vlan-interface100] quit

3.3.3  RADIUS/Portal/MAC trigger server的配置

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 5.2(E0401)、iMC UAM 5.2(E0402)),说明RADIUS服务器的基本配置。

 

(1)     增加接入设备

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[用户接入管理/接入设备管理/接入设备配置/接入设备列表]菜单项,单击<增加>按钮,进入“增加接入设备”页面,单击<手工增加>按钮,进入“手工增加接入设备”页面。

·     填写起始IP地址为181.100.1.3,该IP地址为AC上配置的radius scheme视图下的nas-ip地址。

·     单击<确定>按钮完成操作。

·     在“接入配置”页面配置共享密钥为expert,该共享密钥与AC上配置RADIUS服务器时的密钥一致。

·     其他配置采用页面默认配置即可。

·     单击<确定>按钮完成操作。

 

(2)     配置“接入规则管理”

选择“业务”页签,单击导航树中的[用户接入管理/接入规则管理]菜单项,单击<增加>按钮,创建一条接入规则。

·     配置接入规则名为lyportal(可自定义)。

·     其他采用默认配置。

·     单击<确定>按钮完成。

 

(3)     增加服务配置

选择“业务”页签,单击导航树中的[用户接入管理/服务配置管理]菜单项,单击<增加>按钮,创建一条服务。

·     配置服务名为lyportal(任意命名)。

·     缺省接入规则选择lyportal。

·     勾选绑定“Portal智能终端快速认证”。

·     其他选项采用默认配置。

·     单击<确定>按钮完成配置。

 

(4)     增加接入用户

选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户/接入用户列表]菜单项,单击<增加>按钮,增加一个接入用户。

·     单击<选择>按钮,可以选择一个已经存在的用户。

 

·     或者单击<增加用户>按钮创建一个新用户。

 

·     输入用户姓名和证件号码,单击<确定>完成。

 

·     配置帐号名和密码,本例中帐号名和密码都为lyportal。

·     勾选绑定步骤(3)中创建的服务名。

·     单击<确定>按钮完成。

 

(5)     配置Portal主页

选择“业务”页签,单击导航树中的[用户接入管理/Portal服务管理/服务器配置]菜单项,进入“服务器配置”页面,配置Portal主页,采用默认配置即可,单击<确定>按钮完成。

 

(6)     配置Portal认证的地址组范围

选择“业务”页签,单击导航树中的[用户接入管理/Portal服务管理/IP地址组配置]菜单项,单击<增加>按钮,配置进行Portal认证的地址组范围。

·     配置IP地址组名为ipgroup。

·     配置起始地址为181.203.0.0。

·     配置终止地址为181.203.255.255。

·     其他采用默认配置。

·     单击<确定>按钮完成。

 

(7)     配置接入设备信息

选择“业务”页签,单击导航树中的[用户接入管理/Portal服务管理/设备配置]菜单项,单击<增加>按钮,配置Portal认证的接入设备。

·     配置设备名为AC。

·     配置IP地址为181.100.1.3,该地址与AC VLAN 300虚接口下配置的Portal nas-ip一致。

·     配置密钥为123456,该密钥与AC上配置Portal服务器时设置的密钥一致。

·     其他采用默认配置即可。

·     单击<确定>按钮完成。

 

(8)     配置端口组

返回[用户接入管理/Portal服务管理/设备配置]菜单项,进入“设备信息列表”,选中设备所在的行,单击“操作”图标,选中<端口组信息管理>按钮,进入“端口组信息配置”页签。

 

在“端口组信息列表”子页签,单击<增加>按钮,进入到“增加端口组信息”页面。

·     配置端口组名为portgroup。

·     配置IP地址组,选取步骤(6)中创建的地址组ipgroup。

·     “智能终端快速认证”选择“支持”。

·     其他采用默认配置即可。

·     单击<确定>按钮完成。

 

(9)     确认终端是否属于智能终端,只有iMC支持的智能终端才可以触发无感知Portal认证。

选择“业务”页签,单击导航树中的[用户接入管理/终端识别管理]菜单项,检查终端是否符合“终端识别管理”以下六个子菜单标志的特征。

 

(10)     对于非智能终端,如PC等设备,通常是不进行无感知Portal认证的,即每次退出后都要重新进行认证,如果也需要进行无感知Portal认证,可对其进行配置。下面以Windows XP系统的PC为例:

选择“业务”页签,单击导航树中的[用户接入管理/终端识别管理/HTTP User Agent特征识别配置列表]菜单项,可以发现Windows XP系统的PC被标志为非智能终端:

 

·     单击,将其修改为智能终端即可。

·     勾选“智能终端”,单击<确定>完成。

 

3.4  验证配置

# 以一个iOS 5系统的iPhone为例,其符合智能终端的条件。Client第一次通过SSID service上线,获取到VLAN 300的地址,此时Client只能访问iMC,无法访问其他地址。

[AC] display wlan client

 Total Number of Clients           : 1

                               Client Information

 SSID: service

--------------------------------------------------------------------------------

MAC Address    User Name            APID/RID IP Address                     VLAN

--------------------------------------------------------------------------------

00f4-b90d-4220 -NA-                 1   /2   181.203.0.3                    300

--------------------------------------------------------------------------------

# 在Client的浏览器输入任意地址,如181.203.1.6,触发Portal认证,web跳转到http://8.1.1.45:8080/portal页面进行认证,输入用户名和密码,认证成功,Client能访问该地址,在AC上使用display connection命令和display connection ucibindex命令看到已经生成了该用户的Portal连接表项。

[AC] display connection

Index=11  ,Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3

IPv6=N/A

Online=00h26m44s   

 Total 1 connection(s) matched.

 

[AC] display connection ucibindex 11

Index=11  , Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3

IPv6=N/A

Access=PORTAL  ,AuthMethod=CHAP

Port Type=Wireless-802.11,Port Name=Vlan-interface300

Initial VLAN=300, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Traffic Statistic:

    InputOctets   =0          OutputOctets   =0

    InputGigawords=0          OutputGigawords=0

Priority=Disable

SessionTimeout=N/A, Terminate-Action=N/A

Start=2014-02-11 15:56:15 ,Current=2014-02-11 16:23:34 ,Online=00h27m19s

 Total 1 connection matched.   

# 在终端浏览器的认证窗口点击“下线”,AC删除Client的Portal认证表项,此时Client已下线。

[AC] display connection

 Total 0 connection(s) matched.

# Client再次通过浏览器访问181.203.1.6时,不会再跳转到Portal认证页面就可以直接访问该地址,从而实现了Portal快速认证。此时,AC和RADIUS服务器上重新生成了Client的连接表项。

[AC] display connection

Index=12  ,Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3   

IPv6=N/A

 Total 1 connection(s) matched.

 

[AC] display connection ucibindex 12

Index=12  , Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3

IPv6=N/A

Access=PORTAL  ,AuthMethod=CHAP

Port Type=Wireless-802.11,Port Name=Vlan-interface300

Initial VLAN=300, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

SessionTimeout=86155(s), Terminate-Action=Default

Start=2014-2-11 16:50:44 ,Current=2014-2-11 16:54:51 ,Online=00h04m07s

 Total 1 connection matched.

3.5  配置文件

·     AC:

#

portal server office ip 8.1.1.45 key cipher $c$3$6834TPQFh7IQFVzINGf5YpGmL6t/vM

SF8A== url http://8.1.1.45:8080/portal

 portal free-rule 0 source interface GigabitEthernet1/0/1

 portal mac-trigger server ip 8.1.1.45

#

vlan 100

#

vlan 200

#

vlan 300

#

radius scheme office

 server-type extended

 primary authentication 8.1.1.45 key cipher $c$3$z1EqZpP4E2oWMP0h3EEGRr5fZTW580H

LKg==

 user-name-format without-domain

 nas-ip 181.100.1.3

#

domain office

 authentication portal radius-scheme office

 authorization portal radius-scheme office

 accounting portal none

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

wlan service-template 1 clear

 ssid service

 bind WLAN-ESS 1

 service-template enable

#

interface GigabitEthernet1/0/1

 port link-type trunk

undo port trunk permit vlan 1

 port trunk permit vlan 100 200 300

#

interface Vlan-interface100

 ip address 181.100.1.3 255.255.0.0

#

interface Vlan-interface300

 portal server office method direct

 portal domain office

 portal nas-ip 181.100.1.3

 portal mac-trigger enable period 300 threshold 10240

#

interface WLAN-ESS1

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

 mac-vlan enable

#

wlan ap officeap model WA2620E-AGN id 1

 serial-id 21023529G007C000020

 radio 1

 radio 2

  service-template 1 vlan-id 300

  radio enable

#

ip route-static 8.0.0.0 255.0.0.0 181.100.1.6

#

·     Switch:

#

vlan 100

#

vlan 200

#

vlan 300

#

interface Vlan-interface100

 ip address 181.100.1.6 255.255.0.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 100 200 300

 port trunk pvid vlan 100

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 100

 poe enable

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们