Portal支持基于MAC地址的快速认证典型配置举例(V5)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本：6W114-20210416

 

目 录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置注意事项

3.3 配置步骤

3.3.1 AC的配置

3.3.2 Switch的配置

3.3.3 RADIUS/Portal/MAC trigger server的配置

3.4 验证配置

3.5 配置文件

4 相关资料

 

1  简介

本文档介绍Portal支持基于MAC地址的快速认证的典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、Portal、WLAN特性。

3  配置举例

3.1  组网需求

如图1所示，AP和Client通过DHCP服务器获取IP地址，iMC同时作为Portal服务器、RADIUS 服务器和MAC绑定服务器，要求：

·     Client在通过Portal认证前，只能访问Portal服务器；Client通过Portal认证后，可以访问外部网络。

·     AC采用直接方式的Portal认证。

·     在300秒内，Client的流量达到10240字节之前，允许Client访问外部网络资源，一旦流量达到10240字节，则触发MAC快速认证，不需要用户重新输入用户名和密码。

图1 Portal支持MAC地址的快速认证组网图

 

3.2  配置注意事项

·     AC上配置的nas-ip要与RADIUS服务器上添加设备时使用的地址一致。

·     配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.3  配置步骤

3.3.1  AC的配置

(1)     配置AC的接口。

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 181.100.1.3 16

[AC-Vlan-interface100] quit

# 创建VLAN 200，作为ESS接口的缺省VLAN。

[AC] vlan 200

[AC-vlan200] quit

# 创建VLAN 300，作为Client接入的业务VLAN。

[AC] vlan 300

[AC-vlan300] quit

# 配置AC与Switch相连的GigabitEthernet1/0/1接口为Trunk模式，禁止VLAN 1通过，允许VLAN 100、VLAN 200和VLAN 300通过。

[AC] interface GigabitEthernet1/0/1

[AC-GigabitEthernet1/0/1] port link-type trunk

[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300

[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1

[AC-GigabitEthernet1/0/1] quit

# 配置AC可达iMC的静态路由。

[AC] ip route-static 8.0.0.0 255.0.0.0 181.100.1.6

(2)     配置无线接口

# 创建WLAN ESS接口。

[AC] interface wlan-ess 1

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为200，禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] port hybrid pvid vlan 200

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS1] port hybrid vlan 200 untagged

# 使能MAC-VLAN功能。

[AC-WLAN-ESS1] mac-vlan enable

[AC-WLAN-ESS1] quit

(3)     配置无线服务

# 创建clear类型的服务模板1。

[AC] wlan service-template 1 clear

# 设置当前服务模板的SSID为service。

[AC-wlan-st-1] ssid service

# 将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1] bind wlan-ess 1

# 启用无线服务。

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

(4)     配置射频接口并绑定服务模板

# 创建AP的模板，名称为officeap，型号名称选择WA2620E-AGN，并配置AP的序列号。

[AC] wlan ap officeap model WA2620E-AGN

[AC-wlan-ap-officeap] serial-id 21023529G007C000020

# 进入radio 2射频视图。

[AC-wlan-ap-officeap] radio 2

# 将在AC上配置的服务模板1与射频2进行关联，Client通过服务模板1接入VLAN 300。

[AC-wlan-ap-officeap-radio-2] service-template 1 vlan-id 300

# 使能AP的radio 2。

[AC-wlan-ap-officeap-radio-2] radio enable

[AC-wlan-ap-officeap-radio-2] quit

[AC-wlan-ap-officeap] quit

(5)     配置RADIUS方案

# 创建RADIUS方案office并进入其视图。

[AC] radius scheme office

# 服务器类型设置为extended。

[AC-radius-office] server-type extended

# 设置主认证RADIUS服务器的IP地址8.1.1.45，共享密钥为expert。

[AC-radius-office] primary authentication 8.1.1.45 key simple expert

# 指定发送给RADIUS服务器的用户名不携带域名。

[AC-radius-office] user-name-format without-domain

# 配置nas-ip为VLAN 100的地址为181.100.1.3。

[AC-radius-office] nas-ip 181.100.1.3

[AC-radius-office] quit

(6)     配置认证域

# 创建名为office的域并进入其视图。

[AC] domain office

# 为Portal用户配置认证方案为RADIUS方案，方案名为office。

[AC-isp-office] authentication portal radius-scheme office

# 为Portal用户配置授权方案为RADIUS方案，方案名为office。

[AC-isp-office] authorization portal radius-scheme office

# 为Portal用户配置计费为none，不计费。

[AC-isp-office] accounting portal none

[AC-isp-office] quit

(7)     配置Portal认证

# 配置Portal服务器名为office，地址为8.1.1.45，密钥为123456以及认证页面地址为http://8.1.1.45:8080/portal。

[AC] portal server office ip 8.1.1.45 key simple 123456 url http://8.1.1.45:8080/portal

# 配置MAC绑定服务器的IP地址为8.1.1.45。

[AC] portal mac-trigger server ip 8.1.1.45

# 配置Portal免认证规则，符合源接口为GigabitEthernet1/0/1的报文不会触发Portal认证。

[AC] portal free-rule 0 source interface GigabitEthernet1/0/1

# 进入VLAN 300接口视图。

[AC] interface vlan-interface 300

# 配置服务器名为office，认证方式为直接认证方式。

[AC-Vlan-interface300] portal server office method direct

# 配置nas-ip为181.100.1.3，Portal认证域为office。

[AC-Vlan-interface300] portal nas-ip 181.100.1.3

[AC-Vlan-interface300] portal domain office

# 使能MAC快速认证功能，指定用户流量的检测周期为300秒，触发MAC快速认证的流量阈值为10240字节。

[AC-Vlan-interface300] portal mac-trigger enable period 300 threshold 10240

[AC-Vlan-interface300] quit

3.3.2  Switch的配置

# 创建VLAN 100和VLAN 300，其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量，VLAN 300为无线用户接入的VLAN。

<Switch> system-view

[Switch] vlan 100

[Switch-vlan100] quit

[Switch] vlan 200

[Switch-vlan200] quit

[Switch] vlan 300

[Switch-vlan300] quit

# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk，当前Trunk口的PVID为100，允许VLAN 100、200和300通过。

[Switch] interface GigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300

[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

[Switch-GigabitEthernet1/0/1] quit

# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access，并允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port access vlan 100

# 使能PoE功能。

[Switch-GigabitEthernet1/0/2] poe enable

[Switch-GigabitEthernet1/0/2] quit

# 配置VLAN 100接口的IP地址。

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] ip address 181.100.1.6 255.255.0.0

[Switch-Vlan-interface100] quit

3.3.3  RADIUS/Portal/MAC trigger server的配置

 

(1)     增加接入设备

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[用户接入管理/接入设备管理/接入设备配置/接入设备列表]菜单项，单击<增加>按钮，进入“增加接入设备”页面，单击<手工增加>按钮，进入“手工增加接入设备”页面。

·     填写起始IP地址为181.100.1.3，该IP地址为AC上配置的radius scheme视图下的nas-ip地址。

·     单击<确定>按钮完成操作。

·     在“接入配置”页面配置共享密钥为expert，该共享密钥与AC上配置RADIUS服务器时的密钥一致。

·     其他配置采用页面默认配置即可。

·     单击<确定>按钮完成操作。

 

(2)     配置“接入规则管理”

选择“业务”页签，单击导航树中的[用户接入管理/接入规则管理]菜单项，单击<增加>按钮，创建一条接入规则。

·     配置接入规则名为lyportal（可自定义）。

·     其他采用默认配置。

·     单击<确定>按钮完成。

 

(3)     增加服务配置

选择“业务”页签，单击导航树中的[用户接入管理/服务配置管理]菜单项，单击<增加>按钮，创建一条服务。

·     配置服务名为lyportal（任意命名）。

·     缺省接入规则选择lyportal。

·     勾选绑定“Portal智能终端快速认证”。

·     其他选项采用默认配置。

·     单击<确定>按钮完成配置。

 

(4)     增加接入用户

选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户/接入用户列表]菜单项，单击<增加>按钮，增加一个接入用户。

·     单击<选择>按钮，可以选择一个已经存在的用户。

 

·     或者单击<增加用户>按钮创建一个新用户。

 

·     输入用户姓名和证件号码，单击<确定>完成。

 

·     配置帐号名和密码，本例中帐号名和密码都为lyportal。

·     勾选绑定步骤(3)中创建的服务名。

·     单击<确定>按钮完成。

 

(5)     配置Portal主页

选择“业务”页签，单击导航树中的[用户接入管理/Portal服务管理/服务器配置]菜单项，进入“服务器配置”页面，配置Portal主页，采用默认配置即可，单击<确定>按钮完成。

 

(6)     配置Portal认证的地址组范围

选择“业务”页签，单击导航树中的[用户接入管理/Portal服务管理/IP地址组配置]菜单项，单击<增加>按钮，配置进行Portal认证的地址组范围。

·     配置IP地址组名为ipgroup。

·     配置起始地址为181.203.0.0。

·     配置终止地址为181.203.255.255。

·     其他采用默认配置。

·     单击<确定>按钮完成。

 

(7)     配置接入设备信息

选择“业务”页签，单击导航树中的[用户接入管理/Portal服务管理/设备配置]菜单项，单击<增加>按钮，配置Portal认证的接入设备。

·     配置设备名为AC。

·     配置IP地址为181.100.1.3，该地址与AC VLAN 300虚接口下配置的Portal nas-ip一致。

·     配置密钥为123456，该密钥与AC上配置Portal服务器时设置的密钥一致。

·     其他采用默认配置即可。

·     单击<确定>按钮完成。

 

(8)     配置端口组

返回[用户接入管理/Portal服务管理/设备配置]菜单项，进入“设备信息列表”，选中设备所在的行，单击“操作”图标，选中<端口组信息管理>按钮，进入“端口组信息配置”页签。

 

在“端口组信息列表”子页签，单击<增加>按钮，进入到“增加端口组信息”页面。

·     配置端口组名为portgroup。

·     配置IP地址组，选取步骤(6)中创建的地址组ipgroup。

·     “智能终端快速认证”选择“支持”。

·     其他采用默认配置即可。

·     单击<确定>按钮完成。

 

(9)     确认终端是否属于智能终端，只有iMC支持的智能终端才可以触发无感知Portal认证。

选择“业务”页签，单击导航树中的[用户接入管理/终端识别管理]菜单项，检查终端是否符合“终端识别管理”以下六个子菜单标志的特征。

 

(10)     对于非智能终端，如PC等设备，通常是不进行无感知Portal认证的，即每次退出后都要重新进行认证，如果也需要进行无感知Portal认证，可对其进行配置。下面以Windows XP系统的PC为例：

选择“业务”页签，单击导航树中的[用户接入管理/终端识别管理/HTTP User Agent特征识别配置列表]菜单项，可以发现Windows XP系统的PC被标志为非智能终端：

 

·     单击，将其修改为智能终端即可。

·     勾选“智能终端”，单击<确定>完成。

 

3.4  验证配置

# 以一个iOS 5系统的iPhone为例，其符合智能终端的条件。Client第一次通过SSID service上线，获取到VLAN 300的地址，此时Client只能访问iMC，无法访问其他地址。

[AC] display wlan client

 Total Number of Clients           : 1

                               Client Information

 SSID: service

--------------------------------------------------------------------------------

MAC Address    User Name            APID/RID IP Address                     VLAN

--------------------------------------------------------------------------------

00f4-b90d-4220 -NA-                 1   /2   181.203.0.3                    300

--------------------------------------------------------------------------------

# 在Client的浏览器输入任意地址，如181.203.1.6，触发Portal认证，web跳转到http://8.1.1.45:8080/portal页面进行认证，输入用户名和密码，认证成功，Client能访问该地址，在AC上使用display connection命令和display connection ucibindex命令看到已经生成了该用户的Portal连接表项。

[AC] display connection

Index=11  ,Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3

IPv6=N/A

Online=00h26m44s   

 Total 1 connection(s) matched.

 

[AC] display connection ucibindex 11

Index=11  , Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3

IPv6=N/A

Access=PORTAL  ,AuthMethod=CHAP

Port Type=Wireless-802.11,Port Name=Vlan-interface300

Initial VLAN=300, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Traffic Statistic:

    InputOctets   =0          OutputOctets   =0

    InputGigawords=0          OutputGigawords=0

Priority=Disable

SessionTimeout=N/A, Terminate-Action=N/A

Start=2014-02-11 15:56:15 ,Current=2014-02-11 16:23:34 ,Online=00h27m19s

 Total 1 connection matched.   

# 在终端浏览器的认证窗口点击“下线”，AC删除Client的Portal认证表项，此时Client已下线。

[AC] display connection

 Total 0 connection(s) matched.

# Client再次通过浏览器访问181.203.1.6时，不会再跳转到Portal认证页面就可以直接访问该地址，从而实现了Portal快速认证。此时，AC和RADIUS服务器上重新生成了Client的连接表项。

[AC] display connection

Index=12  ,Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3   

IPv6=N/A

 Total 1 connection(s) matched.

 

[AC] display connection ucibindex 12

Index=12  , Username=lyportal@office

MAC=00-F4-B9-0D-42-20

IP=181.203.0.3

IPv6=N/A

Access=PORTAL  ,AuthMethod=CHAP

Port Type=Wireless-802.11,Port Name=Vlan-interface300

Initial VLAN=300, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

SessionTimeout=86155(s), Terminate-Action=Default

Start=2014-2-11 16:50:44 ,Current=2014-2-11 16:54:51 ,Online=00h04m07s

 Total 1 connection matched.

3.5  配置文件

·     AC：

#

portal server office ip 8.1.1.45 key cipher $c$3$6834TPQFh7IQFVzINGf5YpGmL6t/vM

SF8A== url http://8.1.1.45:8080/portal

 portal free-rule 0 source interface GigabitEthernet1/0/1

 portal mac-trigger server ip 8.1.1.45

#

vlan 100

#

vlan 200

#

vlan 300

#

radius scheme office

 server-type extended

 primary authentication 8.1.1.45 key cipher $c$3$z1EqZpP4E2oWMP0h3EEGRr5fZTW580H

LKg==

 user-name-format without-domain

 nas-ip 181.100.1.3

#

domain office

 authentication portal radius-scheme office

 authorization portal radius-scheme office

 accounting portal none

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

wlan service-template 1 clear

 ssid service

 bind WLAN-ESS 1

 service-template enable

#

interface GigabitEthernet1/0/1

 port link-type trunk

undo port trunk permit vlan 1

 port trunk permit vlan 100 200 300

#

interface Vlan-interface100

 ip address 181.100.1.3 255.255.0.0

#

interface Vlan-interface300

 portal server office method direct

 portal domain office

 portal nas-ip 181.100.1.3

 portal mac-trigger enable period 300 threshold 10240

#

interface WLAN-ESS1

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

 mac-vlan enable

#

wlan ap officeap model WA2620E-AGN id 1

 serial-id 21023529G007C000020

 radio 1

 radio 2

  service-template 1 vlan-id 300

  radio enable

#

ip route-static 8.0.0.0 255.0.0.0 181.100.1.6

#

·     Switch：

#

vlan 100

#

vlan 200

#

vlan 300

#

interface Vlan-interface100

 ip address 181.100.1.6 255.255.0.0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 100 200 300

 port trunk pvid vlan 100

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 100

 poe enable

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。