- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
27-本地转发 + Portal认证典型配置举例(V5)
本章节下载: 27-本地转发 + Portal认证典型配置举例(V5) (708.17 KB)
本地转发+Portal认证典型配置举例(V5)
资料版本:6W114-20210416
Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍WLAN集中portal认证+本地转发的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解XXX特性。
如图1所示,总部的AC与分支机构的AP跨三层关联并作为DHCP server为Client分配IP地址;Router作为Client的网关并为AP分配IP地址,具体要求如下:
· 用户通过Portal认证接入无线网络;
· 用户通过Portal认证后,AC将用户规则下发到AP上,用户报文在AP上直接做转发。
图1 AC为无线客户端集中分配地址方式配置举例组网图
· 为实现AC与Portal服务器通信,需要在Swich A上配置到Portal服务器的静态路由;
· 在AC上配置DHCP功能,使AC统一分配、集中管理各分支机构中无线客户端的地址;
· 为了使AP能够直接转发Client报文,需要在AC的服务模板下开启本地转发功能,同时通过下发map-configuration文件来对AP进行配置实现本地转发。
· 无线客户端的DHCP地址池中的网关要指向Router;
· AC上要配置从WLAN获取用户信息的功能;
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址,用来和AC通信。
<SwitchA> system-view
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface vlan 10
[SwitchA-Vlan-interface10] ip addsress 138.10.1.1 16
[SwitchA-Vlan-interface10] quit
# 创建VLAN 20及其对应的VLAN接口,并为该接口配置IP地址,用来和AP通信。
[SwitchA] vlan 20
[SwitchA-vlan20] quit
[SwitchA] interface vlan 20
[SwitchA-Vlan-interface20] ip address 138.20.1.1 16
[SwitchA-Vlan-interface20] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址,用来和Client通信。
[SwitchA] vlan 30
[SwitchA-vlan30] quit
[SwitchA] interface vlan 30
[SwitchA-Vlan-interface30] ip address 138.30.1.1 16
[SwitchA-Vlan-interface30] quit
# 创建VLAN 138及其对应的VLAN接口,并为该接口配置IP地址,用来和Portal服务器通信。
[SwitchA] vlan 138
[SwitchA-vlan138] quit
[SwitchA] interface vlan 138
[SwitchA-Vlan-interface138] ip address 8.138.1.2 16
[SwitchA-Vlan-interface138] quit
# 创建聚合口4。
[SwitchA] interface bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] quit
# 配置SwitchA与AC连接的接口加入聚合口4。
[SwitchA] interface ten-gigabitethernet 4/0/1
[SwitchA-Ten-GigabitEthernet4/0/1] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/1] quit
[SwitchA] interface ten-gigabitethernet 4/0/2
[SwitchA-Ten-GigabitEthernet4/0/2] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/2] quit
# 配置聚合口为Trunk口,并允许所有VLAN通过。
[SwitchA] interface bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] port link-type trunk
[SwitchA-Bridge-Aggregation4] port trunk permit vlan all
[SwitchA-Bridge-Aggregation4] quit
# 配置静态路由,用于AC与Portal服务器通信,下一跳指向与Portal服务器互通的网关。
[SwitchA] ip route-static 8.0.0.0 8 8.138.1.1
(1) 配置AC接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址,用来和Portal服务器通信。
<AC> system-view
[AC] vlan 10
[AC-vlan10] quit
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 138.10.1.80 255.255.0.0
[AC-Vlan-interface10] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址,用来进行Portal认证。
[AC] vlan 30
[AC-vlan30] quit
[AC] interface vlan-interface 30
[AC-Vlan-interface30] ip address 138.30.1.80 255.255.0.0
[AC-Vlan-interface30] quit
# 创建聚合口1。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] quit
# 将AC上两个物理口加入聚合口1。
[AC] interface ten-gigabitethernet 1/0/1
[AC-Ten-GigabitEthernet1/0/1] port link-aggregation group 1
[AC-Ten-GigabitEthernet1/0/1] quit
[AC] interface ten-gigabitethernet 1/0/2
[AC-Ten-GigabitEthernet1/0/2] port link-aggregation group 1
[AC-Ten-GigabitEthernet1/0/2] quit
# 配置AC聚合口1的类型为Trunk口并允许所有VLAN通过,用来和AP、Client通信。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] port link-type trunk
[AC-Bridge-Aggregation1] port trunk permit vlan all
[AC-Bridge-Aggregation1] quit
(2) 配置DHCP服务
# 使能DHCP功能。
[AC] dhcp enable
# 配置DHCP地址池30,用于为Client动态分配地址,并将网关指向Switch B。
[AC] dhcp server ip-pool 30
[AC-dhcp-pool-10] network 138.30.0.0 16
[AC-dhcp-pool-10] gateway-list 138.30.1.2
[AC-dhcp-pool-10] dns-list 138.20.1.3
[AC-dhcp-pool-10] dns-list 8.1.1.5
[AC-dhcp-pool-10] quit
(3) 配置WLAN-ESS接口
# 创建接口WLAN-ESS 30。
[AC] interface wlan-ess 30
# 配置端口的链路类型为Access,允许VLAN 30通过。
[AC-WLAN-ESS30] port access vlan 30
[AC-WLAN-ESS30] quit
(4) 配置无线服务模板
# 创建clear类型的无线服务模板service1。
[AC] wlan service-template service1 clear
# 设置当前服务模板的SSID为portal-local。
[AC-wlan-st-service1] ssid portal-local
# 将WLAN-ESS30接口绑定到无线服务模板service1。
[AC-wlan-st-service1] bind wlan-ess 30
# 开启用户本地转发功能。
[AC-wlan-st-service1] client forwarding-mode local
# 开启无线客户端透传DHCP报文到AC的功能。
[AC-wlan-st-service1] client dhcp-server centralized
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(5) 在AC下绑定无线服务模板
# 创建AP模板,名称为ap1,型号名称选择WA2620E-AGN,并配置其序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 210235A42MB108000002
[AC-wlan-ap-ap1] map-configuration apcfg.txt
# 进入radio 1射频视图。
[AC-wlan-ap-ap1] radio 1
# 配置射频的工作信道为161。
[AC-wlan-ap-ap1-radio-1] channel 161
# 将无线服务模板service1绑定到AP的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1]quit
(6) 配置Portal认证
# 配置Portal认证服务器地址为8.1.1.50,并指定服务器对应的URL。
[AC] portal server pt ip 8.1.1.50 key simple 123456 url http://8.1.1.50:8080/portal
# 配置Portal免认证规则1,用来放行AC上配置Portal认证服务的接口能够与Portal服务器通信。
[AC] portal free-rule 1 source interface bridge-aggregation1 destination any
# 配置AC通过WLAN获取Portal用户信息。
[AC] portal host-check wlan
# 配置RADIUS方案portal。
[AC] radius scheme portal
# 配置认证、计费和授权服务器的IP地址为8.1.1.50。
[AC-radius-portal] primary authentication 8.1.1.50
[AC-radius-portal] primary accounting 8.1.1.50
# 配置与认证、计费和授权服务器交互报文时的共享密钥为123456。
[AC-radius-portal] key authentication simple 123456
[AC-radius-portal] key accounting simple 123456
# 指定发送给RADIUS服务器的用户名不携带域名。
[AC-radius-portal] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为138.10.1.80。
[AC-radius-portal] nas-ip 138.10.1.80
[AC-radius-portal] quit
# 配置AAA认证域portal。
[AC] domain portal
# 设置ISP域的认证、授权和计费方法均为RADIUS。
[AC-isp-portal] authentication portal radius-scheme portal
[AC-isp-portal] accounting portal radius-scheme portal
[AC-isp-portal] authorization portal radius-scheme portal
[AC-isp-portal] quit
# 配置接口VLAN 30为Portal直接认证的接口。
[AC] interface vlan-interface 30
[AC-Vlan-interface30] portal server pt method direct
# 指定从接口接入的IPv4 Portal用户使用认证域为portal。
[AC-Vlan-interface30] portal domain portal
# 配置接口发送Portal报文使用的IPv4源地址为138.10.1.80。
[AC-Vlan-interface30] portal nas-ip 138.10.1.80
# 开启Portal本地转发功能。
[AC-Vlan-interface30] portal forwarding-mode local
[AC-Vlan-interface30] quit
# 配置AC与AP和Portal服务器通信的静态路由下一跳为Switch A的接口VLAN 10。
[AC] ip route-static 0.0.0.0 0 138.10.1.1
# 开启arp-snooping功能。
[AC] arp-snooping enable
# 开启learn-ipaddr功能
[AC] wlan client learn-ipaddr enable
# 配置GigabitEthernet0/0的IP地址,用来和AC通信。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ip address 138.10.1.3 255.255.0.0
[Router-GigabitEthernet0/0] quit
# 配置GigabitEthernet0/1的IP地址。
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet0/1] ip address 138.20.1.3 255.255.0.0
[Router-GigabitEthernet0/1] quit
# 使能DHCP功能。
[Router] dhcp enable
# 配置DHCP地址池20,用于为AP动态分配地址,并通过option43指定关联的AC。
[Router] dhcp server ip-pool 20
[Router-dhcp-pool-20] network 138.20.0.0 255.255.0.0
[Router-dhcp-pool-20] gateway-list 138.20.1.3
[Router-dhcp-pool-20] option 43 hex 80070000 018A0A01 50
[Router-dhcp-pool-20] quit
# 配置Router到公网的静态路由,下一跳指向AC交换侧的地址。
[Router] ip route-static 0.0.0.0 0 138.10.1.1
# 创建VLAN 20,并配置对应接口IP地址,用来和Router通信。
<SwitchB> system-view
[SwitchB] vlan 20
[SwitchB-vlan20] quit
[SwitchB] interface vlan-interface 20
[SwitchB-Vlan-interface20] ip address 138.20.1.2 255.255.0.0
[SwitchB-Vlan-interface20] quit
# 配置GigabitEthernet1/0/1的类型为Trunk,允许所有VLAN通过。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/1] quit
# 配置GigabitEthernet1/0/2接口属性,使能PoE为AP供电,类型为Trunk,允许所有VLAN通过,且PVID设置为20。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] poe enable
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/2] port trunk pvid vlan 20
[SwitchB-GigabitEthernet1/0/2] quit
# 创建VLAN 30,并配置对应接口的IP地址,用来和无线客户端通信。
[SwitchB] vlan 30
[SwitchB-vlan30] quit
[SwitchB] interface vlan-interface 30
[SwitchB-Vlan-interface30] ip address 138.30.1.2 255.255.0.0
[SwitchB-Vlan-interface30] quit
# 配置与公网设备通信的静态路由,下一跳指向与Router直连的接口。
[SwitchB] ip route-static 0.0.0.0 0 138.20.1.3
# 配置Portal服务器地址为8.1.1.50,并指定服务器对应的url。
system-view
portal server pt ip 8.1.1.50 key simple 123456 url http://8.1.1.50:8080/portal
# 配置Portal免认证规则1,用来放行AP上开启Portal认证服务的接口能够与Portal服务器通信。
portal free-rule 1 source interface GigabitEthernet 1/0/1 destination any
# 配置移动需求的Portal参数。
portal device-id beijing-ac-01
portal url-param include nas-id param-name vlan
portal url-param include user-mac des-encrypt param-name wlanusermac
portal url-param include nas-ip param-name wlanacip
portal url-param include ap-mac param-name wlanapmac
portal url-param include user-url param-name wlanfirsturl
portal url-param include user-ip param-name wlanuserip
portal url-param include ac-name param-name wlanacname
portal url-param include ssid
portal host-check wlan
# 创建vlan 30。
vlan 30
# 创建VLAN 30对应接口,并进入接口VLAN 30视图
interface vlan 30
# 接口下指定Portal服务器并配置为直接认证方式。
portal server pt method direct
# 配置接口发送Portal报文使用的源地址为AC的地址。
portal nas-ip 138.10.1.80
# 进入到AP的物理接口GigabitEthernet1/0/1。
interface GigabitEthernet 1/0/1
# 配置接口GigabitEthernet1/0/1类型为Trunk。
port link-type trunk
# 配置接口GigabitEthernet1/0/1允许所有VLAN通过。
port trunk permit vlan all
(1) 配置Portal服务
# 配置Portal服务器。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,使用缺省配置。
图2 Portal服务器配置页面
# 配置IP地址组。
选择“用户”页签,单击导航树[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 输入IP地址组名:wjh-pt;
· 输入起始地址:138.30.0.0;
· 输入终止地址:138.30.255.255;
· 其他采用缺省配置,单击<确定>按钮完成操作。
图3 增加IP地址组配置页面
# 增加Portal设备。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面。在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 输入设备名:wjh;
· 输入IP地址:即AC上配置的portal bas-ip地址,138.10.1.80;
· 输入密钥:123456,与AC上配置的Portal server密钥一致;
· 其他采用默认配置,单击<确定>按钮完成操作。
图4 增加设备信息配置页面
# 增加端口组信息。
在Portal设备配置页面中的设备信息列表中,单击<端口组信息管理>按钮(“
”图标),进入端口组信息配置页面。
图5 设备配置页面
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 输入端口组名:w-group;
· 选择IP地址组:wjh-pt;
· 其他采用默认配置,单击<确定>按钮完成操作。
图6 增加端口组信息
(2) 配置接入服务
# 增加接入设备
选择“用户”标签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面。在该页面中单击<增加>按钮,进入增加接入设备页面。
选择手工增加接入设备,添加IP地址为138.10.1.80的接入设备,与AC上RADIUS方案中的nas-ip一致;
图7 手工增加接入设备
· 设置与AC交互报文时使用的认证、计费共享密钥为“123456”,该密码与AC配置RADIUS方案时的地址一致;
· 选择接入设备类型为“H3C(General)”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图8 增加接入设备
# 增加接入策略。
选择“用户”标签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略配置页面。在接入策略列表中单击<增加>按钮,进入增加接入策略页面。
· 接入策略名输入“wjh-portal”;
· 业务分组“未分组”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图9 增加接入策略
# 增加接入服务。
选择“用户”标签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务配置页面。在接入服务列表中点击<增加>按钮。
· 服务名输入“wjh-portal”;
· 缺省接入策略“wjh-portal”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图10 增加接入服务
(3) 增加接入用户。
# 选择“用户”标签,单击导航树中的[接入用户管理/接入用户]菜单项,进入到接入用户配置页面。在接入用户列表中点击<增加>按钮,进入增加接入用户页面。
· 在增加接入用户页面,单击<增加用户>按钮弹出增加用户窗口;
· 输入用户名“wjh-portal”;
· 输入证件号码“111111”;
· 单击<检查是否可用>按钮;
· 如用户姓名和证件号码可用,单击<确定>按钮完成操作。
图11 增加用户
· 账号名输入“wjh-portal”;
· 勾选接入服务“wjh-portal”;
· 单击<确定>按钮完成操作。
图12 增加接入用户
# 无线客户端使用SSID为portal-local的无线服务模板上线,获取到地址。在浏览器中输入Portal服务器网段的任一地址,弹出Portal认证页面,输入Portal服务器上设置的用户名和密码进行认证上线。
图13 用户上线
# 当Portal用户认证成功并上线之后,AC会将用户规则下发到AP设备上,用户报文在AP上直接做转发。在AC上通过命令display portal user interface查看成功上线的用户。
<AC> display portal user interface vlan 30
Index:0
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
----------------------------------------------------------------------------
0021-631e-7911 138.30.0.1 30 Vlan-interface10
On interface Vlan-interface10:total 1 user(s) matched, 1 listed.
# 在AP上通过命令display portal acl dynamic interface查看用户规则成功下发。
<ap1> display portal acl dynamic interface vlan-interface 30
IPv4 portal ACL rules on Vlan-interface10:
Rule 0
Inbound interface : all
Type : dynamic
Action : permit
Source:
IP : 138.30.0.1
Mask : 255.255.255.255
MAC : 0021-631e-7911
Interface : any
VLAN : 30
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Author ACL:
Number : NONE
· SwitchA
#
vlan 10
#
vlan 20
#
vlan 30
#
vlan 138
#
interface Bridge-Aggregation4
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
ip address 138.10.1.1 255.255.0.0
#
interface Vlan-interface20
ip address 138.20.1.1 255.255.0.0
#
interface Vlan-interface30
ip address 138.30.1.1 255.255.0.0
#
interface Vlan-interface138
ip address 8.138.1.2 255.255.0.0
#
interface Ten-GigabitEthernet4/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
interface Ten-GigabitEthernet4/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
ip route-static 8.0.0.0 255.0.0.0 8.138.1.1
#
· AC
#
portal server pt ip 8.1.1.50 key simple 123456 url http://8.1.1.50:8080/portal
portal free-rule 1 source interface Bridge-Aggregation1 destination any
portal host-check wlan
#
wlan client learn-ipaddr enable
#
vlan 10
#
vlan 30
#
dhcp server ip-pool 30
network 138.30.0.0 mask 255.255.0.0
gateway-list 138.30.1.2
dns-list 138.20.1.3
dns-list 8.1.1.5
#
radius scheme portal
primary authentication 8.1.1.50
primary accounting 8.1.1.50
key authentication simple 123456
key accounting simple 123456
user-name-format without-domain
nas-ip 138.10.1.80
#
domain portal
authentication portal radius-scheme portal
authorization portal radius-scheme portal
accounting portal radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template service1 clear
ssid portal-local
bind WLAN-ESS 30
client forwarding-mode local
client dhcp-server centralized
service-template enable
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
ip address 138.10.1.80 255.255.0.0
#
interface Vlan-interface30
ip address 138.30.1.80 255.255.0.0
portal server pt method direct
portal domain portal
portal nas-ip 138.10.1.80
portal forwarding-mode local
#
interface Ten-GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface Ten-GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface WLAN-ESS30
port access vlan 30
#
wlan ap ap1 model WA2620E-AGN id 1
serial-id 210235A42MB108000002
map-configuration apcfg.txt
radio 1
channel 161
service-template service1
radio enable
radio 2
#
ip route-static 0.0.0.0 0.0.0.0 138.10.1.1
#
arp-snooping enable
#
dhcp enable
#
· Router
#
dhcp server ip-pool 20
network 138.20.0.0 mask 255.255.0.0
option 43 hex 80070000 018A0A01 50
#
interface GigabitEthernet0/0
port link-mode route
ip address 138.10.1.3 255.255.0.0
#
interface GigabitEthernet0/1
port link-mode route
ip address 138.20.1.3 255.255.0.0
#
ip route-static 0.0.0.0 255.0.0.0 138.10.1.1
#
dhcp enable
#
· SwitchB
#
vlan 20
#
vlan 30
#
interface Vlan-interface20
ip address 138.20.1.2 255.255.0.0
#
interface Vlan-interface30
ip address 138.30.1.2 255.255.255.0
#
interface GigabitEthernet1/0/1
description routeg0/1
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/2
description ap-portal-local
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 20
poe enable
#
ip route-static 0.0.0.0 0.0.0.0 138.20.1.3
#
如4.1 图14所示,总部的AC与分支机构的AP跨三层关联;Router作为无线客户端的网关并为AP分配地址,具体要求如下:
· 用户通过Portal认证接入无线网络;
· 用户通过Portal认证后,AC将用户规则下发到AP上,用户报文在AP上直接做转发。
· 各分支机构无线客户端的地址由各分支机构单独分配。
· 为实现AC与Portal服务器通信,Switch A上配置AC与Portal服务器通信的静态路由。
· 为避免各分支机构中的无线客户端地址重复,Router上配置为无线客户端分配地址的地址池。
· 为实现Portal集中认证,在AC和AP上配置Portal认证。
· 为了使AP能够直接转发Client报文,需要在AC的无线服务模板上开启本地转发功能,同时通过下发map-configuration文件来对AP进行配置实现本地转发。
· AC上要配置用户信息从WLAN获取的功能。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址用来和AC通信。
<SwitchA> system-view
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface vlan 10
[SwitchA-Vlan-interface10] ip addsress 138.10.1.1 16
[SwitchA-Vlan-interface10] quit
# 创建VLAN 138及其对应的VLAN接口,并为该接口配置IP地址用来和Portal服务器通信。
[SwitchA] vlan 138
[SwitchA-vlan138] quit
[SwitchA] interface vlan 138
[SwitchA-Vlan-interface138] ip address 8.138.1.2 16
[SwitchA-Vlan-interface138] quit
# 创建聚合口4。
[SwitchA] interface bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] quit
# 配置SwitchA与AC连接的接口加入聚合口。
[SwitchA] interface ten-gigabitethernet 4/0/1
[SwitchA-Ten-GigabitEthernet4/0/1] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/1] quit
[SwitchA] interface ten-gigabitEthernet 4/0/2
[SwitchA-Ten-GigabitEthernet4/0/2] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/2] quit
# 配置聚合口为Trunk口,并允许所有VLAN通过。
[SwitchA] int bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] port link-type trunk
[SwitchA-Bridge-Aggregation4] port trunk permit vlan all
[SwitchA-Bridge-Aggregation4] quit
# 配置静态路由,用于Portal服务器与AC之间通信,下一跳指向和Portal服务器互通的网关。
[SwitchA] ip route-static 8.0.0.0 8 8.138.1.1
(1) 配置AC接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址用来和Portal服务器通信。
<AC> system-view
[AC] vlan 10
[AC-vlan10] quit
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 138.10.1.80 255.255.0.0
[AC-Vlan-interface10] quit
# 创建VLAN 168及其对应的VLAN接口,并为该接口配置IP地址用来配置Portal服务。
[AC] vlan 168
[AC-vlan168] quit
[AC] interface vlan-interface 168
[AC-Vlan-interface168] ip address 192.168.1.1 255.255.0.0
[AC-Vlan-interface168] quit
# 创建聚合口1。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] quit
# 将AC上两个物理口加入聚合口1。
[AC] interface ten-gigabitethernet 1/0/1
[AC-Ten-GigabitEthernet1/0/1] port link-aggregation group 1
[AC-Ten-GigabitEthernet1/0/1] quit
[AC] interface ten-gigabitethernet 1/0/2
[AC-Ten-GigabitEthernet1/0/2] port link-aggregation group 1
[AC-Ten-GigabitEthernet1/0/2] quit
# 配置AC聚合口1的类型为Trunk口并允许所有VLAN通过。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] port link-type trunk
[AC-Bridge-Aggregation1] port trunk permit vlan all
[AC-Bridge-Aggregation1] quit
(2) 配置WLAN-ESS接口
# 创建接口WLAN-ESS 1。
[AC] interface wlan-ess 1
# 配置端口的链路类型为Access,允许VLAN 168通过。
[AC-WLAN-ESS1] port access vlan 168
[AC-WLAN-ESS1] quit
(3) 配置无线服务模板
# 创建clear类型的服务模板service1。
[AC] wlan service-template service1 clear
# 设置无线服务模板的SSID为portal-local。
[AC-wlan-st-service1] ssid portal-local
# 将WLAN-ESS 1接口绑定到无线服务模板。
[AC-wlan-st-service1] bind wlan-ess 1
# 开启用户本地转发功能。
[AC-wlan-st-service1] client forwarding-mode local
# 使能无线服务模板。
[AC-wlan-st-service1] service-template enable
[AC-wlan-st-service1] quit
(4) 在AC下绑定无线服务模板
# 创建AP模板,名称为ap1,型号名称选择WA2620E-AGN,并配置其序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 210235A42MB108000001
[AC-wlan-ap-ap1] map-configuration apcfg.txt
# 进入radio 1射频视图。
[AC-wlan-ap-ap1] radio 1
# 配置射频的工作信道为161。
[AC-wlan-ap-ap1-radio-1] channel 161
# 将服务模板service1绑定到AP的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template service1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置Portal认证
# 配置Portal服务器地址为8.1.1.50,并指定服务器对应的url。
[AC] portal server pt ip 8.1.1.50 key simple 123456 url http://8.1.1.50:8080/portal
# 配置Portal免认证规则1,用于放行AC上起Portal的接口能够与Portal服务器通信。
[AC] portal free-rule 1 source interface Bridge-Aggregation1 destination any
# 配置AC通过WLAN来获取Portal用户的相关信息。
[AC] portal host-check wlan
# 配置RADIUS方案portal。
[AC] radius scheme portal
# 配置认证、计费和授权服务器的IP地址为8.1.1.50。
[AC-radius-portal] primary authentication 8.1.1.50
[AC-radius-portal] primary accounting 8.1.1.50
# 配置与认证、计费和授权服务器交互报文时的共享密钥均为123456。
[AC-radius-portal] key authentication simple 123456
[AC-radius-portal] key accounting simple 123456
# 指定发送给RADIUS方案portal中RADIUS服务器的用户名不携带域名。
[AC-radius-portal] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为138.10.1.80。
[AC-radius-portal] nas-ip 138.10.1.80
[AC-radius-portal] quit
# 配置AAA认证域portal。
[AC] domain portal
# 设置ISP域的认证、授权和计费方法均为RADIUS方式。
[AC-isp-portal] authentication portal radius-scheme portal
[AC-isp-portal] accounting portal radius-scheme portal
[AC-isp-portal] authorization portal radius-scheme portal
[AC-isp-portal] quit
# 在接口VLAN 168上开启Portal直接认证。
[AC] interface vlan-interface 168
[AC-Vlan-interface168] portal server pt method direct
# 指定从接口接入的IPv4 Portal用户使用认证域为portal。
[AC-Vlan-interface168] portal domain portal
# 配置接口发送Portal报文使用的IPv4源地址为138.10.1.80。
[AC-Vlan-interface168] portal nas-ip 138.10.1.80
# 开启Portal本地转发功能。
[AC-Vlan-interface168] portal forwarding-mode local
[AC-Vlan-interface168] quit
# 配置与Portal服务器等公网设备通信的静态路由。
[AC] ip route-static 0.0.0.0 0 138.10.1.1
# 配置arp-snooping功能。
[AC] arp-snooping enable
# 配置learn-ipaddr。
[AC] wlan client learn-ipaddr enable
# 配置接口GigabitEthernet 0/0的IP地址,用来与AC通信。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ip address 138.10.1.3 255.255.0.0
[Router-GigabitEthernet0/0] quit
# 创建子接口GigabitEthernet 0/1.100,并配置IP地址,划分VLAN为100,用来与AP通信。
[Router] interface gigabitethernet 0/1.100
[Router-GigabitEthernet0/1.100] ip address 192.100.1.3 255.255.0.0
[Router-GigabitEthernet0/1.100] vlan-type dot1q vid 100
[Router-GigabitEthernet0/1.100] quit
# 创建子接口GigabitEthernet 0/1.168,并配置IP地址,划分VLAN为168,用来与无线客户端通信。
[Router] interface gigabitethernet 0/1.168
[Router-GigabitEthernet0/1.168] ip address 192.168.2.3 255.255.255.0
[Router-GigabitEthernet0/1.168] vlan-type dot1q vid 168
[Router-GigabitEthernet0/1.168] quit
# 使能DHCP服务。
[Router] dhcp enable
# 配置DHCP地址池100,用来为AP分配IP地址,并通过option43指定AC的地址。
[Router] dhcp server ip-pool 100
[Router-dhcp-pool-100] network 192.100.0.0 mask 255.255.0.0
[Router-dhcp-pool-100] gateway-list 192.100.1.3
[Router-dhcp-pool-100] option 43 hex 80070000 01 8a0a0150
[Router-dhcp-pool-100] quit
# 配置DHCP地址池168,用于为无线客户端分配IP地址。
[Router] dhcp server ip-pool 168
[Router-dhcp-pool-168] network 192.168.2.0 mask 255.255.255.0
[Router-dhcp-pool-168] gateway-list 192.168.2.3
[Router-dhcp-pool-168] dns-list 192.168.2.3
[Router-dhcp-pool-168] dns-list 8.1.1.5
[Router-dhcp-pool-168] quit
# 创建NAT转换地址组1,并指定转换后的地址为NAT网关出接口地址。
[NAT] nat address-group 1 138.10.1.3 138.10.1.3
# 创建ACL规则,用于触发AP和无线客户端进行NAT地址转换。
[NAT] acl number 3000
[NAT-acl-adv-3000] rule 1 permit ip source 192.100.0.0 0.0.255.255
[NAT-acl-adv-3000] rule 2 permit ip source 192.168.0.0 0.0.255.255
[NAT-acl-adv-3000] quit
# 在出接口上配置出方向动态地址转换,允许使用地址组1中的地址对内网访问外网的报文进行源地址转换。
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] nat outbound 3000 address-group 1
# 在出接口上使能IP虚拟分片重组功能,用来解决NAT地址转换时因报文太大导致转换失败的问题。
[Router-GigabitEthernet0/0] ip virtual-reassembly
[Router-GigabitEthernet0/0] quit
# 配置Router到Portal服务器的静态路由,下一跳指向AC交换侧的地址。
[Router] ip route-static 8.0.0.0 8 138.10.1.1
# 创建VLAN 100,并配置对应接口IP地址,用来和Router通信。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] quit
[SwitchB] interface vlan-interface 100
[SwitchB-Vlan-interface100] ip address 192.100.1.2 16
[SwitchB-Vlan-interface100] quit
# 配置接口GigabitEthernet 1/0/1的类型为trunk,允许所有VLAN通过。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet 1/0/2上使能PoE为AP供电,类型为Trunk,允许所有VLAN通过,且PVID设置为100。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] poe enable
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/2] port trunk pvid vlan 100
[SwitchB-GigabitEthernet1/0/2] quit
# 创建VLAN168,并配置对应接口的IP地址,用来和无线客户端通信。
[SwitchB] vlan 168
[SwitchB-vlan168] quit
[SwitchB] interface vlan-interface 168
[SwitchB-Vlan-interface168] ip address 192.168.2.2 24
[SwitchB-Vlan-interface168] quit
# 配置与公网设备通信的静态路由,下一跳指向与Router直连的接口。
[SwitchB] ip route-static 0.0.0.0 0 192.100.1.3
# 配置Portal服务器地址为8.1.1.50,并指定服务器对应的url。
system-view
portal server pt ip 8.1.1.50 key simple 123456 url http://8.1.1.50:8080/portal
# 配置portal免认证规则1,用来放行AP上开启Portal服务的接口能够与Portal服务器通信。
portal free-rule 1 source interface GigabitEthernet 1/0/1 destination any
# 配置移动需求Portal参数。
portal device-id beijing-ac-01
portal url-param include nas-id param-name vlan
portal url-param include user-mac des-encrypt param-name wlanusermac
portal url-param include nas-ip param-name wlanacip
portal url-param include ap-mac param-name wlanapmac
portal url-param include user-url param-name wlanfirsturl
portal url-param include user-ip param-name wlanuserip
portal url-param include ac-name param-name wlanacname
portal url-param include ssid
# 创建VLAN 168及其接口,并进入接口视图。
vlan 168
interface vlan 168
# 开启直接认证方式的Portal认证。
portal server pt method direct
# 配置接口发送Portal报文使用的源地址为AC的地址。
portal nas-ip 138.10.1.80
# 配置通过WLAN获取Portal用户信息。
portal host-check wlan
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan all
(1) 配置Portal服务
# 配置Portal服务器。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,使用缺省配置。
图15 Portal服务器配置页面
# 增加Portal地址组。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入IP地址组配置页面。点击<增加>按钮,进入增加IP地址组页面。
· 输入IP地址组名:wjh-pt;
· 输入起始地址:192.168.2.0;
· 输入终止地址:192.168.3.255;
· 选择IP地址组的类型为“NAT”;
· 输入NAT转换后的起始地址和终止地址都为138.10.1.3;
· 其他采用默认配置,单击<确定>按钮完成操作。
图16 增加IP地址组配置页面
# 增加Portal设备。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 输入设备名:wjh;
· 输入IP地址:即AC上配置的portal bas-ip地址,138.10.1.80;
· 输入密钥:123456,与AC上配置的portal server密钥一致;
· 其他采用默认配置,单击<确定>按钮完成操作。
图17 增加设备信息配置页面
# 增加端口组信息。
在Portal设备配置页面中的设备信息列表中,单击<端口组信息管理>按钮(“
”图标),进入端口组信息配置页面。
图18 设备配置页面
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 输入端口组名:w-group;
· 选择IP地址组:wjh-pt;
· “是否NAT”选项中选择“是”;
· 其他采用默认配置,单击<确定>按钮完成操作。
图19 增加端口组信息
(2) 配置接入服务
# 增加接入设备。
选择“用户”标签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入到设备配置页面。在接入设备列表中单击<增加>按钮,进入增加接入设备页面。
· 选择手工增加接入设备,添加IP地址为138.10.1.80的接入设备,与AC上RADIUS方案中的nas-ip一致;
图20 手工增加接入设备
· 设置与AC交互报文时使用的认证、计费共享密钥为“123456”,该密码与AC配置RADIUS方案时的地址一致;
· 选择接入设备类型为“H3C(General)”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图21 增加接入设备
# 增加接入策略。
选择“用户”标签,单击导航树[接入策略管理/接入策略管理]菜单项,进入到接入策略配置页面。在接入策略列表中点击<增加>按钮。
· 接入策略名输入“wjh-portal”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图22 增加接入策略
# 增加接入服务。
选择“用户”标签,单击导航树[接入策略管理/接入服务管理]菜单项,进入到接入服务配置页面。在接入服务列表中点击<增加>按钮,进入增加接入服务页面。
· 服务名输入“wjh-portal”;
· 缺省接入策略“wjh-portal”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图23 增加接入服务
(3) 增加接入用户。
选择“用户”标签,单击导航树中的[接入用户管理/接入用户]菜单项,进入到接入用户配置页面。在接入用户列表中点击<增加>按钮,进入增加接入用户页面。
· 在增加接入用户页面,单击<增加用户>按钮弹出增加用户窗口;
· 输入用户名“wjh-portal”;
· 输入证件号码“111111”;
· 单击<检查是否可用>按钮;
· 如用户姓名和证件号码可用,单击<确定>按钮完成操作。
图24 增加用户
· 勾选接入服务“wjh-portal”;
· 单击<确定>按钮完成操作。
图25 增加接入用户
无线客户端使用SSID为portal-local的无线服务模板上线。在浏览器输入Portal服务器网段的任一地址,弹出Portal认证页面,输入Portal服务器上设置的用户名和密码进行认证上线。
图26 用户上线
# 当Portal用户认证成功并上线之后,AC会将用户规则下发到AP设备上,用户报文在AP上直接做转发。在AC上通过命令display portal user interface查看Portal用户成功上线。
<AC> display portal user interface Vlan-interface 168
Index:9
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
----------------------------------------------------------------------------
0021-631e-7911 192.168.2.100 168 Vlan-interface168
On interface Vlan-interface168:total 1 user(s) matched, 1 listed.
# 在AP上通过命令dis portal acl dynamic interface查看用户规则下发成功。
<ap1> display portal acl dynamic interface Vlan-interface ?
<1,168> VLAN interface
<ap1> display portal acl dynamic interface Vlan-interface 168
IPv4 portal ACL rules on Vlan-interface168:
Rule 0
Inbound interface : all
Type : dynamic
Action : permit
Source:
IP : 192.168.2.100
Mask : 255.255.255.255
MAC : 0021-631e-7911
Interface : any
VLAN : 168
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Author ACL:
Number : NONE
· SwitchA
#
vlan 10
#
vlan 138
#
interface Bridge-Aggregation4
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
ip address 138.10.1.1 255.255.0.0
#
interface Vlan-interface138
ip address 8.138.1.2 255.255.0.0
#
interface Ten-GigabitEthernet4/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
interface Ten-GigabitEthernet4/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
ip route-static 8.0.0.0 255.0.0.0 8.138.1.1
#
· AC
#
portal server pt ip 8.1.1.50 key simple 123456 url http://8.1.1.50:8080/portal
portal free-rule 1 source interface Bridge-Aggregation1 destination any
portal host-check wlan
#
wlan client learn-ipaddr enable
#
vlan 10
#
vlan 168
#
radius scheme portal
primary authentication 8.1.1.50
primary accounting 8.1.1.50
key authentication simple 123456
key accounting simple 123456
user-name-format without-domain
nas-ip 138.10.1.80
#
domain portal
authentication portal radius-scheme portal
authorization portal radius-scheme portal
accounting portal radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template service1 clear
ssid portal-local
bind WLAN-ESS 1
client forwarding-mode local
service-template enable
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
ip address 138.10.1.80 255.255.0.0
#
interface Vlan-interface168
ip address 192.168.1.1 255.255.0.0
portal server pt method direct
portal domain portal
portal nas-ip 138.10.1.80
portal forwarding-mode local
#
interface Ten-GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface Ten-GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface WLAN-ESS1
port access vlan 168
#
wlan ap ap1 model WA2620E-AGN id 1
serial-id 210235A42MB108000001
map-configuration apcfg.txt
radio 1
channel 161
service-template service1
radio enable
radio 2
#
ip route-static 0.0.0.0 0.0.0.0 138.10.1.1
#
arp-snooping enable
#
· Router
#
nat address-group 1 138.10.1.3 138.10.1.3
#
acl number 3000
rule 1 permit ip source 192.100.0.0 0.0.255.255
rule 2 permit ip source 192.168.0.0 0.0.255.255
#
dhcp server ip-pool 100
network 192.100.0.0 mask 255.255.0.0
gateway-list 192.100.1.3
option 43 hex 80070000 018A0A01 50
#
dhcp server ip-pool 168
network 192.168.2.0 mask 255.255.255.0
gateway-list 192.168.2.3
dns-list 192.168.2.3
dns-list 8.1.1.5
#
interface GigabitEthernet0/0
port link-mode route
nat outbound 3000 address-group 1
ip address 138.10.1.3 255.255.0.0
ip virtual-reassembly
#
interface GigabitEthernet0/1
port link-mode route
#
interface GigabitEthernet0/1.100
vlan-type dot1q vid 100
ip address 192.100.1.3 255.255.0.0
#
interface GigabitEthernet0/1.168
vlan-type dot1q vid 168
ip address 192.168.2.3 255.255.255.0
#
ip route-static 8.0.0.0 255.0.0.0 138.10.1.1
#
dhcp enable
#
· SwitchB
#
vlan 100
#
vlan 168
#
interface Vlan-interface100
ip address 192.100.1.2 255.255.0.0
#
interface Vlan-interface168
ip address 192.168.2.2 255.255.255.0
#
interface GigabitEthernet1/0/1
description routeg0/1
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/2
description ap-portal-local
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 100
poe enable
#
ip route-static 0.0.0.0 0.0.0.0 192.100.1.3
#
· 《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。
· 《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。
· 《H3C无线控制器产品 配置指导》中的“安全配置指导”。
· 《H3C无线控制器产品 命令参考》中的“安全命令参考”。
· 《H3C无线控制器产品 配置指导》中的“二层技术配置指导”。
· 《H3C无线控制器产品 命令参考》中的“二层技术命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
