配置Portal认证下的iConnect终端不认证即上线示例
组网需求企业使用HTTPS方式进行Portal认证。如图24-148所示,某企业AC直连AP。通过WLAN部署,提供名为“wlan-net”的无线网络方便员工接入。同时,AC作为DHCP服务器为无线用户提供10.23.101.0/24网段的IP地址。为降低企业网络安全风险,加之AC与员工STA之间属于二层网络,可在AC上部署二层Portal认证并结合RADIUS服务器(RADIUS服务器与Portal服务器集成在一起),对接入网络的STA进行准入控制,满足企业的安全性需求。对于WLAN网络中的物联终端采用iConnect终端不认证即上线功能。配置思路图24-148 配置Portal认证下的iConnect终端不认证即上线组网图
https://download.huawei.com/mdl/image/download?uuid=847f6ccd18d44bcc955e80aa550a32f2
[*]配置WLAN基本业务,实现AC与上下游网络互通和AP上线。
[*]配置RADIUS认证参数。
[*]配置Portal服务器模板。
[*]配置Portal接入模板,并配置Portal认证为二层Portal认证。
[*]配置免认证规则模板,实现AC放行访问DNS服务器的报文。
[*]配置认证模板,管理NAC认证的相关配置。
[*]配置iConnect终端不认证即上线功能。
[*]配置WLAN业务参数,在VAP模板下绑定安全策略模板和认证模板等,对访问WLAN网络的STA进行接入控制。
数据规划
配置项数据
RADIUS认证参数RADIUS认证方案名称:radius_huaweiRADIUS计费方案名称:scheme1RADIUS服务器模板名称:radius_huawei,其中:
[*]IP地址:10.23.200.1
[*]认证端口号:1812
[*]计费端口号:1813
[*]共享密钥:Huawei@123
SSL策略
[*]名称:huawei
[*]pki域:default
Portal服务器模板
[*]名称:abc
[*]IP地址:10.23.200.1
[*]URL地址:https://10.23.200.1:8445/portal
[*]Portal认证共享密钥:Admin@123
Portal接入模板
[*]名称:portal1
[*]绑定的模板:Portal服务器模板abc
免认证规则模板
[*]名称:default_free_rule
[*]免认证资源:DNS服务器的地址(10.23.200.2)
认证模板
[*]名称:p1
[*]绑定的模板和认证方案:Portal接入模板portal1、RADIUS服务器模板radius_huawei、RADIUS认证方案radius_huawei、RADIUS计费方案scheme1、免认证规则模板default_free_rule
[*]iConnect:开启
DHCP服务器AC作为DHCP服务器为STA和AP分配IP地址
AP的IP地址池10.23.100.2~10.23.100.254/24
STA的IP地址池10.23.101.2~10.23.101.254/24
AC的源接口IP地址VLANIF100:10.23.100.1/24
AP组
[*]名称:ap-group1
[*]绑定模板:VAP模板wlan-vap、域管理模板domain1
域管理模板
[*]名称:domain1
[*]国家码:CN
SSID模板
[*]名称:wlan-ssid
[*]SSID名称:wlan-net
安全模板
[*]名称:wlan-security
[*]安全策略:开放认证
VAP模板
[*]名称:wlan-vap
[*]转发模式:隧道转发
[*]业务VLAN:VLAN101
[*]iConnect:开启
[*]绑定模板:SSID模板wlan-ssid、安全模板wlan-security、认证模板p1
操作步骤
[*]配置AC,使AP与AC之间能够传输CAPWAP报文
# 配置AC,将接口GE0/0/1加入VLAN100(管理VLAN)。https://download.huawei.com/mdl/image/download?uuid=0fe80ea274ca41cba237e35b92e53027本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,建议在AC连接AP的接口GE0/0/1上配置端口隔离,如果不配置端口隔离,可能会在VLAN内产生不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。
<HUAWEI> system-view sysname AC vlan batch 100 101 interface gigabitethernet 0/0/1 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan 100 quit
[*]配置AC与上层网络设备互通
# 配置AC上行接口GE0/0/2加入VLAN101(业务VLAN)。 interface gigabitethernet 0/0/2 port link-type trunk port trunk allow-pass vlan 101 quit
[*]配置AC作为DHCP服务器,为STA和AP分配IP地址
# 配置基于接口地址池的DHCP服务器,其中,VLANIF100接口地址池为AP提供IP地址,VLANIF101接口地址池为STA提供IP地址。 dhcp enable interface vlanif 100 ip address 10.23.100.1 24 dhcp select interface quit interface vlanif 101 ip address 10.23.101.1 24 dhcp select interface dhcp server dns-list 10.23.200.2 quit
[*]配置AC到服务器区的路由(假设与AC相连的上游设备的IP地址为10.23.101.2)
ip route-static 10.23.200.0 255.255.255.0 10.23.101.2
[*]配置AP上线
# 创建AP组,用于将相同配置的AP都加入同一AP组中。 wlan ap-group name ap-group1 quit# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。 regulatory-domain-profile name domain1 country-code cn quit ap-group name ap-group1 regulatory-domain-profile domain1Continue?:y quit quit# 配置AC的源接口。 capwap source interface vlanif 100
# 在AC上离线导入AP,并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。https://download.huawei.com/mdl/image/download?uuid=0fe80ea274ca41cba237e35b92e53027ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth命令。举例中使用的AP为AP5030DN,具有射频0和射频1两个射频。AP5030DN的射频0为2.4GHz射频,射频1为5GHz射频。
wlan ap auth-mode mac-auth ap-id 0 ap-mac 60de-4476-e360 ap-name area_1 ap-group ap-group1Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? :y quit quit# 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。 display ap allTotal AP information: nor: normal Extrainfo : Extra information P: insufficient power supply -------------------------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime ExtraInfo -------------------------------------------------------------------------------------------------- 0 60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN nor 0 10S - -------------------------------------------------------------------------------------------------- Total: 1
[*]配置RADIUS服务器模板、RADIUS认证方案和RADIUS计费方案
https://download.huawei.com/mdl/image/download?uuid=0fe80ea274ca41cba237e35b92e53027请确保RADIUS服务器地址、端口号、共享密钥配置正确,并且和RADIUS服务器保持一致。
# 配置RADIUS服务器模板。 radius-server template radius_huawei radius-server authentication 10.23.200.1 1812 radius-server accounting 10.23.200.1 1813 radius-server shared-key cipher Example@123 quit# 配置RADIUS方式的认证方案。 aaa authentication-scheme radius_huawei authentication-mode radius quit# 配置RADIUS方式的计费方案。 accounting-scheme scheme1 accounting-mode radius accounting realtime 15 quit quithttps://download.huawei.com/mdl/image/download?uuid=0fe80ea274ca41cba237e35b92e53027
[*]以设备与Agile Controller-Campus对接为例,计费功能并非真实意义上的计算费用,而是通过计费报文维护终端的在线信息。
[*]accounting realtime命令用来配置实时计费间隔。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置实时计费间隔。
用户数实时计费间隔
1~993min
100~4996min
500~99912min
≥1000≥15min
[*]配置使用HTTPS协议进行Portal认证
https://download.huawei.com/mdl/image/download?uuid=0fe80ea274ca41cba237e35b92e53027使用HTTPS协议的Portal认证,需配置SSL策略。
ssl policy huawei type server pki-realm default quit http secure-server ssl-policy huawei portal web-authen-server https ssl-policy huawei portal web-authen-server server-source all-interface//V200R021C00以及之后的版本,必须使用portal web-authen-server server-source命令配置设备可以接收和响应终端的本机网关地址,才能正常使用Portal对接功能。 web-auth-server abc protocol http quit
[*]配置Portal服务器模板
https://download.huawei.com/mdl/image/download?uuid=0fe80ea274ca41cba237e35b92e53027请确保Portal服务器地址、URL地址、端口号、共享密钥配置正确,并且和Portal服务器保持一致。
web-auth-server abc server-ip 10.23.200.1 shared-key cipher Admin@123 url https://10.23.200.1:8445/portal quit
[*]配置Portal接入模板“portal1”,并配置Portal认证为二层Portal认证
portal-access-profile name portal1 web-auth-server abc direct quit
[*]配置免认证规则模板
free-rule-template name default_free_rule free-rule 1 destination ip 10.23.200.2 mask 24 quit
[*]配置认证模板“p1”
authentication-profile name p1 portal-access-profile portal1 free-rule-template default_free_rule authentication-scheme radius_huawei accounting-scheme scheme1 radius-server radius_huawei authentication device-type iconnect authorize quit
[*]配置WLAN业务参数
# 创建名为“wlan-security”的安全模板,并配置安全策略。 wlan security-profile name wlan-security security open quit# 创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。 ssid-profile name wlan-ssid ssid wlan-net quit# 创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板和认证模板。 vap-profile name wlan-vap forward-mode tunnel service-vlan vlan-id 101 security-profile wlan-security ssid-profile wlan-ssid authentication-profile p1 iconnect enable quit# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。 ap-group name ap-group1 vap-profile wlan-vap wlan 1 radio 0 vap-profile wlan-vap wlan 1 radio 1 quit
[*]检查配置结果
[*]完成配置后,STA可以搜索到SSID为wlan-net的无线网络。
[*]STA关联到无线网络上后,能够被分配相应的IP地址。
[*]STA上打开浏览器访问网络时,会自动跳转到Portal服务器提供的认证页面,在页面上输入正确的用户名和密码后,STA认证成功并可以访问网络。
[*]iConnect终端可以接入无线网络。
配置文件AC的配置文件
# sysname AC# http secure-server ssl-policy huawei # vlan batch 100 to 101#authentication-profile name p1 portal-access-profile portal1 free-rule-template default_free_rule authentication device-type iconnect authorize authentication-scheme radius_huawei accounting-scheme scheme1 radius-server radius_huawei#portal web-authen-server server-source all-interfaceportal web-authen-server https ssl-policy huawei # dhcp enable#radius-server template radius_huawei radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%# radius-server authentication 10.23.200.1 1812 weight 80 radius-server accounting 10.23.200.1 1813 weight 80# ssl policy huawei type server pki-realm default #free-rule-template name default_free_rule free-rule 1 destination ip 10.23.200.2 mask 255.255.255.0 # web-auth-server abc server-ip 10.23.200.1 shared-key cipher %^%#4~ZXE3]6@BXu;2;aw}hA{rSb,@"L@T#e{%6G1AiD%^%# url https://10.23.200.1:8445/portal protocol http#portal-access-profile name portal1 web-auth-server abc direct#aaa authentication-scheme radius_huaweiauthentication-mode radius accounting-scheme scheme1accounting-mode radiusaccounting realtime 15#interface Vlanif100 ip address 10.23.100.1 255.255.255.0 dhcp select interface#interface Vlanif101 ip address 10.23.101.1 255.255.255.0 dhcp select interface dhcp server dns-list 10.23.200.2 #interface GigabitEthernet0/0/1 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan 100#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 101#ip route-static 10.23.200.0 255.255.255.0 10.23.101.2#capwap source interface vlanif100#wlan security-profile name wlan-securitysecurity open ssid-profile name wlan-ssidssid wlan-net vap-profile name wlan-vapforward-mode tunnelservice-vlan vlan-id 101ssid-profile wlan-ssidsecurity-profile wlan-securityauthentication-profile p1iconnect enable regulatory-domain-profile name domain1 ap-group name ap-group1regulatory-domain-profile domain1radio 0 vap-profile wlan-vap wlan 1radio 1 vap-profile wlan-vap wlan 1 ap-id 0 ap-mac 60de-4476-e360ap-name area_1ap-group ap-group1#return
页:
[1]