华为配置WLAN外置Portal认证示例

小乔 · 发表于 2021-9-17 13:59:30

业务需求

某企业采用云AC对接入互联网的用户进行管理，将Controller服务器作为HACA服务器，部署在云端实现外置Portal服务器以及认证、计费服务器的功能。接入用户通过云AC到云端中的HACA服务器进行认证、计费，减少企业的日常网络维护成本。

组网需求

AC组网方式：旁挂二层组网。
DHCP部署方式：
- AC作为DHCP服务器为AP分配IP地址。
- 汇聚交换机SwitchB作为DHCP服务器为STA分配IP地址。
业务数据转发方式：隧道转发。
AAA方案：HACA方式。
认证方式：Portal认证。

图3-32 配置WLAN外置Portal认证示例（使用HACA方式）组网图

登录/注册后可看大图

数据规划

配置项

数据

AP管理VLAN

VLAN100

STA业务VLAN

VLAN101

DHCP服务器

AC作为DHCP服务器为AP分配IP地址

汇聚交换机SwitchB作为DHCP服务器为STA分配IP地址，STA的默认网关为10.23.101.2

AP的IP地址池

10.23.100.2～10.23.100.254/24

STA的IP地址池

10.23.101.3～10.23.101.254/24

AC的源接口IP地址

VLANIF100：10.23.100.1/24

AP组

名称：ap-group1
绑定模板：VAP模板wlan-net、域管理模板default

域管理模板

名称：default
国家码：CN

SSID模板

名称：wlan-net
SSID名称：wlan-net

安全模板

名称：wlan-net
安全策略：开放认证

HACA服务器模板

名称：wlan-net
IP地址：10.23.200.1
AC向Portal服务器主动发送报文时使用的目的端口号：50301
PKI域名称：default

Portal接入模板

名称：wlan-net
绑定的模板：Portal服务器模板wlan-net

Portal服务器模板

名称：wlan-net
Portal服务器的IP地址：10.23.200.1

免认证规则模板

名称：default_free_rule
免认证资源：DNS服务器的地址（8.8.8.8）

认证模板

名称：wlan-net
绑定的模板和认证方案：Portal接入模板wlan-net、认证方案wlan-net、免认证规则模板default_free_rule、HACA服务器模板wlan-net

VAP模板

名称：wlan-net
转发模式：隧道转发
业务VLAN：VLAN101
绑定模板：SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net

配置思路采用如下的思路进行WLAN配置：

配置AP、AC和周边网络设备之间实现网络互通。
将AC注册到iMaster NCE-Campus，通过iMaster NCE-Campus跳转到AC的Web网管。
使用配置向导，配置AC系统参数。
使用配置向导，配置AP在AC上线。
使用配置向导在AC上配置WLAN相关业务的相关参数。
在VAP模板下配置HACA认证。
在AP组下配置免认证规则。
配置iMaster NCE-Campus参数。
用户完成业务验证。

操作步骤

配置周边设备
# 配置接入交换机SwitchA的GE0/0/1和GE0/0/2接口加入VLAN100，GE0/0/1的缺省VLAN为VLAN100。<HUAWEI> system-view[HUAWEI] sysname SwitchA[SwitchA] vlan batch 100[SwitchA] interface gigabitethernet 0/0/1[SwitchA-GigabitEthernet0/0/1] port link-type trunk[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100[SwitchA-GigabitEthernet0/0/1] port-isolate enable[SwitchA-GigabitEthernet0/0/1] quit[SwitchA] interface gigabitethernet 0/0/2[SwitchA-GigabitEthernet0/0/2] port link-type trunk[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100[SwitchA-GigabitEthernet0/0/2] quit
# 配置汇聚交换机SwitchB的接口GE0/0/1和GE0/0/2加入VLAN100，接口GE0/0/2和GE0/0/3加入VLAN101。<HUAWEI> system-view[HUAWEI] sysname SwitchB[SwitchB] vlan batch 100 101[SwitchB] interface gigabitethernet 0/0/1[SwitchB-GigabitEthernet0/0/1] port link-type trunk[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100[SwitchB-GigabitEthernet0/0/1] quit[SwitchB] interface gigabitethernet 0/0/2[SwitchB-GigabitEthernet0/0/2] port link-type trunk[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101[SwitchB-GigabitEthernet0/0/2] quit[SwitchB] interface gigabitethernet 0/0/3[SwitchB-GigabitEthernet0/0/3] port link-type trunk[SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 101[SwitchB-GigabitEthernet0/0/3] quit
# 配置Router的接口GE1/0/0加入VLAN101，创建接口VLANIF101并配置IP地址为10.23.101.2/24。<Huawei> system-view[Huawei] sysname Router[Router] vlan batch 101[Router] interface gigabitethernet 1/0/0[Router-GigabitEthernet1/0/0] port link-type trunk[Router-GigabitEthernet1/0/0] port trunk allow-pass vlan 101[Router-GigabitEthernet1/0/0] quit[Router] interface vlanif 101[Router-Vlanif101] ip address 10.23.101.2 24[Router-Vlanif101] quit
配置DHCP服务器为STA分配IP地址并指定STA网关
# 在SwitchB上配置VLANIF101接口为STA提供IP地址，并指定10.23.101.2作为STA的默认网关地址。
登录/注册后可看大图
DNS服务器地址请根据实际需要配置。常用配置方法如下：
- 接口地址池场景，需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
- 全局地址池场景，需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
[SwitchB] dhcp enable[SwitchB] interface vlanif 101[SwitchB-Vlanif101] ip address 10.23.101.1 24[SwitchB-Vlanif101] dhcp select interface[SwitchB-Vlanif101] dhcp server gateway-list 10.23.101.2[SwitchB-Vlanif101] quit
将AC注册到iMaster NCE-Campus并添加AP，AC注册到iMaster NCE-Campus的操作步骤请参见《配置指南-配置AC云化管理》，添加AP的操作步骤请参见智简园区网络解决方案产品文档。
通过Internet登录iMaster NCE-Campus，跳转到AC的Web网管，可以远程配置WLAN业务数据。
- 选择站点。
  - 在主菜单中选择“部署 > 站点 > 站点配置”。
  - 在左上角“站点”下拉框中选择站点，将该站点设为操作对象。
- 在左侧导航中选择“AC(Fit AP) > Fit AP”。
- 单击“设备名称”下对应AC设备的名称，跳转到AC设备管理详情页面。
- 单击右上角的“打开Web网管”按钮，打开AC的Web网管页面并登录。
  
  登录/注册后可看大图
配置AC系统参数
- 配置AC基本参数。
  
  # 单击“配置 > 配置向导 > AC”，进入“AC基本配置”页面。
  # “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。
  
  登录/注册后可看大图
  # 单击页面下方的“下一步”，进入“端口配置”页面。
- 配置端口。
  # 选择接口“GigabitEthernet0/0/1”，展开“批量修改”，选择“接口类型”为“Trunk”，将“GigabitEthernet0/0/1”加入VLAN100（管理VLAN）和VLAN101（业务VLAN）。
  
  登录/注册后可看大图
  如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。
  
  登录/注册后可看大图
  
  # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。
  # 单击“下一步”，进入“网络互联配置”页面。
- 配置网络互联。
  
  # 配置“DHCP状态”为“ON”。
  # 单击“接口配置”下的“新建”，进入“新建接口配置”页面。
  # 配置接口VLANIF100的IP地址为10.23.100.1/24。
  
  登录/注册后可看大图
  
  # 以同样方式配置接口VLANIF101的IP地址为10.23.101.3/24。
  # 单击“DHCPv4地址池列表”下的“新建”，采用“接口地址池”，选择接口VLANIF100。
  
  登录/注册后可看大图
  # 单击“确定”，完成VLANIF100接口地址池的配置。
  # 单击“静态路由表”下的“新建”，进入“新建静态路由表”页面。
  # 配置缺省路由，指定下一跳为10.23.101.2。
  
  登录/注册后可看大图
  
  # 单击“确定”，完成静态路由的配置。
  # 单击“下一步”。
  # 单击“下一步”，进入“AC源地址”页面。
- 配置AC源地址。
  
  # “AC源地址”选择“VLANIF”，单击选择按钮，选择“Vlanif100”。
  
  登录/注册后可看大图
  
  # 单击“下一步”，进入“配置确认”页面。
- 配置确认。
  
  # 确认配置，单击“完成并继续AP上线配置”。
配置AP上线
- 配置AP上线。
  
  # 单击“下一步”，进入“AP分组”页面。
  # 单击“AP组列表”右侧的
  
  登录/注册后可看大图
  ，进入新建AP组页面。
  # 创建“AP组名称”为“ap-group1”，单击“确定”。
  # 单击“加入”，选择iMaster NCE-Campus上添加的AP，将此AP加入到AP组“ap-group1”。
  # 单击“确定”。
  # 单击“下一步”。
- 配置确认。
  
  # 确认配置，单击“完成并继续无线业务配置”。
配置无线业务

# 单击“新建”，进入“基本信息”页面。
# 配置SSID名称、转发模式、业务VLAN ID等信息。

登录/注册后可看大图

# 单击“下一步”，进入“安全认证”页面。
# 选择“安全配置”为“不认证（个人网络适用）”。
# 单击“下一步”，进入“接入控制”页面。
# 选择“绑定AP组”为“ap-group1”。
# 单击“完成”。
配置HACA认证
- 创建名为“wlan-net”的认证模板。
  
  # 依次单击“配置 > AP配置 > AP组配置”，进入“AP组”页面。
  # 选择AP组“ap-group1”，进入AP组配置页面。
  # 选择“VAP配置 > wlan-net > 认证模板”，进入“认证模板”页面。
  # 选择“接入方式”为“Portal接入”，“Portal选项”为“HACA接入”。
  
  登录/注册后可看大图
  # 单击“应用”，在弹出的对话框中单击“确定”。
- 配置HACA接入参数。
  
  # 单击“认证模板”前的
  
  登录/注册后可看大图
  ，选择“HACA接入配置”，进入“Portal模板”界面。
  # 单击“Portal服务器组”后面的
  
  登录/注册后可看大图
  ，进入“Portal认证服务器列表”页面。
  # 单击“新建”，进入“新建Portal服务器组配置”页面，配置“服务器名称”为“wlan-net”，“服务器IP地址”为“10.23.200.1”，“重定向配置”中的参数配置为：
  - AC-MAC关键字：lsw-mac
  - 用户访问URL关键字：redirect-url
  - 用户MAC关键字：umac
  - 用户IP地址关键字：uaddress
  - SSID关键字：ssid
  登录/注册后可看大图
  # 单击“确定”，在服务器名称列表中选择新建的名为“wlan-net”的服务器，单击“确定”。
  # 单击“应用”，在弹出的对话框中单击“确定”。
- 配置HACA服务器。
  
  # 单击“认证模板”前的
  
  登录/注册后可看大图
  ，选择“HACA服务器配置”，进入“HACA服务器配置”界面。
  # 在“HACA服务器模板”页签下单击“新建”，进入“新建HACA服务器模板”页面。配置“模板名称”为“wlan-net”，开启“HACA功能”，配置“IP地址”为“10.23.200.1”，“端口号”为“50301”，“证书名称”为“default”
  
  登录/注册后可看大图
  # 单击“确定”，在弹出的对话框中单击“确定”。
  # 选择“HACA服务器模板”为“wlan-net”，“计费模式”为“HACA计费”，“开始计费失败策略”为“允许用户上线”。
  
  登录/注册后可看大图
  # 单击“应用”，在弹出的对话框中单击“确定”。
配置用户免认证时可以访问的网络资源
- 依次单击“配置 > AP配置 > 模板管理”，进入“模板管理”页面。
- 依次选择“无线业务 > VAP模板 > wlan-net > 认证模板 > 免认证规则模板”，进入“免认证规则模板”界面。
- 选择“免认证规则模板”为“default_free_rule”。
- 在“控制方式”处选择“免认证规则”。
- 单击“新建”，进入“新建免认证规则”页面，配置“规则编号”为“1”，免认证的目的IP地址为DNS服务器的IP地址。
  
  登录/注册后可看大图
- 单击“确定”。
- 选中规则编号为1的免认证规则，单击“应用”，在弹出的提示页面中单击“确定”，完成配置。
在iMaster NCE-Campus上配置用户组和用户。
- 在主菜单中选择“准入 > 用户管理 > 用户”。
- 单击
  
  登录/注册后可看大图
  ，通过Excel模板批量导入用户和用户组。下载表格，填写用户组和用户信息，然后将填好的表格上传。
- 单击“确定”。
在iMaster NCE-Campus上配置认证相关参数。
- 选择站点。
  - 在主菜单中选择“部署 > 站点 > 站点配置”。
  - 在左上角“站点”下拉框中选择站点，将该站点设为操作对象。
- 在左侧导航中选择“AC(Fit AP) > 认证”。
- 单击“添加”，配置认证相关参数。
  - 名称：wlan-net
  - SSID：wlan-net，与在设备上配置的SSID保持一致
  - 认证方式：开放网络
  - 推送方式：快速推送
  - 推送页面：中文默认用户名密码认证定制页面
  - 用户所属组：Guest
  登录/注册后可看大图
- 单击“确定”。
检查配置结果
- 完成配置后，STA可以搜索到SSID为wlan-net的无线网络。
- STA关联到无线网络上后，能够被分配相应的IP地址。
- STA上打开浏览器访问网络时，会自动跳转到Portal服务器提供的认证页面，在页面上输入正确的用户名和密码后，STA认证成功并可以访问网络。

尤欧 · 发表于 2021-11-5 16:30:44

第一个吗

人在旅途2013 · 发表于 2021-11-9 12:08:09

lifk · 发表于 2021-11-11 14:27:48

hugo_26 · 发表于 2021-11-16 19:22:36

华为配置WLAN外置Portal认证示例

账号		自动登录	找回密码
密码			论坛注册

[分享] 华为配置WLAN外置Portal认证示例

客服中心

投诉建议