配置Portal认证下的iConnect终端不认证即上线示例

小乔

组网需求

企业使用HTTPS方式进行Portal认证。

如图24-148所示，某企业AC直连AP。通过WLAN部署，提供名为“wlan-net”的无线网络方便员工接入。同时，AC作为DHCP服务器为无线用户提供10.23.101.0/24网段的IP地址。

为降低企业网络安全风险，加之AC与员工STA之间属于二层网络，可在AC上部署二层Portal认证并结合RADIUS服务器（RADIUS服务器与Portal服务器集成在一起），对接入网络的STA进行准入控制，满足企业的安全性需求。

对于WLAN网络中的物联终端采用iConnect终端不认证即上线功能。

配置思路图24-148 配置Portal认证下的iConnect终端不认证即上线组网图

                               
登录/注册后可看大图

• 配置WLAN基本业务，实现AC与上下游网络互通和AP上线。
• 配置RADIUS认证参数。
• 配置Portal服务器模板。
• 配置Portal接入模板，并配置Portal认证为二层Portal认证。
• 配置免认证规则模板，实现AC放行访问DNS服务器的报文。
• 配置认证模板，管理NAC认证的相关配置。
• 配置iConnect终端不认证即上线功能。
• 配置WLAN业务参数，在VAP模板下绑定安全策略模板和认证模板等，对访问WLAN网络的STA进行接入控制。
  

数据规划

配置项	数据
RADIUS认证参数	RADIUS认证方案名称：radius_huawei RADIUS计费方案名称：scheme1 RADIUS服务器模板名称：radius_huawei，其中： IP地址：10.23.200.1 认证端口号：1812 计费端口号：1813 共享密钥：Huawei@123
SSL策略	名称：huawei pki域：default
Portal服务器模板	名称：abc IP地址：10.23.200.1 URL地址：https://10.23.200.1:8445/portal Portal认证共享密钥：Admin@123
Portal接入模板	名称：portal1 绑定的模板：Portal服务器模板abc
免认证规则模板	名称：default_free_rule 免认证资源：DNS服务器的地址（10.23.200.2）
认证模板	名称：p1 绑定的模板和认证方案：Portal接入模板portal1、RADIUS服务器模板radius_huawei、RADIUS认证方案radius_huawei、RADIUS计费方案scheme1、免认证规则模板default_free_rule iConnect：开启
DHCP服务器	AC作为DHCP服务器为STA和AP分配IP地址
AP的IP地址池	10.23.100.2～10.23.100.254/24
STA的IP地址池	10.23.101.2～10.23.101.254/24
AC的源接口IP地址	VLANIF100：10.23.100.1/24
AP组	名称：ap-group1 绑定模板：VAP模板wlan-vap、域管理模板domain1
域管理模板	名称：domain1 国家码：CN
SSID模板	名称：wlan-ssid SSID名称：wlan-net
安全模板	名称：wlan-security 安全策略：开放认证
VAP模板	名称：wlan-vap 转发模式：隧道转发 业务VLAN：VLAN101 iConnect：开启 绑定模板：SSID模板wlan-ssid、安全模板wlan-security、认证模板p1

操作步骤

• 配置AC，使AP与AC之间能够传输CAPWAP报文
  
  # 配置AC，将接口GE0/0/1加入VLAN100（管理VLAN）。
  
                                 
  登录/注册后可看大图
  本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发，建议在AC连接AP的接口GE0/0/1上配置端口隔离，如果不配置端口隔离，可能会在VLAN内产生不必要的广播报文，或者导致不同AP间的WLAN用户二层互通的问题。
  隧道转发模式下，管理VLAN和业务VLAN不能配置为同一VLAN。
  
  
  <HUAWEI> system-view[HUAWEI] sysname AC[AC] vlan batch 100 101[AC] interface gigabitethernet 0/0/1[AC-GigabitEthernet0/0/1] port link-type trunk[AC-GigabitEthernet0/0/1] port trunk pvid vlan 100[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100[AC-GigabitEthernet0/0/1] quit
• 配置AC与上层网络设备互通
  
  # 配置AC上行接口GE0/0/2加入VLAN101（业务VLAN）。
  [AC] interface gigabitethernet 0/0/2[AC-GigabitEthernet0/0/2] port link-type trunk[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101[AC-GigabitEthernet0/0/2] quit
• 配置AC作为DHCP服务器，为STA和AP分配IP地址
  
  # 配置基于接口地址池的DHCP服务器，其中，VLANIF100接口地址池为AP提供IP地址，VLANIF101接口地址池为STA提供IP地址。
  [AC] dhcp enable[AC] interface vlanif 100[AC-Vlanif100] ip address 10.23.100.1 24[AC-Vlanif100] dhcp select interface[AC-Vlanif100] quit[AC] interface vlanif 101[AC-Vlanif101] ip address 10.23.101.1 24[AC-Vlanif101] dhcp select interface[AC-Vlanif101] dhcp server dns-list 10.23.200.2[AC-Vlanif101] quit
• 配置AC到服务器区的路由（假设与AC相连的上游设备的IP地址为10.23.101.2）
  [AC] ip route-static 10.23.200.0 255.255.255.0 10.23.101.2
• 配置AP上线
  
  # 创建AP组，用于将相同配置的AP都加入同一AP组中。
  [AC] wlan[AC-wlan-view] ap-group name ap-group1[AC-wlan-ap-group-ap-group1] quit
  # 创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
  [AC-wlan-view] regulatory-domain-profile name domain1[AC-wlan-regulate-domain-domain1] country-code cn[AC-wlan-regulate-domain-domain1] quit[AC-wlan-view] ap-group name ap-group1[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1Continue?[Y/N]:y  [AC-wlan-ap-group-ap-group1] quit[AC-wlan-view] quit# 配置AC的源接口。[AC] capwap source interface vlanif 100
  # 在AC上离线导入AP，并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360，并且根据AP的部署位置为AP配置名称，便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域，命名此AP为area_1。
  
                                 
  登录/注册后可看大图
  ap auth-mode命令缺省情况下为MAC认证，如果之前没有修改其缺省配置，可以不用执行ap auth-mode mac-auth命令。
  举例中使用的AP为AP5030DN，具有射频0和射频1两个射频。AP5030DN的射频0为2.4GHz射频，射频1为5GHz射频。
  
  
  
  [AC] wlan[AC-wlan-view] ap auth-mode mac-auth[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360[AC-wlan-ap-0] ap-name area_1[AC-wlan-ap-0] ap-group ap-group1Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y  [AC-wlan-ap-0] quit[AC-wlan-view] quit
  # 将AP上电后，当执行命令display ap all查看到AP的“State”字段为“nor”时，表示AP正常上线。
  [AC] display ap allTotal AP information: nor  : normal          [1] Extrainfo : Extra information P  : insufficient power supply -------------------------------------------------------------------------------------------------- ID   MAC            Name   Group     IP            Type            State STA Uptime      ExtraInfo -------------------------------------------------------------------------------------------------- 0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S         - -------------------------------------------------------------------------------------------------- Total: 1
• 配置RADIUS服务器模板、RADIUS认证方案和RADIUS计费方案
  
  
                                 
  登录/注册后可看大图
  请确保RADIUS服务器地址、端口号、共享密钥配置正确，并且和RADIUS服务器保持一致。
  
  
  
  # 配置RADIUS服务器模板。
  [AC] radius-server template radius_huawei[AC-radius-radius_huawei] radius-server authentication 10.23.200.1 1812[AC-radius-radius_huawei] radius-server accounting 10.23.200.1 1813[AC-radius-radius_huawei] radius-server shared-key cipher Example@123[AC-radius-radius_huawei] quit
  # 配置RADIUS方式的认证方案。
  [AC] aaa[AC-aaa] authentication-scheme radius_huawei[AC-aaa-authen-radius_huawei] authentication-mode radius[AC-aaa-authen-radius_huawei] quit
  # 配置RADIUS方式的计费方案。
  [AC-aaa] accounting-scheme scheme1[AC-aaa-accounting-scheme1] accounting-mode radius[AC-aaa-accounting-scheme1] accounting realtime 15[AC-aaa-accounting-scheme1] quit[AC-aaa] quit
  
                                 
  登录/注册后可看大图
  • 以设备与Agile Controller-Campus对接为例，计费功能并非真实意义上的计算费用，而是通过计费报文维护终端的在线信息。
  • accounting realtime命令用来配置实时计费间隔。实时计费间隔的取值对设备和RADIUS服务器的性能有要求，实时计费间隔的取值越小，对设备和RADIUS服务器的性能就越高。请根据用户数设置实时计费间隔。
    
    
  
  
  [td]
  

  用户数	实时计费间隔
  1～99	3min
  100～499	6min
  500～999	12min
  ≥1000	≥15min

• 配置使用HTTPS协议进行Portal认证
  
  
                                 
  登录/注册后可看大图
  使用HTTPS协议的Portal认证，需配置SSL策略。
  
  
  [AC] ssl policy huawei type server[AC-ssl-policy-huawei] pki-realm default[AC-ssl-policy-huawei] quit[AC] http secure-server ssl-policy huawei[AC] portal web-authen-server https ssl-policy huawei[AC] portal web-authen-server server-source all-interface  //V200R021C00以及之后的版本，必须使用portal web-authen-server server-source命令配置设备可以接收和响应终端的本机网关地址，才能正常使用Portal对接功能。[AC] web-auth-server abc[AC-web-auth-server-abc] protocol http[AC-web-auth-server-abc] quit
• 配置Portal服务器模板
  
  
                                 
  登录/注册后可看大图
  请确保Portal服务器地址、URL地址、端口号、共享密钥配置正确，并且和Portal服务器保持一致。
  
  
  [AC] web-auth-server abc[AC-web-auth-server-abc] server-ip 10.23.200.1[AC-web-auth-server-abc] shared-key cipher Admin@123[AC-web-auth-server-abc] url https://10.23.200.1:8445/portal[AC-web-auth-server-abc] quit
• 配置Portal接入模板“portal1”，并配置Portal认证为二层Portal认证
  [AC] portal-access-profile name portal1[AC-portal-access-profile-portal1] web-auth-server abc direct[AC-portal-access-profile-portal1] quit
• 配置免认证规则模板
  [AC] free-rule-template name default_free_rule[AC-free-rule-default_free_rule] free-rule 1 destination ip 10.23.200.2 mask 24[AC-free-rule-default_free_rule] quit
• 配置认证模板“p1”
  [AC] authentication-profile name p1[AC-authentication-profile-p1] portal-access-profile portal1[AC-authentication-profile-p1] free-rule-template default_free_rule[AC-authentication-profile-p1] authentication-scheme radius_huawei[AC-authentication-profile-p1] accounting-scheme scheme1[AC-authentication-profile-p1] radius-server radius_huawei[AC-authentication-profile-p1] authentication device-type iconnect authorize[AC-authentication-profile-p1] quit
• 配置WLAN业务参数
  
  # 创建名为“wlan-security”的安全模板，并配置安全策略。
  [AC] wlan[AC-wlan-view] security-profile name wlan-security[AC-wlan-sec-prof-wlan-security] security open[AC-wlan-sec-prof-wlan-security] quit
  # 创建名为“wlan-ssid”的SSID模板，并配置SSID名称为“wlan-net”。
  [AC-wlan-view] ssid-profile name wlan-ssid[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net[AC-wlan-ssid-prof-wlan-ssid] quit
  # 创建名为“wlan-vap”的VAP模板，配置业务数据转发模式、业务VLAN，并且引用安全模板、SSID模板和认证模板。
  [AC-wlan-view] vap-profile name wlan-vap[AC-wlan-vap-prof-wlan-vap] forward-mode tunnel[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid[AC-wlan-vap-prof-wlan-vap] authentication-profile p1[AC-wlan-vap-prof-wlan-vap] iconnect enable[AC-wlan-vap-prof-wlan-vap] quit
  # 配置AP组引用VAP模板，AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。
  [AC-wlan-view] ap-group name ap-group1[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1[AC-wlan-ap-group-ap-group1] quit
• 检查配置结果
  
  • 完成配置后，STA可以搜索到SSID为wlan-net的无线网络。
  • STA关联到无线网络上后，能够被分配相应的IP地址。
  • STA上打开浏览器访问网络时，会自动跳转到Portal服务器提供的认证页面，在页面上输入正确的用户名和密码后，STA认证成功并可以访问网络。
  • iConnect终端可以接入无线网络。
    
  
  配置文件AC的配置文件
  # sysname AC#   http secure-server ssl-policy huawei                                           #    vlan batch 100 to 101#authentication-profile name p1 portal-access-profile portal1 free-rule-template default_free_rule authentication device-type iconnect authorize authentication-scheme radius_huawei accounting-scheme scheme1 radius-server radius_huawei#portal web-authen-server server-source all-interfaceportal web-authen-server https ssl-policy huawei                     #   dhcp enable#radius-server template radius_huawei radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%# radius-server authentication 10.23.200.1 1812 weight 80 radius-server accounting 10.23.200.1 1813 weight 80#                                                                               ssl policy huawei type server                                                    pki-realm default                                                              #free-rule-template name default_free_rule                                                                                           free-rule 1 destination ip 10.23.200.2 mask 255.255.255.0                                                                          # web-auth-server abc server-ip 10.23.200.1 shared-key cipher %^%#4~ZXE3]6@BXu;2;aw}hA{rSb,@"L@T#e{%6G1AiD%^%# url https://10.23.200.1:8445/portal protocol http#portal-access-profile name portal1 web-auth-server abc direct#aaa authentication-scheme radius_huawei  authentication-mode radius accounting-scheme scheme1  accounting-mode radius  accounting realtime 15#interface Vlanif100 ip address 10.23.100.1 255.255.255.0 dhcp select interface#interface Vlanif101 ip address 10.23.101.1 255.255.255.0 dhcp select interface dhcp server dns-list 10.23.200.2 #interface GigabitEthernet0/0/1 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan 100#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 101#ip route-static 10.23.200.0 255.255.255.0 10.23.101.2#  capwap source interface vlanif100#wlan security-profile name wlan-security  security open ssid-profile name wlan-ssid  ssid wlan-net vap-profile name wlan-vap  forward-mode tunnel  service-vlan vlan-id 101  ssid-profile wlan-ssid  security-profile wlan-security  authentication-profile p1  iconnect enable regulatory-domain-profile name domain1 ap-group name ap-group1  regulatory-domain-profile domain1  radio 0   vap-profile wlan-vap wlan 1  radio 1   vap-profile wlan-vap wlan 1 ap-id 0 ap-mac 60de-4476-e360  ap-name area_1  ap-group ap-group1#return