023 |
您所在的位置:网站首页 › mac商城 › 023 |
1 简介
本文档介绍本地Portal MAC-Trigger快速认证配置举例。 2 配置前提本文档适用于使用Comware软件版本的无线控制器和接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解AAA、Portal、WLAN特性。 3 配置举例 3.1 组网需求如图1所示,AP和Client通过DHCP服务器获取IP地址,AC同时作为Portal认证服务器和Portal Web服务器、MAC绑定服务器,要求: · AC采用直接方式的Portal认证。 · Client在通过Portal认证前,只能访问Portal Web服务器;Client通过Portal认证后,可以访问外部网络。 · 用户可以在VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证。 图1 本地Portal基于MAC地址的快速认证组网图 3.2 配置思路 为了使用户可以在VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证,必须开启Portal用户漫游功能。 3.3 配置注意事项· 配置AP的序列号时请确保该序列号与AP唯一对应。 · 设备重定向给用户的Portal Web服务器的URL默认是不携带参数,需要根据实际应用手动添加需要携带的参数信息 · 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败,需要关闭Portal客户端ARP表项固化功能。 · 部分款型终端默认会开启随机MAC功能,可能会导致无感知认证失效,建议终端侧关闭随机MAC功能 3.4 配置步骤 3.4.1 配置AC(1) 配置AC的接口 # 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。 system-view [AC] vlan 100 [AC-vlan100] quit [AC] interface vlan-interface 100 [AC-Vlan-interface100] ip address 2.2.1.1 24 [AC-Vlan-interface100] quit # 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client将使用该VLAN接入无线网络。 [AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface 200 [AC-Vlan-interface200] ip address 2.2.2.1 24 [AC-Vlan-interface200] quit # 配置AC与Switch相连的接口GigabitEthernet1/0/1的属性为Trunk,允许VLAN 100和VLAN 200通过。 [AC] interface gigabitethernet 1/0/1 [AC-GigabitEthernet1/0/1] port link-type trunk [AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200 [AC-GigabitEthernet1/0/1] quit (2) 配置认证域 # 创建名为dm1的ISP域并进入其视图。 [AC] domain dm1 # 为Portal用户配置AAA认证方法为Local。 [AC-isp-dm1] authentication portal local # 为Portal用户配置AAA授权方法为none。 [AC-isp-dm1] authorization portal none # 为Portal用户配置AAA计费方法为none。 [AC-isp-dm1] accounting portal none # 指定ISP域dm1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。 [AC-isp-dm1] authorization-attribute idle-cut 15 1024 [AC-isp-dm1] quit (3) 配置Portal认证 # 配置Portal Web服务器的URL为http://2.2.2.1:8080/portal。 [AC] portal web-server newpt [AC-portal-websvr-newpt] url http://2.2.2.1:8080/portal # 配置设备重定向给用户的Portal Web服务器的URL中携带参数。 [AC-portal-websvr-newpt] url-parameter wlanuserip source-address [AC-portal-websvr-newpt] quit # 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。 [AC] portal free-rule 1 destination ip any udp 53 [AC] portal free-rule 2 destination ip any tcp 53 # 创建本地Portal Web服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。 [AC] portal local-web-server http # 配置本地Portal Web服务器提供的缺省认证页面文件为abc.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。 [AC–portal-local-websvr-http] default-logon-page abc.zip [AC–portal-local-websvr-http] tcp-port 8080 [AC–portal-local-websvr-http] quit # 配置本地Portal认证的用户名和密码。 [AC] local-user portaluser class network [AC-luser-network-portaluser] password simple abc123 [AC-luser-network-portaluser] service-type portal [AC-luser-network-portaluser] quit # 开启无线Portal漫游功能。 [AC] portal roaming enable # 关闭无线Portal客户端ARP表项固化功能。 [AC] undo portal refresh arp enable # 开启无线Portal客户端合法性检查功能。 [AC] portal host-check enable (4) 配置Portal基于MAC地址的快速认证 # 创建MAC绑定服务器mts,并进入MAC绑定服务器视图。 [AC] portal mac-trigger-server mts # 配置MAC绑定服务器的地址为2.2.2.1。 [AC-portal-mac-trigger-server-mts] ip 2.2.2.1 # 开启Portal本地MAC Trigger认证功能,并配置本地MAC Trigger绑定表项的老化时间为60分钟。 [AC-portal-mac-trigger-server-mts] local-binding enable [AC-portal-mac-trigger-server-mts] local-binding aging-time 60 [AC-portal-mac-trigger-server-mts] quit # 创建无线服务模板st1,并进入无线服务模板视图。 [AC] wlan service-template st1 # 配置SSID为service。 [AC-wlan-st-st1] ssid service # 配置无线服务模板VLAN为200。 [AC-wlan-st-st1] vlan 200 # 在无线服务模板st1上开启直接方式的Portal认证。 [AC-wlan-st-st1] portal enable method direct # 配置接入的Portal用户使用认证域为dm1。 [AC-wlan-st-st1] portal domain dm1 # 在无线服务模板st1上引用Portal Web服务器newpt。 [AC-wlan-st-st1] portal apply web-server newpt # 在无线服务模板上应用MAC绑定服务器mts。 [AC-wlan-st-st1] portal apply mac-trigger-server mts # 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)。 [AC–wlan-st-st1] client forwarding-location ac # 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。 [AC-wlan-st-st1] akm mode psk [AC-wlan-st-st1] preshared-key pass-phrase simple 12345678 # 配置加密套件为CCMP,安全信息元素为RSN。 [AC-wlan-st-st1] cipher-suite ccmp [AC-wlan-st-st1] security-ie rsn # 开启无线服务模板。 [AC-wlan-st-service1] service-template enable [AC-wlan-st-st1] quit (5) 配置AP 在大规模组网时,推荐在AP组内进行配置。
# 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号219801A28N819CE0002T。 [AC] wlan ap ap1 model WA6320 [AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T # 创建AP组group1,设置AP名称入组规则 [AC] wlan ap-group group1 [AC-wlan-ap-group-group1] ap ap1 # 进入AP组的Radio 2视图,并将无线服务模st1板绑定到Radio 2上。 [AC-wlan-ap-group-group1] ap-model WA6320 [AC-wlan-ap-group-group1-ap-model-WA6320] radio 2 [AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template st1 # 开启Radio 2的射频功能。 [AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable [AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] return 3.4.2 配置Switch# 创建VLAN 100,用于转发AC和AP间CAPWAP隧道内的流量。 system-view [Switch] vlan 100 [Switch-vlan100] quit # 创建VLAN 200,用于转发Client无线报文。 [Switch] vlan 200 [Switch-vlan200] quit # 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,允许VLAN 100和VLAN 200通过。 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200 [Switch-GigabitEthernet1/0/1] quit # 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。 [Switch] interface gigabitethernet 1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port access vlan 100 # 使能PoE功能。 [Switch-GigabitEthernet1/0/2] poe enable [Switch-GigabitEthernet1/0/2] quit # 配置VLAN 200接口的IP地址。 [Switch] interface vlan-interface 200 [Switch-Vlan-interface200] ip address 2.2.2.100 255.255.255.0 [Switch-Vlan-interface200] quit 3.5 验证配置# 通过执行以下显示命令可查看MAC绑定服务器配置。 [AC] display portal mac-trigger-server name mts Portal mac trigger server name: mts Version : 1.0 Server type : IMC IP : 2.2.2.1 Port : 50100 VPN instance : Not configured Aging time : 300 seconds Free-traffic threshold : 0 bytes NAS-Port-Type : Not configured Binding retry times : 3 Binding retry interval : 1 seconds Authentication timeout : 3 minutes Local-binding : Enabled Local-binding aging-time : 60 minutes aaa-fail nobinding : Disabled Excluded attribute list : Not configured Cloud-binding : Disabled Cloud-server URL : Not configured # 用户通过网页方式进行Portal认证。用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://2.2.2.1:8080/portal),在通过认证后,可访问非受限的互联网资源。 用户在首次进行Portal认证时,需要手工输入用户名和密码。当用户再次上线时,将可以直接访问互联网资源,不会感知到Portal认证过程。 通过执行以下显示命令查看AC上生成的Portal在线用户信息。 [AC] display portal user all Total portal users: 1 Username: portal Portal server: newpt State: Online VPN instance: N/A MAC IP VLAN Interface 0021-6330-0933 2.2.2.2 200 WLAN-BSS1/0/16 Authorization information: DHCP IP pool: N/A User profile: N/A Session group profile: N/A ACL number: N/A Inbound CAR: N/A Outbound CAR: N/A 3.6 配置文件· AC: # vlan 100 # vlan 200 # wlan service-template st1 ssid service client forwarding-location ac akm mode psk preshared-key pass-phrase simple 12345678 cipher-suite ccmp security-ie rsn vlan 200 portal enable method direct portal domain dm1 portal apply web-server newpt portal apply mac-trigger-server mts service-template enable # interface Vlan-interface100 ip address 2.2.1.1 255.255.255.0 # interface Vlan-interface200 ip address 2.2.2.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-mode bridge port link-type trunk port trunk permit vlan 1 100 200 # domain dm1 authorization-attribute idle-cut 15 1024 authentication portal local authorization portal none accounting portal none # portal host-check enable portal free-rule 1 destination ip any udp 53 portal free-rule 2 destination ip any tcp 53 # portal roaming enable undo portal refresh arp enable # portal web-server newpt url http://2.2.2.1:8080/portal url-parameter wlanuserip source-address # portal local-web-server http default-logon-page abc.zip tcp-port 8080 # local-user portaluser class network password simple abc123 service-type portal # portal mac-trigger-server mts ip 2.2.2.1 server-type imc # wlan ap ap1 model WA6320 serial-id 219801A28N819CE0002T # wlan ap-group group1 ap ap1 ap-model WA6320 radio 1 radio 2 radio enable service-template st1 # · Switch: # vlan 100 # vlan 200 # interface Vlan-interface200 ip address 2.2.2.100 255.255.255.0 # interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 1 100 200 # interface GigabitEthernet1/0/2 port link-type access port access vlan 100 poe enable 4 相关资料· 《H3C 无线控制器产品 配置指导》中的“用户接入与认证配置指导”。 · 《H3C 无线控制器产品 命令参考》中的“用户接入与认证命令参考”。 · 《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。 · 《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |