62无线接入用户延时计费典型配置举例.docx
- 文档编号:25703204
- 上传时间:2023-06-11
- 格式:DOCX
- 页数:20
- 大小:200.89KB
62无线接入用户延时计费典型配置举例.docx
《62无线接入用户延时计费典型配置举例.docx》由会员分享,可在线阅读,更多相关《62无线接入用户延时计费典型配置举例.docx(20页珍藏版)》请在冰豆网上搜索。
62无线接入用户延时计费典型配置举例
无线接入用户延时计费典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录
1简介1
2配置前提1
3配置举例1
3.1组网需求1
3.2配置注意事项1
3.3配置步骤2
3.3.1AC的配置2
3.3.2Switch的配置5
3.3.3RADIUS服务器的配置6
3.4验证结果12
3.5配置文件12
4相关资料14
1简介
本文介绍了无线控制器对无线客户端进行延时计费功能的典型配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解WLAN和802.1X特性。
3配置举例
3.1组网需求
如图1所示,AC通过Switch与AP相连,DHCP服务器分别为AP和Client分配IP地址,RADIUS服务器为接入的无线客户端提供认证和计费功能。
为了使计费更为精确,现要求:
∙无线客户端获得IP地址后才向RADIUS服务器发送计费请求报文。
∙当无线客户端在指定的计费延时时间内没有获得分配的IP地址,则不发送计费请求报文,无线客户端将下线。
图1延时计费功能组网图
3.2配置注意事项
∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
∙在接口WLAN-ESS上开启802.1X的计费延时功能前,需要关闭服务模板,开启计费延时功能后再重新开启服务模板。
3.3配置步骤
3.3.1AC的配置
(1)配置AC接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress100.100.1.1255.255.0.0
[AC-Vlan-interface100]quit
#创建VLAN200作为WLAN-ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN,配置VLAN300的接口IP地址。
[AC]vlan300
[AC-vlan300]quit
[AC]interfacevlan-interface300
[AC-Vlan-interface300]ipaddress100.30.1.1255.255.0.0
[AC-Vlan-interface300]quit
#配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN1报文通过,允许VLAN100和VLAN300通过,当前Trunk口的PVID为100。
[AC]interfacegigabitethernet1/0/1
[AC-GigabitEthernet1/0/1]portlink-typetrunk
[AC-GigabitEthernet1/0/1]undoporttrunkpermitvlan1
[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300
[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100
[AC-GigabitEthernet1/0/1]quit
(2)配置认证策略
#创建RADIUS方案office并进入其视图。
[AC]radiusschemeoffice
#将RADIUS方案office的RADIUS服务器类型设置为extended。
[AC-radius-office]server-typeextended
#设置主认证RADIUS服务器的IP地址100.100.1.10。
[AC-radius-office]primaryauthentication100.100.1.10
#设置主计费RADIUS服务器的IP地址100.100.1.10。
[AC-radius-office]primaryaccounting100.100.1.10
#设置系统与认证RADIUS服务器交互报文时的共享密钥为admin。
[AC-radius-office]keyauthenticationadmin
#设置系统与计费RADIUS服务器交互报文时的共享密钥为admin。
[AC-radius-office]keyaccountingadmin
#设置设备发送RADIUS报文使用的源IP地址。
[AC-radius-office]nas-ip100.100.1.1
#配置发送给RADIUS方案office中RADIUS服务器的用户名不携带ISP域名。
[AC-radius-office]user-name-formatwithout-domain
#使能accounting-on功能,配置accounting-on报文重发时间间隔为3秒、accounting-on报文的最大发送次数为50次(缺省情况下,报文重发时间间隔为3秒,最大发送次数为50次)。
[AC-radius-office]accounting-onenableinterval3send50
#配置实时计费的时间间隔为3分钟。
[AC-radius-office]timerrealtime-accounting3
[AC-radius-office]quit
(3)配置认证域
#创建office域并进入其视图。
[AC]domainoffice
#为Portal用户配置认证方案为RADIUS方案,方案名为office。
[AC-isp-office]authenticationportalradius-schemeoffice
#为Portal用户配置授权方案为RADIUS方案,方案名为office。
[AC-isp-office]authorizationportalradius-schemeoffice
#为Portal用户配置计费方案为RADIUS方案,方案名为office。
[AC-isp-office]accountingportalradius-schemeoffice
[AC-isp-office]quit
#把配置的认证域office设置为系统缺省的ISP域。
[AC]domaindefaultenableoffice
(4)配置WLAN-ESS接口
#创建WLAN-ESS1接口,并进入该视图。
[AC]interfacewlan-ess1
#配置端口的链路类型为Hybrid。
[AC-WLAN-ESS1]portlink-typehybrid
#配置接口WLAN-ESS1的缺省VLAN为VLAN200,禁止VLAN1报文通过,并允许发送VLAN200报文不带VLANtag。
[AC-WLAN-ESS1]porthybridpvidvlan200
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS1]porthybridvlan200untagged
#使能MACVLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
[AC-WLAN-ESS1]quit
(5)配置无线服务模板
#创建clear类型的服务模板1。
[AC]wlanservice-template1clear
#设置服务模板1的SSID(服务模板的标识)为office。
[AC-wlan-st-1]ssidoffice
#将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1]bindwlan-ess1
#使能服务模板。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(6)在AC下绑定无线服务模板
#创建AP管理模板,其名称为officeap,型号名称选择WA2620E-AGN。
[AC]wlanapofficeapmodelWA2620E-AGN
#设置AP的序列号为21023529G007C000020。
[AC-wlan-ap-officeap]serial-id21023529G007C000020
#进入radio1射频视图。
[AC-wlan-ap-officeap]radio1
#将在AC上配置的服务模板1映射到射频1,设置绑定到射频接口的VLAN编号为VLAN300。
[AC-wlan-ap-officeap-radio-1]service-template1vlan-id300
#使能AP的radio1。
[AC-wlan-ap-officeap-radio-1]radioenable
[AC-wlan-ap-officeap-radio-1]quit
[AC-wlan-ap-officeap]quit
(7)配置802.1X认证服务
#使能端口安全。
[AC]port-securityenable
#配置802.1X用户的认证方式为EAP。
[AC]dot1xauthentication-methodeap
#在接口WLAN-ESS1上配置802.1X用户的强制认证域office。
[AC-WLAN-ESS1]dot1xmandatory-domainoffice
#配置端口安全模式为userlogin-secure-ext,并使能端口11key类型的密钥协商功能。
[AC-WLAN-ESS1]port-securityport-modeuserlogin-secure-ext
[AC-WLAN-ESS1]port-securitytx-key-type11key
#关闭802.1X的组播触发功能,以节省无线的通信带宽。
[AC-WLAN-ESS1]undodot1xmulticast-trigger
#关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下线。
[AC-WLAN-ESS1]undodot1xhandshake
[AC-WLAN-ESS1]quit
(8)配置延时计费
#关闭服务模板1。
[AC]wlanservice-template1clear
[AC-wlan-st-1]service-templatedisable
[AC-wlan-st-1]quit
#在接口WLAN-ESS1上开启802.1X的计费延时功能,并配置计费延时时间为5秒,如果延时后还没有获取到IP地址,采取的动作为logoff。
[AC]interfacewlan-ess1
[AC-WLAN-ESS1]dot1xaccounting-delayactionlogofftime5
[AC-WLAN-ESS1]quit
#开启服务模板1。
[AC]wlanservice-template1clear
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
3.3.2Switch的配置
#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线客户端接入的VLAN。
[Switch]vlan100
[Switch-vlan100]quit
[Switch]vlan300
[Switch-vlan300]quit
#配置Switch和AC相连的GigabitEthernet1/0/1接口属性Trunk,禁止VLAN1报文通过,当前Trunk口的PVID为100,允许VLAN100和VLAN300通过。
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]undoporttrunkpermitvlan1
[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100300
[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/1]quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2]portlink-typeaccess
[Switch-GigabitEthernet1/0/2]portaccessvlan100
#配置Switch与AP相连的GigabitEthernet1/0/2接口使能PoE功能。
[Switch-GigabitEthernet1/0/2]poeenable
[Switch-GigabitEthernet1/0/2]quit
#配置Switch与RADIUS服务器相连的GigabitEthernet1/0/3接口属性为Access,并允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3]portlink-typeaccess
[Switch-GigabitEthernet1/0/3]portaccessvlan100
[Switch-GigabitEthernet1/0/3]quit
#配置Switch与DHCP服务器相连的GigabitEthernet1/0/4接口属性为Access,并允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/4
[Switch-GigabitEthernet1/0/4]portlink-typeaccess
[Switch-GigabitEthernet1/0/4]portaccessvlan100
[Switch-GigabitEthernet1/0/4]quit
3.3.3RADIUS服务器的配置
下面以iMC为例(使用iMC版本为:
iMCPLAT7.0(E0202)、iMCUAM7.0(E0202)),说明RADIUS服务器的基本配置。
#增加接入设备。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。
∙设置认证及计费的端口号分别为“1812”和“1813”;
∙设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“admin”;
∙选择业务类型为“LAN接入业务”;
∙选择接入设备类型为“H3C”;
∙选择或手工增加接入设备,添加IP地址为100.100.1.1的接入设备;
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图1增加接入设备
#配置接入规则。
选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,单击<增加>按钮,创建一条接入规则。
∙接入规则名输入“office”。
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图2配置接入规则
#增加计费策略。
选择“用户”页签,单击导航树中的[计费业务管理/计费策略管理]菜单项,进入计费策略管理页面,在该页面中单击<增加>按钮,进入计费策略配置页面。
∙输入策略名称为“User”;
∙选择计费策略模板为“包月类型计费”;
∙设置包月基本信息:
计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”;
∙设置包月使用量限制:
允许每月最大上网使用量为120个小时。
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图3增加计费策略
#增加服务配置。
选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入服务器配置管理页面,在该页面中单击<增加>按钮,进入增加服务配置页面。
∙输入服务名为“office”、服务后缀为“office”;
∙缺省接入规则输入“office”;
∙选择计费策略为“User”;
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图4增加服务配置
#增加用户配置。
选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,单击<增加>按钮,增加一个接入用户,再选择<增加用户>。
∙用户姓名输入“test”;
∙证件号码输入“1234”;
∙用户分组选择“未分组”;
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图5增加用户配置
#增加接入用户配置。
返回主页面,输入:
∙账号名输入“office”;
∙密码与密码确认输入“admin”;
∙选择服务名“office”;
∙选择该用户所关联的接入服务为“office”,预付金额为“120”;
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
图6增加接入用户
3.4验证结果
#在AC上打开debug开关。
#可以观察到Client上线,加入到无线网络中。
%Dec510:
33:
47:
1942013ACWMAC/6/WMAC_CLIENT_JOIN_WLAN:
Client001e-583f-0895successfullyjoinsWLANservice,onAPID1withBSSID0023-8930-1121.
……(略)
#观察到Client认证上线成功,通过802.1X认证,时间为10:
33:
48:
769。
%Dec510:
33:
48:
7692013ACPORTSEC/6/PORTSEC_DOT1X_LOGIN_SUCC:
-IfName=WLAN-DBSS1:
13-MACAddr=00:
1E:
58:
3F:
08:
95-VlanId=300-UserName=office;Theuserpassed802.1Xauthenticationandgotonlinesuccessfully.
……(略)
#观察到4秒后,AC发送给RADIUS服务器的报文中未携带Client的IP地址。
*Dec510:
33:
52:
4862013ACRDS/7/DEBUG:
Sendattributelist:
*Dec510:
33:
52:
7462013ACRDS/7/DEBUG:
[32NAS-Identifier][4][AC]
[5NAS-Port][6][16781512]
[87NAS_Port_Id][36][slot=1;subslot=0;port=1;vlanid=300]
[61NAS-Port-Type][6][19]
[H3C-26Connect_ID][6][130]
[6Service-Type][6][2]
*Dec510:
33:
53:
1372013ACRDS/7/DEBUG:
[H3C-59NAS-Startup-Timestamp][6][1354557697]
……(略)
#当DHCP服务器对Client的IP地址池分配完毕后,Client无法获取到IP地址,5秒后,AC强制Client下线,下线时间点为10:
33:
54:
188。
%Dec510:
33:
54:
1882013ACPORTSEC/6/PORTSEC_DOT1X_LOGOFF:
-IfName=WLAN-DBSS1:
13-MACAddr=00:
1E:
58:
3F:
08:
95-VlanId=300-UserName=office-ErrCode=1;Sessionofthe802.1Xuserwasterminated.
%Dec510:
33:
54:
2082013ACWMAC/6/WMAC_CLIENT_GOES_OFFLINE:
Client001e-583f-0895disconnectedfromWLANservice.Reasoncodeis1.
3.5配置文件
∙AC:
#
domaindefaultenableoffice
#
vlan100
#
vlan200
#
vlan300
#
radiusschemeoffice
server-typeextended
primaryauthentication100.100.1.10
primaryaccounting100.100.1.10
keyauthenticationcipher$c$3$LAeobkoqSbPOxIzI4RZav+igpYNsn4M=
keyaccountingcipher$c$3$LAeobkoqSbPOxIzI4RZav+igpYNsn4M=
timerrealtime-accounting3
user-name-formatwithout-domain
nas-ip100.100.1.1
accounting-onenable
#
domainoffice
authenticationportalradius-schemeoffice
authorizationportalradius-schemeoffice
accountingportalradius-schemeoffice
access-limitdisable
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 62 无线 接入 用户 延时 计费 典型 配置 举例
![提示](https://static.bdocx.com/images/bang_tan.gif)