23Portal服务器对从不同AP和不同认证域上线的用户进行Portal认证的典型配置举例.docx

23Portal服务器对从不同AP和不同认证域上线的用户进行Portal认证的典型配置举例.docx

《23Portal服务器对从不同AP和不同认证域上线的用户进行Portal认证的典型配置举例.docx》由会员分享，可在线阅读，更多相关《23Portal服务器对从不同AP和不同认证域上线的用户进行Portal认证的典型配置举例.docx（21页珍藏版）》请在冰豆网上搜索。

23Portal服务器对从不同AP和不同认证域上线的用户进行Portal认证的典型配置举例

Portal服务器对从不同AP和不同认证域上线的用户进行Portal认证的典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1简介

本文档介绍不同热点的用户使用同一个SSID接入无线网络，并通过不同的Portal服务器进行Portal接入认证的典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、Portal和WLAN特性。

3配置举例

3.1组网需求

如图1所示，Client通过热点AP1和AP2使用名称为service的SSID接入网络，Client和AP通过DHCP服务器获取IP地址。

要求：

∙当Client从AP2上线时，由服务器IMC2进行Portal认证。

∙当Client从AP1上线时，由服务器IMC1进行Portal认证。

图1基于AP绑定Portal服务器和认证服务器组网图

3.2配置思路

∙由于Client从不同的AP上线时使用同一个SSID接入无线网络，为了进行Portal认证时对不同的AP加以区分，可以配置AC向RADIUS服务器发送的RADIUS请求报文的NAS-Identifier属性值。

∙为了使Client从不同的AP上线时访问不同的Portal服务器，需要配置不同的Portal服务器和认证域。

∙由于无线客户端在跨VLAN漫游过程中需要通过MACVLAN表项强制保持自身的VLAN不变，所以需要在AC上开启MAC-VLAN功能。

3.3配置注意事项

配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.4配置步骤

3.4.1AC的配置

（1）配置AC的接口

#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

system-view

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress8.101.1.816

[AC-Vlan-interface100]quit

#创建VLAN200作为ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN。

[AC]vlan300

[AC-vlan300]quit

#配置AC与Switch相连的GigabitEthernet1/0/1接口为trunk模式，允许VLAN100、VLAN200、VLAN300通过。

[AC]interfaceGigabitEthernet1/0/1

[AC-GigabitEthernet1/0/1]portlink-typetrunk

[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100200300

[AC-GigabitEthernet1/0/1]quit

（2）配置无线接口

#创建WLAN-ESS1接口

[AC]interfacewlan-ess1

#配置WLAN-ESS1接口类型为Hybrid类型。

[AC-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为VLAN200，禁止VLAN1通过并允许VLAN200不带tag通过。

[AC-WLAN-ESS1]undoporthybridvlan1

[AC-WLAN-ESS1]porthybridvlan200untagged

[AC-WLAN-ESS1]porthybridpvidvlan200

#使能MAC-VLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

[AC-WLAN-ESS1]quit

（3）配置无线服务模板

#创建clear类型的服务模板1。

[AC]wlanservice-template1clear

#配置当前服务模板的SSID为service。

[AC-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1]bindwlan-ess1

#启用无线服务。

[AC-wlan-st-1]service-templateenable

[AC-wlan-st-1]quit

（4）配置射频接口并绑定服务模板

#创建AP1的管理模板，名称为officeap1，型号名称选择WA2620E-AGN，并配置AP1的序列号。

[AC]wlanapofficeap1modelWA2620E-AGN

[AC-wlan-ap-officeap1]serial-id21023529G007C000020

#进入radio2射频视图。

[AC-wlan-ap-officeap1]radio2

#绑定服务模板service-template1，指定VLAN-ID为300，指定NAS-ID为office1。

[AC-wlan-ap-officeap1-radio-2]service-template1vlan-id300nas-idoffice1

#使能AP1的radio2。

[AC-wlan-ap-officeap1-radio-2]radioenable

[AC-wlan-ap-officeap1-radio-2]quit

[AC-wlan-ap-officeap1]quit

#创建AP2的管理模板，名称为officeap2，型号名称选择WA2620E-AGN，并配置AP2的序列号。

[AC]wlanapofficeap2modelWA2620E-AGN

[AC-wlan-ap-officeap2]serial-id21023529G007C000021

#进入radio2射频视图。

[AC-wlan-ap-officeap2]radio2

#绑定服务模板service-template1，指定VLAN-ID为300，指定NAS-ID为office2。

[AC-wlan-ap-officeap2-radio-2]service-template1vlan-id300nas-idoffice2

#使能AP2的radio2。

[AC-wlan-ap-officeap2-radio-2]radioenable

[AC-wlan-ap-officeap2-radio-2]quit

[AC-wlan-ap-officeap2]quit

（5）配置RADIUS认证方案及ISP域

#创建名为office1的RADIUS方案并进入该视图。

[AC]radiusschemeoffice1

#配置RADIUS的服务类型为extended。

[AC-radius-office1]server-typeextended

#配置RADIUS方案的主认证服务器为8.1.1.5及通信密钥。

[AC-radius-office1]primaryauthentication8.1.1.5

[AC-radius-office1]keyauthenticationsimple1234567

#配置发送给RADIUS服务器的用户名不携带ISP域名。

[AC-radius-office1]user-name-formatwithout-domain

#配置nas-ip为VLAN100的地址。

[AC-radius-office]nas-ip8.101.1.8

[AC-radius-office1]quit

#创建office1域并进入其视图。

[AC]domainoffice1

#为Portal用户配置认证方案为RADIUS方案，方案名为office1。

[AC-isp-office1]authenticationportalradius-schemeoffice1

#为Portal用户配置授权方案为RADIUS方案，方案名为office1。

[AC-isp-office1]authorizationportalradius-schemeoffice1

#为Portal用户配置计费为none，不计费。

[AC-isp-office1]accountingportalnone

[AC-isp-office1]quit

#创建名为office2的RADIUS方案并进入该视图。

[AC]radiusschemeoffice2

#配置RADIUS的服务类型为extended。

[AC-radius-office2]server-typeextended

#配置RADIUS方案的主认证服务器为8.1.1.40及通信密钥。

[AC-radius-office2]primaryauthentication8.1.1.40

[AC-radius-office2]keyauthenticationsimple1234567

#配置发送给RADIUS服务器的用户名不携带ISP域名。

[AC-radius-office2]user-name-formatwithout-domain

#配置nas-ip为VLAN100的地址。

[AC-radius-office]nas-ip8.101.1.8

[AC-radius-office1]quit

#创建office2域并进入其视图。

[AC]domainoffice2

#为Portal用户配置认证方案为RADIUS方案，方案名为office2。

[AC-isp-office2]authenticationportalradius-schemeoffice2

#为Portal用户配置授权方案为RADIUS方案，方案名为office2。

[AC-isp-office2]authorizationportalradius-schemeoffice2

#为Portal用户配置计费为none，不计费。

[AC-isp-office2]accountingportalnone

[AC-isp-office2]quit

（6）配置Portal认证服务

#配置名称为office1的Portal服务器地址为8.1.1.5、密钥为1234567及url为http:

//8.1.1.5:

8080/portal。

[AC]portalserveroffice1ip8.1.1.5keysimple1234567urlhttp:

//8.1.1.5:

8080/portal

#配置名称为office2的Portal服务器地址为8.1.1.40、密钥为1234567及url为http:

//8.1.1.40:

8080/portal。

[AC]portalserveroffice2ip8.1.1.40keysimple1234567urlhttp:

//8.1.1.40:

8080/portal

#在VLAN300的接口上使能直接Portal认证。

[AC]interfacevlan-interface300

[AC-Vlan-interface300]portalserveroffice2methoddirect

#配置Portal用户使用的认证域为office2。

[AC-Vlan-interface300]portaldomainoffice2

#配置接口发送Portal报文使用的IPv4源地址为8.101.1.8。

[AC-Vlan-interface300]portalnas-ip8.101.1.8

[AC-Vlan-interface300]quit

#配置免认证规则，允许GigabitEthernet1/0/1口出方向及发往IMC1的报文免认证通过。

[AC]portalfree-rule1sourceinterfaceGigabitEthernet1/0/1

[AC]portalfree-rule2sourceipanydestinationip8.1.1.5mask255.255.255.255

#配置全局下Portal指定接入SSID为service，当NAS-ID为office1时使用Portalserver为office1，认证domain为office1。

[AC]portalwlanssidservicespotoffice1serveroffice1domainoffice1

#配置全局下Portal指定接入SSID为service，当NAS-ID为office2时使用Portalserver为office2，认证domain为office2。

[AC]portalwlanssidservicespotoffice2serveroffice2domainoffice2

3.4.2Switch的配置

#创建VLAN100和VLAN300，其中VLAN100用于转发AC和AP间LWAPP隧道内的流量，VLAN300作为无线用户接入的VLAN。

system-view

[Switch]vlan100

[Switch-vlan100]quit

[Switch]vlan300

[Switch-vlan300]quit

#配置Switch的GigabitEthernet1/0/1接口的属性为Trunk，当前Trunk口的PVID为100，允许VLAN100通过。

[Switch]interfaceGigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100

[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100

[Switch-GigabitEthernet1/0/1]quit

#配置Switch与AP1相连的GigabitEthernet1/0/2接口属性为Access，并允许VLAN100通过。

[Switch]interfaceGigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2]portlink-typeaccess

[Switch-GigabitEthernet1/0/2]portaccessvlan100

#使能PoE功能。

[Switch-GigabitEthernet1/0/2]poeenable

[Switch-GigabitEthernet1/0/2]quit

#配置Switch与AP2相连的GigabitEthernet1/0/3接口属性为Access，并允许VLAN100通过。

[Switch]interfaceGigabitEthernet1/0/3

[Switch-GigabitEthernet1/0/3]portlink-typeaccess

[Switch-GigabitEthernet1/0/3]portaccessvlan100

#使能PoE功能。

[Switch-GigabitEthernet1/0/3]poeenable

[Switch-GigabitEthernet1/0/3]quit

3.4.3iMC的配置

下面以iMC为例（使用iMC版本为：

iMCPLAT5.2（E0401）、iMCUAM5.2（E0402）），说明RADIUS服务器的基本配置。

（1）增加接入设备

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[用户接入管理/接入设备管理/接入设备配置/接入设备列表]菜单项，单击<增加>按钮，进入“增加接入设备”页面，单击<手工增加>按钮，进入“手工增加接入设备”页面。

∙填写起始IP地址为8.101.1.8，该IP地址为AC上配置的radiusscheme视图下的nas-ip地址。

∙单击<确定>按钮完成操作。

∙在“接入配置”页面配置共享密钥为1234567，该共享密钥与AC上配置RADIUS服务器时的密钥一致。

∙其他配置采用页面默认配置即可。

∙单击<确定>按钮完成操作。

（2）配置“接入规则管理”

∙选择“业务”页签，单击导航树中的[用户接入管理/接入规则管理]菜单项，单击<增加>按钮，创建一条接入规则。

∙配置接入规则名为lyportal（任意命名）。

∙其他采用默认配置。

∙单击<确定>按钮完成。

（3）增加服务配置

选择“业务”页签，单击导航树中的[用户接入管理/服务配置管理]菜单项，单击<增加>按钮，创建一条服务。

∙配置服务名为lyportal（任意命名）。

∙缺省接入规则选择步骤

（2）中配置的规则名。

∙其他采用默认配置

∙单击<确定>按钮完成配置。

（4）增加接入用户

选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户/接入用户列表]菜单项，单击<增加>按钮，增加一个接入用户。

∙选择一个用户名ly。

如没有用户名，需单击<增加用户>按钮创建一个。

∙配置帐号名和密码。

∙勾选绑定步骤（3）中创建的服务名。

∙单击<确定>按钮完成。

（5）配置Portal认证的地址组范围

选择“业务”页签，单击导航树中的[用户接入管理/Portal服务管理/IP地址组配置]菜单项，单击<增加>按钮，配置进行Portal认证的地址组范围。

∙配置IP地址组名为ipgroup。

∙配置起始地址为101.2.0.0，终止地址为101.2.255.255。

∙其他采用默认配置。

∙单击<确定>按钮完成。

（6）配置接入设备信息

选择“业务”页签，单击导航树中的[用户接入管理/Portal服务管理/设备配置]菜单项，单击<增加>按钮，配置Portal认证的接入设备。

∙配置设备名为AC。

∙配置IP地址为8.101.1.8，该地址与ACVLAN100虚接口下配置的Portalnas-ip一致。

∙配置密钥为1234567，该密钥与AC上配置Portal服务器时设置的密钥一致。

∙其他采用默认配置即可。

∙单击<确定>按钮完成。

（7）配置端口组

返回[用户接入管理/Portal服务管理/设备配置]菜单项，进入“设备信息列表”，选中设备所在的行，单击“操作”图标，选中“

”按钮，进入“端口组信息配置”页签。

在“端口组信息列表”子页签，单击<增加>按钮，进入到“增加端口组信息”页面。

∙配置端口组名为portgroup。

∙配置IP地址组，选取步骤（5）中创建的地址组ipgroup。

∙其他采用默认配置即可。

∙单击<确定>按钮完成。

3.5验证配置

（1）无线用户通过AP2登录Web，触发Portal认证，页面跳转到服务器IMC2，用此服务器下配置的用户名密码进行认证。

#通过displaywlanclientverbose命令可以看到，SSID为service的client上线。

[AC]displaywlanclientverbose

TotalNumberofClients:

1

ClientInformation

-------------------------------------------------------------------------------

MACAddress:

0021-6a27-97e4

UserName:

-NA-

AID:

1

APName:

officeap2

RadioId:

1

ServiceTemplateNumber:

1

SSID:

service

BSSID:

000f-e2e1-5600

Port:

WLAN-DBSS1:

5

VLAN:

300

#通过displayportaluserall命令可以在AC上查看所有Portal用户的信息。

[AC]displayportaluserall

Index:

2

State:

ONLINE

SubState:

NONE

ACL:

NONE

Work-mode:

stand-alone

MACIPVlanInterface

----------------------------------------------------------------------------

0021-6a27-97e4101.2.0.4300Vlan-interface300

Total1user（s）matched,1listed.

#通过displayconnection命令可以在AC上查看所有AAA用户连接的概要信息。

[AC]displayconnection

Index=13,Username=lyportal@office2

MAC=00-21-6A-27-97-E4

IP=101.2.0.4

IPv6=N/A

Total1connection（s）matched.

（2）无线用户下线，从AP1上线，登录Web，Portal认证页面跳转到服务器IMC1，用此服务器下配置的用户名密码进行认证。

#将用户踢下线。

[AC]cutconnectionmac0021-6a27-97e4

Itmaytakeafewsecondsorminutestocut1user（s）ontheslot2.

#关闭AP2的radio，让无线用户从AP1上线，重新进行Portal认证，Portal认证页面正确跳转到服务器IMC1的界面。

输入正确的用户名密码通过认证。

#通过displayportaluserall命令可以在AC上查看所有Portal用户的信息。

[AC]displayp