21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx
《21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx》由会员分享,可在线阅读,更多相关《21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx(18页珍藏版)》请在冰点文库上搜索。
21MAC认证+GuestVLAN+本地Portal认证典型配置举例
MAC认证+GuestVLAN+本地Portal认证典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
1简介
本文档介绍当用户MAC地址认证失败时进入指定GuestVLAN,只能访问在GuestVLAN的网络资源,只有当用户通过Portal认证后才能访问公共网络资源的配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解AAA、MAC地址认证、本地Portal认证和WLAN特性。
3配置举例
3.1组网需求
如图1所示,Client通过AP接入无线网络,设备管理员希望对Client进行MAC地址认证及Portal认证,以控制其对网络资源的访问,具体要求如下:
∙用户Client通过VLAN200上线并在RADIUSserver上进行MAC地址认证。
∙用户Client的MAC地址认证失败时进入GuestVLAN300,此时Client只能访问VLAN300内的网络资源。
∙用户Client在GuestVLAN300中进行Portal认证,认证成功后Client可以访问公共网络资源。
图1MAC认证+GuestVLAN+本地Portal认证配置组网图
3.2配置思路
∙为了使Client直接MAC地址认证失败,需要在RADIUSserver上配置的用户名和密码是普通的字符串形式,而在AC上配置的MAC地址认证的用户名和密码是不带连字符的MAC地址的形式。
∙为了实现用户在GuestVLAN内通过Portal认证,需要在AC上配置本地Portalserver,在GuestVLAN300上启用Portal认证。
∙由于MAC地址认证和Portal认证的网络服务类型不同,MAC地址认证为lan-access类型,Portal认证为portal类型,所以需要配置两个认证域office1和office2。
3.3配置注意事项
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.4配置步骤
3.4.1无线接入的配置
1.配置AC
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress112.1.1.1016
[AC-Vlan-interface100]quit
#创建VLAN200作为ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN,并配置其IP地址。
[AC]vlan300
[AC-vlan300]quit
[AC]interfacevlan-interface300
[AC-Vlan-interface300]ipaddress112.3.1.1016
[AC-Vlan-interface300]quit
#配置AC连接Switch的GigabitEthernet1/0/1接口的属性为trunk,允许VLAN100、VLAN200和VLAN300通过。
[AC]interfaceGigabitEthernet1/0/1
[AC-GigabitEthernet1/0/1]portlink-typetrunk
[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100200300
[AC-GigabitEthernet1/0/1]quit
#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。
[AC]interfacewlan-ess1
[AC-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带tag通过。
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS1]porthybridvlan200untagged
[AC-WLAN-ESS1]porthybridpvidvlan200
#在Hybrid端口上使能MAC-VLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
[AC-WLAN-ESS1]quit
(2)配置无线服务
#创建clear类型的服务模板1。
[AC]wlanservice-template1clear
#设置当前服务模板的SSID为service。
[AC-wlan-st-1]ssidservice
#将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1]bindwlan-ess1
#启用无线服务。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(3)配置射频接口并绑定服务模板
#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN,并配置AP的序列号。
[AC]wlanapofficeapmodelWA2620E-AGN
[AC-wlan-ap-officeap]serial-id21023529G007C000020
#进入radio2射频视图。
[AC-wlan-ap-officeap]radio2
#将服务模板1绑定到AP的Radio2口,并使能Radio2。
[AC-wlan-ap-officeap-radio-2]service-template1
[AC-wlan-ap-officeap-radio-2]radioenable
[AC-wlan-ap-officeap-radio-2]quit
2.配置Switch
#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线用户接入的VLAN。
system-view
[Switch]vlan100
[Switch-vlan100]quit
[Switch]vlan300
[Switch-vlan300]quit
#配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,当前Trunk口的PVID为100,允许VLAN100通过。
[Switch]interfaceGigabitEthernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100
[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/1]quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN100通过。
[Switch]interfaceGigabitEthernet1/0/2
[Switch-GigabitEthernet1/0/2]portlink-typeaccess
[Switch-GigabitEthernet1/0/2]portaccessvlan100
#使能PoE功能。
[Switch-GigabitEthernet1/0/2]poeenable
[Switch-GigabitEthernet1/0/2]quit
#配置Switch使能DHCP服务。
[Switch]dhcpenable
#创建名为vlan100的DHCP地址池,配置地址池范围为112.1.1.1~112.1.1.9,网关地址为112.1.1.10,为AP分配IP地址。
[Switch]dhcpserverip-poolvlan100extended
[Switch-dhcp-pool-vlan100]networkiprange112.1.1.1112.1.1.9
[Switch-dhcp-pool-vlan100]networkmask255.255.0.0
[Switch-dhcp-pool-vlan100]gateway-list112.1.1.10
[Switch-dhcp-pool-vlan100]quit
#创建名为vlan300的DHCP地址池,配置地址池范围为112.3.1.1~112.3.1.9,网关地址为112.3.1.10,为Client分配IP地址。
[Switch]dhcpserverip-poolvlan300extended
[Switch-dhcp-pool-vlan300]networkiprange112.3.1.1112.3.1.9
[Switch-dhcp-pool-vlan300]networkmask255.255.0.0
[Switch-dhcp-pool-vlan300]gateway-list112.3.1.10
[Switch-dhcp-pool-vlan300]quit
3.4.2安全认证的配置
1.配置AC
(1)配置认证策略和认证域
#在AC上创建RADIUS方案office并进入其视图。
system-view
[AC]radiusschemeoffice
#配置主认证、计费RADIUS服务器的IP地址为8.1.1.5。
[AC-radius-office]primaryauthentication8.1.1.5
[AC-radius-office]primaryaccounting8.1.1.5
#配置RADIUS认证、计费报文的共享密钥为123456789。
[AC-radius-office]keyauthenticationsimple123456789
[AC-radius-office]keyaccountingsimple123456789
#配置发送给RADIUS服务器的用户名不得携带域名。
[AC-radius-office]user-name-formatwithout-domain
#设置设备发送RADIUS报文使用的源IP地址。
[AC-radius-office]nas-ip112.1.1.10
[AC-radius-office]quit
#创建office1域并进入其视图。
[AC]domainoffice1
#在ISP域office1下,为lan-access用户配置认证、授权、计费方案为RADIUS方案,方案名为office。
[AC-isp-office1]authenticationlan-accessradius-schemeoffice
[AC-isp-office1]authorizationlan-accessradius-schemeoffice
[AC-isp-office1]accountinglan-accessradius-schemeoffice
#设置当前ISP域下的用户闲置切断功能,闲置检测时间为60分钟。
[AC-isp-office1]idle-cutenable60
[AC-isp-office1]quit
#创建office2域并进入其视图。
[AC]domainoffice2
#在ISP域office2下,为Portal用户配置认证、授权、计费方案为RADIUS方案,方案名为office。
[AC-isp-office2]authenticationportalradius-schemeoffice
[AC-isp-office2]authorizationportalradius-schemeoffice
[AC-isp-office2]accountingportalradius-schemeoffice
#设置当前ISP域下的用户闲置切断功能,闲置检测时间为60分钟。
[AC-isp-office2]idle-cutenable60
[AC-isp-office2]quit
(2)配置MAC地址认证
#全局使能端口安全功能。
[AC]port-securityenable
#配置MAC地址认证用户名格式,使用不带连字符的MAC地址作为用户名与密码。
[AC]mac-authenticationuser-name-formatmac-addresswithout-hyphen
#进入WLAN-ESS1接口。
[AC]interfacewlan-ess1
#配置端口安全模式为MAC地址认证,并指定MAC地址认证用户使用的认证域为office1。
[AC-WLAN-ESS1]port-securityport-modemac-authentication
[AC-WLAN-ESS1]mac-authenticationdomainoffice1
#配置MAC地址认证失败后,用户进入GuestVLAN300。
[AC-WLAN-ESS1]mac-authenticationguest-vlan300
[AC-WLAN-ESS1]quit
(3)配置本地Portal认证
#配置本地Portalserver。
[AC]portalserverportalip112.3.1.10
#配置本地Portal服务器支持HTTP协议类型。
[AC]portallocal-serverhttp
#配置GuestVLAN所在的接口VLAN300上启用Portal认证,并配置为直接认证方式。
[AC]interfacevlan-interface300
[AC-Vlan-interface300]portalserverportalmethoddirect
#配置从接口VLAN300接入的IPv4Portal用户使用认证域为office2。
[AC-Vlan-interface300]portaldomainoffice2
[AC-Vlan-interface300]quit
#配置Portal免认证规则,使得符合源接口为GigabitEthernet1/0/1(GigabitEthernet1/0/1接口为AC与交换机互通的接口)的报文不会触发Portal认证。
[AC]portalfree-rule0sourceinterfaceGigabitEthernet1/0/1
2.在RADIUSserver上配置设备接入和用户管理
下面以iMC为例(使用iMC版本为:
iMCPLAT5.2(E0401)、iMCUAM5.2(E0402),说明RADIUSserver的基本配置。
#增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[用户接入管理/接入设备管理/接入设备配置]菜单项,单击<增加>按钮,进入“增加接入设备”页面,单击<手工增加>按钮,进入“手工增加接入设备”页面。
∙填写起始IP地址为112.1.1.10,该IP地址为AC上配置的radiusscheme视图下的nas-ip地址。
∙单击<确定>按钮完成操作。
∙在“接入配置”页面配置共享密钥为123456789,该共享密钥与AC上配置Radius服务器时的密钥一致。
∙其他配置采用页面默认配置即可。
∙单击<确定>按钮完成操作。
#增加接入规则配置。
选择“业务”页签,单击导航树中的[用户接入管理/接入规则管理]菜单项,单击<增加>按钮,创建一条接入规则。
∙接入规则名输入“office”。
∙其它参数采用缺省值,并单击<确定>按钮完成操作。
#增加服务配置。
选择“业务”页签,单击导航树中的[用户接入管理/服务配置管理]菜单项,单击<增加>按钮,创建一条服务。
∙配置服务名为09797_portal(任意命名)。
∙缺省接入规则选择“office”。
∙其他采用默认配置。
∙单击<确定>按钮完成配置。
#增加接入用户。
选择“用户”页签,单击导航树中的[接入用户视图/所有接入用户]菜单项,单击“接入用户列表”下面的<增加>按钮,增加一个接入用户。
∙单击<选择>按钮。
∙输入用户姓名shl,单击<查询>按钮。
∙页面返回查询结果,如果用户存在,则选中用户,单击<确定>按钮。
∙如果用户不存在,需单击<增加用户>按钮创建一个。
∙输入用户姓名和证件号码,单击<确定>完成。
∙配置帐号名和密码,本例中帐号名和密码都为shlportal。
∙勾选绑定服务名09797_portal。
∙单击<确定>按钮完成。
3.5验证配置
#完成以上配置后,无线用户Client上线进行MAC地址认证,由于RADIUSserver上配置的用户名和密码是普通的字符串形式,而在AC上配置的MAC地址认证的用户名和密码是不带连字符的MAC地址的形式,因此认证失败,无线用户Client进入GuestVLAN300。
在AC上通过命令displaywlanclient可以看见无线用户Client从GuestVLAN300上线。
[AC]
%Nov2517:
28:
07:
1902013ACWMAC/6/WMAC_CLIENT_JOIN_WLAN:
Client3ca9-f414-4c20successfullyjoinsWLANservice,onAPID1withBSSID8434-9700-c550.
[AC]displaywlanclient
TotalNumberofClients:
1
ClientInformation
SSID:
service
--------------------------------------------------------------------------------
MACAddressUserNameAPID/RIDIPAddressVLAN--------------------------------------------------------------------------------
3ca9-f414-4c203ca9f4144c201/2112.3.0.2300
--------------------------------------------------------------------------------
#在GuestVLAN300中的无线用户Client在通过Portal认证之前只能访问VLAN300的网络资源。
#在GuestVLAN300中的无线用户Client通过Portal认证后,可以通过命令displayportaluserall查看Portal认证信息。
%Nov2609:
28:
06:
8582013ACPORTAL/5/PORTAL_USER_LOGON_SUCCESS:
-UserName=admin-IPAddr=112.3.0.2-IfName=Vlan-interface300-VlanID=300-MACAddr=3ca9-f414-4c20-APMAC=B4B5-2F4F-2D8C-SSID=service-NasId=-NasPortId=;Usergotonlinesuccessfully.
[AC]displayportaluserall
Index:
1165
State:
ONLINE
SubState:
NONE
ACL:
NONE
Work-mode:
stand-alone
MACIPVlanInterface
----------------------------------------------------------------------------
3ca9-f414-4c20112.3.0.2300Vlan-interface300
Total1user(s)matched,1listed.
3.6配置文件
∙AC:
#
portalserverportalip112.3.1.10
portalfree-rule0sourceinterfaceGigabitEthernet1/0/1destinationany
portallocal-serverhttp
#
vlan100
#
vlan200
#
vlan300
#
radiusschemeoffice
primaryauthentication8.1.1.5
primaryaccounting8.1.1.5
keyauthenticationcipher$c$3$Zwf/J1gLh0obRwOY8qBSTzrYKvNqWQZHHpdNhQ==
keyaccountingcipher$c$3$GfKl0XsDx+9P85+f5cAMX1zbe4thEC/XrK9LUA==
user-name-formatwithout-domain
nas-ip112.1.1.10
#
domainoffice1
authenticationlan-accessradius-schemeoffice
authorizationlan-accessradius-schemeoffice
accountinglan-accessradius-schemeoffice
access-limitdisable
stateactive
idle-cutenable6010240
self-service-urldisable