21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx

资源描述

21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx

《21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx》由会员分享，可在线阅读，更多相关《21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx（18页珍藏版）》请在冰点文库上搜索。

21MAC认证+Guest VLAN+本地Portal认证典型配置举例.docx

21MAC认证+GuestVLAN+本地Portal认证典型配置举例

MAC认证+GuestVLAN+本地Portal认证典型配置举例

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1简介

本文档介绍当用户MAC地址认证失败时进入指定GuestVLAN，只能访问在GuestVLAN的网络资源，只有当用户通过Portal认证后才能访问公共网络资源的配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解AAA、MAC地址认证、本地Portal认证和WLAN特性。

3配置举例

3.1组网需求

如图1所示，Client通过AP接入无线网络，设备管理员希望对Client进行MAC地址认证及Portal认证，以控制其对网络资源的访问，具体要求如下：

∙用户Client通过VLAN200上线并在RADIUSserver上进行MAC地址认证。

∙用户Client的MAC地址认证失败时进入GuestVLAN300，此时Client只能访问VLAN300内的网络资源。

∙用户Client在GuestVLAN300中进行Portal认证，认证成功后Client可以访问公共网络资源。

图1MAC认证+GuestVLAN+本地Portal认证配置组网图

3.2配置思路

∙为了使Client直接MAC地址认证失败，需要在RADIUSserver上配置的用户名和密码是普通的字符串形式，而在AC上配置的MAC地址认证的用户名和密码是不带连字符的MAC地址的形式。

∙为了实现用户在GuestVLAN内通过Portal认证，需要在AC上配置本地Portalserver，在GuestVLAN300上启用Portal认证。

∙由于MAC地址认证和Portal认证的网络服务类型不同，MAC地址认证为lan-access类型，Portal认证为portal类型，所以需要配置两个认证域office1和office2。

3.3配置注意事项

配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.4配置步骤

3.4.1无线接入的配置

1.配置AC

（1）配置AC的接口

#创建VLAN100及其对应的VLAN接口，并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

[AC]vlan100

[AC-vlan100]quit

[AC]interfacevlan-interface100

[AC-Vlan-interface100]ipaddress112.1.1.1016

[AC-Vlan-interface100]quit

#创建VLAN200作为ESS接口的缺省VLAN。

[AC]vlan200

[AC-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN，并配置其IP地址。

[AC]vlan300

[AC-vlan300]quit

[AC]interfacevlan-interface300

[AC-Vlan-interface300]ipaddress112.3.1.1016

[AC-Vlan-interface300]quit

#配置AC连接Switch的GigabitEthernet1/0/1接口的属性为trunk，允许VLAN100、VLAN200和VLAN300通过。

[AC]interfaceGigabitEthernet1/0/1

[AC-GigabitEthernet1/0/1]portlink-typetrunk

[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100200300

[AC-GigabitEthernet1/0/1]quit

#创建WLAN-ESS1接口，并设置端口的链路类型为Hybrid类型。

[AC]interfacewlan-ess1

[AC-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为200，禁止VLAN1通过并允许VLAN200不带tag通过。

[AC-WLAN-ESS1]undoporthybridvlan1

[AC-WLAN-ESS1]porthybridvlan200untagged

[AC-WLAN-ESS1]porthybridpvidvlan200

#在Hybrid端口上使能MAC-VLAN功能。

[AC-WLAN-ESS1]mac-vlanenable

[AC-WLAN-ESS1]quit

（2）配置无线服务

#创建clear类型的服务模板1。

[AC]wlanservice-template1clear

#设置当前服务模板的SSID为service。

[AC-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1]bindwlan-ess1

#启用无线服务。

[AC-wlan-st-1]service-templateenable

[AC-wlan-st-1]quit

（3）配置射频接口并绑定服务模板

#创建AP的管理模板，名称为officeap，型号名称选择WA2620E-AGN，并配置AP的序列号。

[AC]wlanapofficeapmodelWA2620E-AGN

[AC-wlan-ap-officeap]serial-id21023529G007C000020

#进入radio2射频视图。

[AC-wlan-ap-officeap]radio2

#将服务模板1绑定到AP的Radio2口，并使能Radio2。

[AC-wlan-ap-officeap-radio-2]service-template1

[AC-wlan-ap-officeap-radio-2]radioenable

[AC-wlan-ap-officeap-radio-2]quit

2.配置Switch

#创建VLAN100和VLAN300，其中VLAN100用于转发AC和AP间LWAPP隧道内的流量，VLAN300为无线用户接入的VLAN。

system-view

[Switch]vlan100

[Switch-vlan100]quit

[Switch]vlan300

[Switch-vlan300]quit

#配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk，当前Trunk口的PVID为100，允许VLAN100通过。

[Switch]interfaceGigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1]portlink-typetrunk

[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100

[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100

[Switch-GigabitEthernet1/0/1]quit

#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access，并允许VLAN100通过。

[Switch]interfaceGigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2]portlink-typeaccess

[Switch-GigabitEthernet1/0/2]portaccessvlan100

#使能PoE功能。

[Switch-GigabitEthernet1/0/2]poeenable

[Switch-GigabitEthernet1/0/2]quit

#配置Switch使能DHCP服务。

[Switch]dhcpenable

#创建名为vlan100的DHCP地址池，配置地址池范围为112.1.1.1~112.1.1.9，网关地址为112.1.1.10，为AP分配IP地址。

[Switch]dhcpserverip-poolvlan100extended

[Switch-dhcp-pool-vlan100]networkiprange112.1.1.1112.1.1.9

[Switch-dhcp-pool-vlan100]networkmask255.255.0.0

[Switch-dhcp-pool-vlan100]gateway-list112.1.1.10

[Switch-dhcp-pool-vlan100]quit

#创建名为vlan300的DHCP地址池，配置地址池范围为112.3.1.1~112.3.1.9，网关地址为112.3.1.10，为Client分配IP地址。

[Switch]dhcpserverip-poolvlan300extended

[Switch-dhcp-pool-vlan300]networkiprange112.3.1.1112.3.1.9

[Switch-dhcp-pool-vlan300]networkmask255.255.0.0

[Switch-dhcp-pool-vlan300]gateway-list112.3.1.10

[Switch-dhcp-pool-vlan300]quit

3.4.2安全认证的配置

1.配置AC

（1）配置认证策略和认证域

#在AC上创建RADIUS方案office并进入其视图。

system-view

[AC]radiusschemeoffice

#配置主认证、计费RADIUS服务器的IP地址为8.1.1.5。

[AC-radius-office]primaryauthentication8.1.1.5

[AC-radius-office]primaryaccounting8.1.1.5

#配置RADIUS认证、计费报文的共享密钥为123456789。

[AC-radius-office]keyauthenticationsimple123456789

[AC-radius-office]keyaccountingsimple123456789

#配置发送给RADIUS服务器的用户名不得携带域名。

[AC-radius-office]user-name-formatwithout-domain

#设置设备发送RADIUS报文使用的源IP地址。

[AC-radius-office]nas-ip112.1.1.10

[AC-radius-office]quit

#创建office1域并进入其视图。

[AC]domainoffice1

#在ISP域office1下，为lan-access用户配置认证、授权、计费方案为RADIUS方案，方案名为office。

[AC-isp-office1]authenticationlan-accessradius-schemeoffice

[AC-isp-office1]authorizationlan-accessradius-schemeoffice

[AC-isp-office1]accountinglan-accessradius-schemeoffice

#设置当前ISP域下的用户闲置切断功能，闲置检测时间为60分钟。

[AC-isp-office1]idle-cutenable60

[AC-isp-office1]quit

#创建office2域并进入其视图。

[AC]domainoffice2

#在ISP域office2下，为Portal用户配置认证、授权、计费方案为RADIUS方案，方案名为office。

[AC-isp-office2]authenticationportalradius-schemeoffice

[AC-isp-office2]authorizationportalradius-schemeoffice

[AC-isp-office2]accountingportalradius-schemeoffice

#设置当前ISP域下的用户闲置切断功能，闲置检测时间为60分钟。

[AC-isp-office2]idle-cutenable60

[AC-isp-office2]quit

（2）配置MAC地址认证

#全局使能端口安全功能。

[AC]port-securityenable

#配置MAC地址认证用户名格式，使用不带连字符的MAC地址作为用户名与密码。

[AC]mac-authenticationuser-name-formatmac-addresswithout-hyphen

#进入WLAN-ESS1接口。

[AC]interfacewlan-ess1

#配置端口安全模式为MAC地址认证，并指定MAC地址认证用户使用的认证域为office1。

[AC-WLAN-ESS1]port-securityport-modemac-authentication

[AC-WLAN-ESS1]mac-authenticationdomainoffice1

#配置MAC地址认证失败后，用户进入GuestVLAN300。

[AC-WLAN-ESS1]mac-authenticationguest-vlan300

[AC-WLAN-ESS1]quit

（3）配置本地Portal认证

#配置本地Portalserver。

[AC]portalserverportalip112.3.1.10

#配置本地Portal服务器支持HTTP协议类型。

[AC]portallocal-serverhttp

#配置GuestVLAN所在的接口VLAN300上启用Portal认证，并配置为直接认证方式。

[AC]interfacevlan-interface300

[AC-Vlan-interface300]portalserverportalmethoddirect

#配置从接口VLAN300接入的IPv4Portal用户使用认证域为office2。

[AC-Vlan-interface300]portaldomainoffice2

[AC-Vlan-interface300]quit

#配置Portal免认证规则，使得符合源接口为GigabitEthernet1/0/1（GigabitEthernet1/0/1接口为AC与交换机互通的接口）的报文不会触发Portal认证。

[AC]portalfree-rule0sourceinterfaceGigabitEthernet1/0/1

2.在RADIUSserver上配置设备接入和用户管理

下面以iMC为例（使用iMC版本为：

iMCPLAT5.2（E0401）、iMCUAM5.2（E0402），说明RADIUSserver的基本配置。

#增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[用户接入管理/接入设备管理/接入设备配置]菜单项，单击<增加>按钮，进入“增加接入设备”页面，单击<手工增加>按钮，进入“手工增加接入设备”页面。

∙填写起始IP地址为112.1.1.10，该IP地址为AC上配置的radiusscheme视图下的nas-ip地址。

∙单击<确定>按钮完成操作。

∙在“接入配置”页面配置共享密钥为123456789，该共享密钥与AC上配置Radius服务器时的密钥一致。

∙其他配置采用页面默认配置即可。

∙单击<确定>按钮完成操作。

#增加接入规则配置。

选择“业务”页签，单击导航树中的[用户接入管理/接入规则管理]菜单项，单击<增加>按钮，创建一条接入规则。

∙接入规则名输入“office”。

∙其它参数采用缺省值，并单击<确定>按钮完成操作。

#增加服务配置。

选择“业务”页签，单击导航树中的[用户接入管理/服务配置管理]菜单项，单击<增加>按钮，创建一条服务。

∙配置服务名为09797_portal（任意命名）。

∙缺省接入规则选择“office”。

∙其他采用默认配置。

∙单击<确定>按钮完成配置。

#增加接入用户。

选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户]菜单项，单击“接入用户列表”下面的<增加>按钮，增加一个接入用户。

∙单击<选择>按钮。

∙输入用户姓名shl，单击<查询>按钮。

∙页面返回查询结果，如果用户存在，则选中用户，单击<确定>按钮。

∙如果用户不存在，需单击<增加用户>按钮创建一个。

∙输入用户姓名和证件号码，单击<确定>完成。

∙配置帐号名和密码，本例中帐号名和密码都为shlportal。

∙勾选绑定服务名09797_portal。

∙单击<确定>按钮完成。

3.5验证配置

#完成以上配置后，无线用户Client上线进行MAC地址认证，由于RADIUSserver上配置的用户名和密码是普通的字符串形式，而在AC上配置的MAC地址认证的用户名和密码是不带连字符的MAC地址的形式，因此认证失败，无线用户Client进入GuestVLAN300。

在AC上通过命令displaywlanclient可以看见无线用户Client从GuestVLAN300上线。

[AC]

%Nov2517:

28:

07:

1902013ACWMAC/6/WMAC_CLIENT_JOIN_WLAN:

Client3ca9-f414-4c20successfullyjoinsWLANservice,onAPID1withBSSID8434-9700-c550.

[AC]displaywlanclient

TotalNumberofClients:

ClientInformation

SSID:

service

--------------------------------------------------------------------------------

MACAddressUserNameAPID/RIDIPAddressVLAN--------------------------------------------------------------------------------

3ca9-f414-4c203ca9f4144c201/2112.3.0.2300

--------------------------------------------------------------------------------

#在GuestVLAN300中的无线用户Client在通过Portal认证之前只能访问VLAN300的网络资源。

#在GuestVLAN300中的无线用户Client通过Portal认证后，可以通过命令displayportaluserall查看Portal认证信息。

%Nov2609:

28:

06:

8582013ACPORTAL/5/PORTAL_USER_LOGON_SUCCESS:

-UserName=admin-IPAddr=112.3.0.2-IfName=Vlan-interface300-VlanID=300-MACAddr=3ca9-f414-4c20-APMAC=B4B5-2F4F-2D8C-SSID=service-NasId=-NasPortId=;Usergotonlinesuccessfully.

[AC]displayportaluserall

Index:

1165

State:

ONLINE

SubState:

NONE

ACL:

NONE

Work-mode:

stand-alone

MACIPVlanInterface

----------------------------------------------------------------------------

3ca9-f414-4c20112.3.0.2300Vlan-interface300

Total1user（s）matched,1listed.

3.6配置文件

∙AC：

portalserverportalip112.3.1.10

portalfree-rule0sourceinterfaceGigabitEthernet1/0/1destinationany

portallocal-serverhttp

vlan100

vlan200

vlan300

radiusschemeoffice

primaryauthentication8.1.1.5

primaryaccounting8.1.1.5

keyauthenticationcipher$c$3$Zwf/J1gLh0obRwOY8qBSTzrYKvNqWQZHHpdNhQ==

keyaccountingcipher$c$3$GfKl0XsDx+9P85+f5cAMX1zbe4thEC/XrK9LUA==

user-name-formatwithout-domain

nas-ip112.1.1.10

domainoffice1

authenticationlan-accessradius-schemeoffice

authorizationlan-accessradius-schemeoffice

accountinglan-accessradius-schemeoffice

access-limitdisable

stateactive

idle-cutenable6010240

self-service-urldisable

展开阅读全文