51CTO下载WX6103与iMC+Drcom配合实现Portal认证功能的典型配置.docx
《51CTO下载WX6103与iMC+Drcom配合实现Portal认证功能的典型配置.docx》由会员分享,可在线阅读,更多相关《51CTO下载WX6103与iMC+Drcom配合实现Portal认证功能的典型配置.docx(16页珍藏版)》请在冰点文库上搜索。
51CTO下载WX6103与iMC+Drcom配合实现Portal认证功能的典型配置
WX6103与iMC+Drcom配合实现Portal认证功能的典型配置
适用与WX6103版本:
ComwareSoftware,Version5.20,Release2107
一、组网需求:
WX6103、WA2220、H3CPOE交换机、便携机(安装有11b/g无线网卡)、IMC服务器、CAMS服务器、DHCP服务器、汇聚交换机。
二、应用组网图:
无线客户端接入SSID:
test属于VLAN791,网关在汇聚交换机上为211.71.79.1。
无线客户端接入SSID:
yingxin为VLAN792,网关在汇聚交换机上为211.71.79.65
IMC服务器地址:
202.112.154.60 (做portalserver和第二个radiusserver)
第三方服务器地址为:
10.10.43.3 (第一个radiusserver)
注意:
保证WX6103到IMC、第三方radius服务器路由可达,且注意中间无防火墙将对应端口封堵,此典型配置为实际校园组网,为满足SSID:
test用户可以访问校园内外网,SSID:
yingxin用户只能访问校内网。
三、WX6103的典型配置
version5.20,Release2107
#
sysnameWX6103
#
domaindefaultenablebjtu
#
telnetserverenable
#
portalserverh3cip202.112.154.60keyh3curlhttp:
//202.112.154.60:
8080/portal
portalfree-rule0sourceanydestinationip211.71.79.0mask255.255.255.192
portalfree-rule1sourceanydestinationip211.71.79.64mask255.255.255.192
portalfree-rule3sourceanydestinationip202.112.144.236mask255.255.255.255
portalfree-rule4sourceanydestinationip202.112.144.246mask255.255.255.255
portalfree-rule5sourceip202.112.144.236mask255.255.255.255destinationany
portalfree-rule6sourceip202.112.144.246mask255.255.255.255destinationany
#
user-isolationvlan1enable
user-isolationvlan1permit-mac000E-84FA-4C80000F-E290-A942
#
vlan1
#
vlan791to792
#
radiusschemebjtu
primaryauthentication10.10.43.3
keyauthenticationwireles
user-name-formatwithout-domain
nas-ip10.1.154.1
radiusschemeh3c
primaryauthentication202.112.154.60
primaryaccounting202.112.154.60
keyauthenticationh3cwireless
keyaccountingh3cwireless
nas-ip10.1.154.1
radiusschemewang
primaryauthentication127.0.0.1
primaryaccounting127.0.0.1
keyauthenticationwang
keyaccountingwang
nas-ip172.0.0.1
#
domainbjtu
authenticationportalradius-schemebjtu
authorizationportalradius-schemebjtu
accountingportalnone
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domainh3c
authenticationportalradius-schemeh3c
authorizationportalradius-schemeh3c
accountingportalradius-schemeh3c
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domainsystem
authorizationportalradius-schemewang
accountingportalradius-schemewang
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
local-user123
passwordsimple123
service-typelan-access
service-typetelnet
local-userh3c
passwordsimpleh3c
service-typetelnet
level3
#
wlanrrm
11amandatory-rate61224
11asupported-rate918364854
11bmandatory-rate12
11bsupported-rate5.511
11gmandatory-rate125.511
11gsupported-rate69121824364854
#
wlanservice-template1clear
ssidweb.wlan.bjtu
bindWLAN-ESS1
authentication-methodopen-system
service-templateenable
#
wlanservice-template2clear
ssidyingxin.wlan.bjtu
bindWLAN-ESS2
authentication-methodopen-system
service-templateenable
#
interfaceNULL0
#
interfaceVlan-interface1
ipaddress10.1.154.1255.255.255.0
#
interfaceVlan-interface791
ipaddress211.71.79.3255.255.255.192
portalserverh3cmethoddirect
#
interfaceVlan-interface792
ipaddress211.71.79.66255.255.255.192
portalserverh3cmethoddirect
#
interfaceM-GigabitEthernet1/0/1
ipaddress192.168.1.1255.255.255.0
#
interfaceTen-GigabitEthernet1/0/1
portlink-typetrunk
porttrunkpermitvlanall
#
interfaceWLAN-ESS1
portaccessvlan791
#
interfaceWLAN-ESS2
portaccessvlan792
#
wlanap2001modelWA2220-AG
serial-id210235A29E0083000070
radio1
service-template1
service-template2
radioenable
radio2
service-template1
service-template2
radioenable
#
wlanap2sushemodelWA2220X-AGP
serial-id210235A29J0083000159
radio1
service-template2
radioenable
radio2
channel11
service-template2
radioenable
#
iproute-static0.0.0.00.0.0.010.1.154.254
#
snmp-agent
snmp-agentlocal-engineid800063A203000FE290A942
snmp-agentcommunityreadpublic
snmp-agentcommunitywriteprivate
snmp-agentsys-infoversionall
snmp-agenttarget-hosttrapaddressudp-domain10.1.154.1paramssecuritynamepublic
snmp-agenttarget-hosttrapaddressudp-domain202.112.154.60paramssecuritynamepublic
#
user-interfacecon0
user-interfacevty04
authentication-modescheme
userprivilegelevel3
#
return
四、IMC和第三方radius的配置
1、配置PortalServer.
步骤1、增加IP地址组
增加的ip地址组是指Station接入后获得的IP地址所属的网段,本例中Station获得的IP地址test池是211.71.79.0/26,所以这里添加的ip地址组就是从211.71.79.0到211.71.79.63。
本例中Station获得的IP地址yingxin池是211.71.79.65/26,所以这里添加的ip地址组就是从211.71.79.65到211.71.79.127。
步骤2、配置设备信息
配置设备信息,IP地址:
Station连接的WX6103上Wlan-ESS口所属vlan的三层口IP地址。
本例中为211.71.79.3和211.71.79.66。
版本:
portal2.0
密钥:
WX6103上配置的portalserver的密钥。
本例中为“h3c”。
步骤3、配置端口管理信息
主要配置端口组名和IP地址组,IP地址组选择步骤1中创建的IP地址组名。
步骤4、配置生效
配置完毕后,点击系统配置手工生效。
2、 接入设备配置
在接入设备配置中将接入设备的IP地址加入或者保证设备的管理IP10.1.154.1添加接入设备地址或者IP范围内10.1.154.0-10.1.154.254包含这个IP地址。
保证添加的接入设备的共享密钥与设备的配置一致,本例中为“h3cwireless”
3、服务配置
4、创建帐户配置
为用户帐户创建登录帐号test和yingxin,并指定相应的服务.
五、验证结果
步骤1、连接SSID“test.wlan.bjtu”,自动获取211.71.79.0/26网段的地址。
步骤2、在IE中输入任意IP地址,可重定向到http:
//202.112.154.60:
8080/portal页面,输入用户名和密码后认证成功。
此时可以访问学校的内部网络.
当访问公网的地址时,可以弹出和第三方radius的二次计费认证页面,输入帐号密码认证成功后,就可以访问互联网。
步骤3、连接SSID“yingxin.wlan.bjtu”,自动获取211.71.79.65/26网段的地址。
(不附图)
步骤4、在IE中输入任意IP地址,可重定向到http:
//202.112.154.60:
8080/portal页面,输入用户名和密码后认证成功。
此时可以访问学校的内部网络.
六、FAQ
1、默认情况下,Portal可以让广播报文和组播报文通过,所以未通过认证前Station也可以通过DHCPServer获得IP地址。
2、在未通过认证前,Station上线后应可以Ping通portalserver.
3、如果通过DNSServer获取IP地址后上网,还需增加几条PortalFree规则:
[WX6103]portalfree-rule3sourceanydestinationip202.112.144.236mask255.255.255.255
[WX6103]portalfree-rule4sourceanydestinationip202.112.144.246mask255.255.255.255
[WX6103]portalfree-rule5sourceip202.112.144.236mask255.255.255.255destinationany
[WX6103]portalfree-rule6sourceip202.112.144.246mask255.255.255.255destinationany
4、AP和Station要在不同的网段,因为如果AP和Station在同一网段,在此网段启用Portal认证后会影响AP的注册。