WIFI portal认证
文章简介
拓扑说明
AC portal接入组件
配置说明
文章简介
本文旨在介绍无线控制器AC如何联动radius服务器实现无线用户认证准入,着重于介绍网络设备侧的配置
此文以H3C AC使用自身portal-web界面 + 联动内网radius服务器实现无线准入
拓扑说明
需求:某公司内网无线网络需对接入用户进行portal认证,即当用户接入wifi,自动弹出web认证界面,用户输入账户密码即可访问网络
说明:内网中存在一台radius服务器对用户的账户密码进行验证、一台H3C AC用于管理AP。
radius服务器各功能已部署完成,且预共享秘钥为test999
VLAN10为AC、AP管理地址网段,VLAN20为接入用户无线网段
本场景默认AC可与radius server进行互访,如何实现互访不在本文谈论范围
AC portal接入组件
在AC上的配置组件与各组件间的关系见下图:
radius scheme:该组件规定了认证服务器、计费服务器的IP,以及服务器与AC之间的预共享秘钥。主要作用是归纳radius服务器的信息
domain域:该组件规定进行准入认证、授权、计费时,采用哪一个radius服务器。主要作用是将认证方式与radius服务器关联起来
portal-web-server:该组件定义了当用户接入wifi时,重定向到哪个网页输入账户密码。它可以是外部的、也可以是AC内置的web界面,此文介绍内置WEB。
通常来说,内置WEB是一个.zip类型的文件,用户跳转到认证界面的过程,即是用户访问AC中.zip文件的过程
主要作用是提供一个用户输入账户密码的交互界面,并收集用户所输入的内容
wlan service-template:该组件负责定义用户使用的网段、认证的类型(直接密码认证、802.1x、portal)、ssid(wifi名称),AP通过应用无线服务模板来实现wifi各项功能。主要作用是将整个wifi的信息关联起来
配置说明
我们已经了解完实现准入需要什么组件,现在来分析配置命令部分。建议根据上图来理解配置
AP的注册号也是它的序列号,在AP背板上可以找到(SN),此处假设为123456
AC:
基础配置:
int gx/0/x //进入与AP相连的端口 port link-mode bridge port access vlan 10 dhcp enable //开启dhcpip pool vlan10 //创建AP dhcp地址池 gateway-list 10.255.1.254 network 10.255.1.0 mask 255.255.255.0 address range 10.255.1.1 10.255.1.253 dns-list 8.8.8.8ip pool vlan20 //创建用户dhcp地址池 gateway-list 10.255.2.254 network 10.255.2.0 mask 255.255.255.0 address range 10.255.2.1 10.255.2.253 dns-list 8.8.8.8
radius scheme:
radius scheme radius1 //新建一个scheme,并命名为radius1 primary authentication 192.168.1.1 1812 //定义主认证服务器的IP,认证端口默认为1812 primary accounting 192.168.1.1 1813 //定义主计费服务器的IP,计费端口默认为1813 key authentication cipher test999 //定义认证预共享秘钥 key accounting cipher test999 //定义计费预共享秘钥 user-name-format without-domain //web界面收集的信息不加domain名称 nas-ip 10.255.1.254 //使用这个地址去联动radius服务器
domain:
domain domain1 //新建一个domain,并命名为domain1 authentication portal radius-scheme radius1 //接入方式使用portal,认证方式采用radius1 authorization portal radius-scheme radius1 //接入方式使用portal,授权方式采用radius1 accounting portal radius-scheme radius1 //接入方式使用portal,计费方式采用radius1
portal-web-server:
portal local-web-server http //创建一个本地web服务器 default-logon-page abc.zip //定义认证界面为本地的.zip文件界面,此处的abc根据实际文件名更改 portal web-server web1 //创建一个portal-web认证服务器,命名为web1 url http://10.255.1.254/portal/ //指定服务器web的url,即认证用户跳转的网页 server-type cmcc //一般使用cmcc url-parameter wlanuserip source-address //与web服务器联动时,带上用户的源地址
wlan service-template:
wlan service-template temp1 //新建一个服务模板,并命名为temp1 ssid guest //定义wifi名称为guest vlan 20 //定义接入用户的网段为vlan20 portal enable method direct //用户接入wifi时,访问网络重定向到认证界面 portal domain domain1 //关联domain1 portal apply web-server web1 //web服务器使用web1 service-template enable //启用该模板
注册AP:
wlan ap ap1 model [ap型号] serial-id [序列号] radio 1 radio enable //启用radio 1 service-template temp1 vlan 20 //应用服务模板 radio 2 radio enable //启用radio 2 service-template temp1 vlan 20 //应用服务模板
other:
以下命令均在系统视图配置
portal host-check enable //默认情况AC根据arp表项验证用户合法性,但二层组网/本地转发模式下ARP表中不存在未认证用户的表项,打开此功能后,AC会在dhcp snooping、wlan snooping、arp三个表项中查找用户表项 portal free-rule 1 destination ip any tcp 53 //对未认证用户放行dns流量 portal free-rule 2 destination ip any udp 53 //对未认证用户放行dns流量
至此所有配置均介绍完毕
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/8749.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
