本地转发 + Portal认证典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 配置注意事项 (2)3.4 配置步骤 (3)3.4.1 AC的配置 (3)3.4.2 Switch的配置 (6)3.4.3 RADIUS服务器的配置 (7)3.4.4 Portal服务器的配置 (11)3.5 验证配置 (14)3.6 配置文件 (15)4 相关资料 (17)1 简介本文档介绍了使用AC的Portal认证支持本地转发特性的典型配置举例。
2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Portal认证、MAC地址认证和WLAN的本地转发特性。
3 配置举例3.1 组网需求如图1所示,Client通过无线网络访问Internet,AP和Client通过DHCP服务器获取IP地址。
现要求当Client接入无线网络时,当MAC地址认证不通过时,配置Portal认证使得Client安全接入,再进行MAC地址认证,使Client进行本地转发。
具体实现如下:•Client初始访问网络时,当MAC地址认证不通过时,Client进入Guest VLAN,进行集中转发。
•Client进入Guest VLAN并获取IP地址后进行Portal认证,Portal认证通过后,AC会强制Client下线并重新触发MAC地址认证。
•Client通过MAC地址认证后会重新获取IP地址,进行本地转发。
图1 本地转发+Portal 认证组网图3.2 配置思路•为了使AC 能够判断要进行MAC 认证的Client 是否通过Portal 认证,需在WLAN-ESS 接口下配置mac-authentication trigger after-portal 命令。
•为了使Client 经过Portal 认证后,被AC 强制下线进行MAC 地址认证,需要在WLAN-ESS 接口下配置端口安全模式为MAC 地址认证。
•为了使AP 能够直接转发Client 报文,需要在AC 的服务模板下开启本地转发功能,同时通过下发apcfg.txt 文件来对AP 进行配置实现本地转发。
• Guest VLAN 与业务VLAN 的IP 网段不同,为了使Client 在Guest VLAN 和业务VLAN 中都能够与其它设备正常通信,需要在DHCP 服务器上为这两个VLAN 配置不同的地址池,根据Client 所在VLAN 为其分配不同的IP 地址。
3.3 配置注意事项•配置Portal 认证的参数后,需要在AC 相应接口上使能三层Portal 认证。
•配置AP 的序列号时请确保该序列号与AP 唯一对应,AP 的序列号可以通过AP 设备背面的标签获取。
• AC 需要下发给AP 的MAP 文件apcfg.txt ,目的是将AP 的GigabitEthernet1/0/1接口加入本地转发的VLAN 300。
DHCP server AC APClient RADIUS/Portal server3.4 配置步骤3.4.1 AC的配置(1) 配置AC接口# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
<AC> system-view[AC] vlan 100[AC-vlan100] quit[AC] interface vlan-interface 100[AC-Vlan-interface100] ip address 191.100.0.1 16[AC-Vlan-interface100] quit# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN,并作为集中转发的Guest VLAN,配置VLAN 200的接口IP地址。
[AC] vlan 200[AC-vlan200] quit[AC] interface vlan-interface 200[AC-Vlan-interface200] ip address 191.200.0.1 16[AC-Vlan-interface200] quit# 创建VLAN 300作为Client接入的VLAN,并作为本地转发VLAN,配置VLAN 300的接口IP地址。
[AC] vlan 300[AC-vlan300] quit[AC] interface vlan-interface 300[AC-Vlan-interface300] ip address 191.30.0.1 16[AC-Vlan-interface300] quit# 配置AC与Switch相连接口GigabitEthernet1/0/1的为Trunk类型,禁止VLAN 1报文通过,,配置PVID为VLAN 100,允许VLAN 100、VLAN 200和VLAN 300通过。
[AC] interface gigabitethernet 1/0/1[AC-GigabitEthernet1/0/1] port link-type trunk[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100[AC-GigabitEthernet1/0/1] quit# 创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。
[AC] interface wlan-ess 1[AC-WLAN-ESS1] port link-type hybrid# 配置当前Hybrid端口的PVID为VLAN 300,禁止VLAN 1通过,并允许VLAN 200、VLAN 300不带tag通过。
[AC-WLAN-ESS1] undo port hybrid vlan 1[AC-WLAN-ESS1] port hybrid vlan 200 300 untagged[AC-WLAN-ESS1] port hybrid pvid vlan 300# 使能MAC VLAN功能。
[AC-WLAN-ESS1] mac-vlan enable[AC-WLAN-ESS1] quit(2) 配置RADIUS方案# 创建名为office的RADIUS方案并进入其视图。
[AC] radius scheme office# 将RADIUS方案office的RADIUS服务器类型设置为extended。
[AC-radius-office] server-type extended# 配置主认证和主计费服务器地址为191.100.0.10,认证/计费报文的共享密钥为key。
[AC-radius-office] primary authentication 191.100.0.10 key key[AC-radius-office] primary accounting 191.100.0.10 key key# 配置发送给RADIUS服务器的用户名不得携带ISP域名。
[AC-radius-office] user-name-format without-domain# 配置发送RADIUS报文使用的源IP地址为191.100.0.1。
[AC-radius-office] nas-ip 191.100.0.1[AC-radius-office] quit(3) 配置认证域# 配置认证域,名称为office[AC] domain office# 配置ISP域lan-access用户的认证、授权、计费方式为none。
[AC-isp-office] authentication lan-access none[AC-isp-office] authorization lan-access none[AC-isp-office] accounting lan-access none# 配置ISP域Portal用户使用RADIUS方案进行认证、授权和计费,方案名称为为office。
[AC-isp-office] authentication portal radius-scheme office[AC-isp-office] authorization portal radius-scheme office[AC-isp-office] accounting portal radius-scheme office[AC-isp-office] quit(4) 配置Portal认证# 配置Portal服务器office的IP地址为191.100.0.10,密钥为key,URL为http://191.100.0.10:8080/portal。
[AC] portal server office ip 191.100.0.10 key key url http://191.100.0.10:8080/portal # 由于接口GE1/0/1连接的是各个服务器,因此需要配置Portal免认证规则,对该接口连接的设备不进行Portal认证。
[AC] portal free-rule 0 source interface gigabitethernet 1/0/1 destination any# 进入接口VLAN 200视图。
[AC] interface vlan-interface 200# 指定接入的Portal用户使用认证域为office。
[AC-Vlan-interface200] portal domain office# 配置发送Portal报文使用的源地址为191.100.0.1。
[AC-Vlan-interface200] portal nas-ip 191.100.0.1# 使能三层Portal认证,指定Portal服务器office,并配置为直接认证方式。