WX系列遠(yuǎn)程portal認(rèn)證與IMCv7平臺(tái)典型配置

本文格式為Word版，下載可任意編輯——WX系列遠(yuǎn)程portal認(rèn)證與IMCv7平臺(tái)典型配置WX系列遠(yuǎn)程portal認(rèn)證與IMCv7平臺(tái)典型配置

一、組網(wǎng)需求及背景

1.portal認(rèn)證概述

Portal在英語(yǔ)中“入口〞的意思。Portal認(rèn)證也稱為Web認(rèn)證，Portal認(rèn)證網(wǎng)站稱為門(mén)戶網(wǎng)站。PORTAL頁(yè)面在顯著的位置設(shè)置認(rèn)證窗口，用戶開(kāi)機(jī)后獲取IP地址，通過(guò)登陸PORTAL認(rèn)證窗口進(jìn)行認(rèn)證，認(rèn)證通過(guò)后即可訪問(wèn)Internet。

Portal基本功能的實(shí)現(xiàn)需要4個(gè)元素：PortalServer，RADIUS服務(wù)器，支持Portal協(xié)議的接入設(shè)備，Portal客戶端。其中PortalServer的作用是，接受Portal客戶端認(rèn)證請(qǐng)求的服務(wù)器端系統(tǒng)，提供基于Web認(rèn)證的界面，與接入設(shè)備交互認(rèn)證客戶端的認(rèn)證信息。設(shè)備內(nèi)嵌Portal-WebServer能夠解析客戶端發(fā)來(lái)的http上線認(rèn)證、下線，形成認(rèn)證、下線請(qǐng)求給Portal模塊，然后根據(jù)返回的結(jié)果，推出對(duì)應(yīng)的頁(yè)面給客戶端。這樣設(shè)備就支持web用戶直接登錄而不需要額外的部署PortalServer。從而大大加強(qiáng)了Portal功能的通用性，如圖1-1所示。

從圖1-1可以看出：Portal-WebServer和Portal客戶端之間是http協(xié)議報(bào)文，發(fā)送用戶的登錄請(qǐng)求、下線請(qǐng)求；設(shè)備Portal-WebServer解析http請(qǐng)求，封裝成Portal-WebServer模塊與Portal模塊之間的消息，傳遞給Portal模塊；Portal接收到消息后，觸發(fā)相應(yīng)的動(dòng)作，向RadiusServer發(fā)送認(rèn)證、授權(quán)和計(jì)費(fèi)報(bào)文。

Portal認(rèn)證中

AC作用：管理portalclient。

Portalserver作用：登記portalclient用戶信息，用戶名密碼。

Radiusserver作用：認(rèn)證、驗(yàn)證用戶名密碼信息。

2.組網(wǎng)圖

本配置舉例中，使用WX3024作為無(wú)線控制器，版本號(hào)為R3120P13。AC作為AP網(wǎng)關(guān)（vlan-interface10:54/24）并配置DHCPserver為AP分派IP地址。AC作為STA網(wǎng)關(guān)(vlan-interface10：54/24)并配置DHCPServer為STA分派IP地址。交換機(jī)為AP提供POE供電。Vlan100作為接入服務(wù)器的vlan。二、配置步驟1.AC側(cè)配置[WX3024]discu#

version5.20,Release3120P13

#

sysnameWX3024#

domaindefaultenableportal#

telnetserverenable#

port-securityenable#

portalserverimcip00keycipher$c$3$itGGvsiMps7ZVVGRRI40l/6E160UchEsurl00:80/portalserver-typeimc

#

portalfree-rule0sourceinterfaceGigabitEthernet1/0/1destinationany#

oapmanagement-ip01slot0#

password-recoveryenable#vlan1#vlan10#

vlan100

#

radiusschemeportalprimaryauthentication00primaryaccounting00

keyauthenticationcipher

$c$3$t+9cWQ48XdhS2Quths+KClYMwVa9oGKt

keyaccountingcipher$c$3$l6V/RTZVkThp3fZVYCtqf/9Gj1cUvW1Tuser-name-formatwithout-domainnas-ip66#

domainportal

authenticationportalradius-schemeportalauthorizationportalradius-schemeportalaccountingportalradius-schemeportalaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#

dhcpserverip-pool10

networkmaskgateway-list54#

dhcpserverip-poolvlan1

networkmaskgateway-list54#

user-groupsystem

group-attributeallow-guest#

local-useradmin

passwordcipher$c$3$NdK60B00+clPqkKk1AxAFbETbktHL//4authorization-attributelevel3service-typetelnet#wlanrrm

dot11amandatory-rate61224dot11asupported-rate918364854dot11bmandatory-rate12dot11bsupported-rate5.511dot11gmandatory-rate125.511

dot11gsupported-rate69121824364854

#

wlanservice-template1clearssidh3c-wubindWLAN-ESS10service-templateenable#

wlanap-groupdefault_groupapap1apap2apap3#

interfaceNULL0#

interfaceVlan-interface1

ipaddress54#

interfaceVlan-interface10

ipaddress54portalserverimcmethoddirectportaldomainportal

portalnas-port-typewirelessportalnas-ip44#

interfaceVlan-interface100

ipaddress44#

interfaceGigabitEthernet1/0/1portlink-typetrunkporttrunkpermitvlanall#

interfaceWLAN-ESS10portaccessvlan10#

nqaentryimclinktopologypleaseignorepingtypeicmp-echo

destinationip54frequency270000#

wlanapap1modelWA2612-AGNid1serial-id210235A35WB09C000028radio1

service-template1radioenable#

snmp-agent

snmp-agentlocal-engineid800063A203000FE2873066

snmp-agentcommunityreadpublicsnmp-agentcommunitywriteprivatesnmp-agentsys-infoversionv2cv3

snmp-agenttarget-hosttrapaddressudp-domain00paramssecuritynamepublicv2c

#

dhcpenable#

arp-snoopingenable#

nqascheduleimclinktopologypleaseignorepingstart-timenowlifetime630720000

#

user-interfacecon0user-interfacevty04authentication-modeschemeuserprivilegelevel3#Return

2.主要配置步驟

①#創(chuàng)立vlan，并配置vlan接口ip地址。#控制vlanvlan1#業(yè)務(wù)vlan

vlan10

#接入服務(wù)器vlanvlan100#管理vlan接口信息interfaceVlan-interface1

ipaddress54

#業(yè)務(wù)vlan接口上使能portal認(rèn)證，并配置接入的portal用戶使用認(rèn)證域imcinterfaceVlan-interface10

ipaddress54portalserverimcmethoddirectportaldomainportal

portalnas-port-typewirelessportalnas-ip44

#接入服務(wù)器vlan，及服務(wù)器下發(fā)的地址ip44interfaceVlan-interface100

ipaddress44②#配置DHCPserver

dhcpserverip-pool10#業(yè)務(wù)vlan地址池networkmaskgateway-list54#

dhcpserverip-poolvlan1#AP注冊(cè)vlan地址池networkmask

gateway-list54③#使能ARPSnooping功能

命令displaywlanclient顯示無(wú)線客戶端的IP地址。命令displaywlanclient顯示的無(wú)線客戶端的IP地址首先從ARPSnooping模塊獲取，從ARPSnooping模塊獲取不到時(shí)從DHCPSnooping模塊獲取。從DHCPSnooping模塊也獲取不到時(shí)顯示。

[AC]arp-snoopingenable④#無(wú)線服務(wù)模板

wlanservice-template1clearssidh3c-wubindWLAN-ESS10service-templateenable

#配置無(wú)線虛接口，并放通相應(yīng)的業(yè)務(wù)vlan10interfaceWLAN-ESS10portaccessvlan10

#AP管理模板，綁定相應(yīng)服務(wù)模板并使能radiowlanapap1modelWA2612-AGNid1serial-id210235A35WB09C000028radio1

service-template1radioenable

⑤#配置portalserver

#配置portalserver，名字為imc，URL為00/portaladmin

key：

portalserverimcip00keycipher$c$3$itGGvsiMps7ZVVGRRI40l/6E160UchEsurl00:80/portalserver-typeimc

#配置portal免認(rèn)證規(guī)則，允許從GE1/0/1口接入的用戶的所有報(bào)文portalfree-rule0sourceinterfaceGigabitEthernet1/0/1destinationany##

#radius（AAA）服務(wù)器策略，服務(wù)器地址：00radiusschemeportal#創(chuàng)立名為portal的radius方案primaryauthentication00#創(chuàng)立radius方案的主認(rèn)證和主計(jì)費(fèi)服務(wù)器及通信密鑰

primaryaccounting00

keyauthenticationcipher

$c$3$t+9cWQ48XdhS2Quths+KClYMwVa9oGKt

keyaccountingcipher$c$3$l6V/RTZVkThp3fZVYCtqf/9Gj1cUvW1Tuser-name-formatwithout-domain#配置發(fā)送給radius服務(wù)器的用戶不攜帶isp域名

nas-ip44#radius服務(wù)器，下發(fā)的接入nas-ip地址#

domainportal#創(chuàng)立名為portal的isp認(rèn)證域authenticationportalradius-schemeportalauthorizationportalradius-schemeportalaccountingportalradius-schemeportalaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable

⑥#配置SNMP，必需與imc配置一致snmp-agent

snmp-agentlocal-engineid800063A203000FE2873066snmp-agentcommunityreadpublicsnmp-agentcommunitywriteprivatesnmp-agentsys-infoversionv2cv3

snmp-agenttarget-hosttrapaddressudp-domain00paramssecuritynamepublicv2c

3.SW側(cè)配置：略

4.IMCv7平臺(tái)配置#配置Portal服務(wù)器。

登錄進(jìn)入iMC管理平臺(tái)，選擇“用戶〞頁(yè)簽，點(diǎn)擊導(dǎo)航樹(shù)中的[接入策略管理/Portal服務(wù)管理/服務(wù)器配置]菜單項(xiàng)，根據(jù)實(shí)際組網(wǎng)狀況調(diào)整參數(shù)，本例中使用缺省配置。

#配置IP地址組。

點(diǎn)擊導(dǎo)航樹(shù)中的[Portal服務(wù)管理/IP地址組配置]菜單項(xiàng)，進(jìn)入IP地址組配置頁(yè)面，在該頁(yè)面中點(diǎn)擊按鈕，進(jìn)入增加IP地址組配置頁(yè)面。填寫(xiě)IP地址組名portal-h3c；輸入起始地址和終止地址54。用戶主機(jī)IP地址必需包含在該IP地址組范圍內(nèi)；選擇業(yè)務(wù)分組，本例中使用缺省的“未分組〞；選擇IP地址組的類型為“普通〞。

#增加Portal設(shè)備。

點(diǎn)擊導(dǎo)航樹(shù)中的[Portal服務(wù)管理/菜單項(xiàng)，進(jìn)入設(shè)備配置頁(yè)面，在該頁(yè)面中點(diǎn)擊按鈕，進(jìn)入增加設(shè)備信息配置頁(yè)面。填寫(xiě)設(shè)備名portal-h3c；IP地址為接入設(shè)備AC上與Portal服務(wù)器通信的NAS-IP44；密鑰h3c，與接入設(shè)備AC上的配置保持一致；組網(wǎng)方式選擇〞直連〞；其它參數(shù)采用缺省值。

#Portal設(shè)備關(guān)聯(lián)IP地址組。

在Portal設(shè)備配置頁(yè)面中的設(shè)備信息列表中，點(diǎn)擊AC設(shè)備的鏈接，進(jìn)入端口組信息配置頁(yè)面。

在端口組信息配置頁(yè)面中點(diǎn)擊按鈕，進(jìn)入增加端口組信息配置頁(yè)面。填寫(xiě)端口組名portal-h3c；選擇IP地址組portal-h3c，用戶接入網(wǎng)絡(luò)時(shí)使用的IP地址必需屬于所選的IP地址組；其它參數(shù)采用缺省值。

#配置接入設(shè)備。

選擇“資源〞頁(yè)簽，點(diǎn)擊導(dǎo)航樹(shù)中的[資源管理/增加設(shè)備]菜單項(xiàng)。填寫(xiě)主機(jī)名或IP地址44；根據(jù)實(shí)際組網(wǎng)狀況配置登錄方式，并配置SNMP參數(shù)（只讀團(tuán)體字public，讀寫(xiě)團(tuán)體字private）、Telnet參數(shù)（用戶名admin，密碼admin）、SSH參數(shù)（默認(rèn)）。

選擇“用戶〞頁(yè)簽，點(diǎn)擊導(dǎo)航樹(shù)中的[接入策略管理/接入設(shè)備管理/接入設(shè)備配置]菜單項(xiàng)。在接入設(shè)備列表點(diǎn)擊按鈕，進(jìn)入增加接入設(shè)備配置頁(yè)面。填寫(xiě)共享密鑰h3c，與接入設(shè)備AC上的配置保持一致。

在設(shè)備列表點(diǎn)擊，進(jìn)入選取設(shè)備頁(yè)面，通過(guò)設(shè)備IP：44的確切查詢查找設(shè)備，并添加為，點(diǎn)擊。

點(diǎn)擊完成接入設(shè)備的配置。

#配置服務(wù)配置管理。

選擇“用戶〞頁(yè)簽，點(diǎn)擊導(dǎo)航樹(shù)中的[接入策略管理/接入服務(wù)管理]菜單項(xiàng)。在服務(wù)列表點(diǎn)擊，進(jìn)入增加服務(wù)配置頁(yè)面，填寫(xiě)服務(wù)名h3c-portal，其它參數(shù)采用缺省值。

#配置接入用戶。

選擇“用戶〞頁(yè)簽，點(diǎn)擊導(dǎo)航樹(shù)中的[用戶管理/增加用戶]菜單項(xiàng)。填寫(xiě)用戶姓名:portal001和證件號(hào)碼：01022171414，其他默認(rèn)，并點(diǎn)擊確認(rèn)。

點(diǎn)擊，進(jìn)入增加接入用戶界面，填寫(xiě)賬號(hào)名portal001和密碼portal001(可另設(shè))，并選擇接入服務(wù)h3c-portal，點(diǎn)擊確定，查看接入用戶列表；

三、試驗(yàn)驗(yàn)證1.驗(yàn)證

在IE瀏覽器輸入00:80/portal,portal服務(wù)器會(huì)將用戶請(qǐng)求的頁(yè)面強(qiáng)制重定向到portal認(rèn)證頁(yè)面，并輸入用戶名和密碼，即可