新手678795 发表于 2024-7-19 13:19
  
感谢分享,有助于工资和学习!
新手678795 发表于 2024-7-20 17:15
  
感谢分下,有助于工资和学下!
dhf 发表于 2025-6-25 16:08
  
道路千万条,学习第一条!每天迅速GET新知识!
AC对接华为交换机做portal认证
  

赵冬伟 104981人觉得有帮助

{{ttag.title}}
项目背景:
客户想做802.1x的认证效果,接入内网后不做认证内网资源也无法访问,但又想通过弹portal页面的形式去认证,故推荐使用对接第三方控制器的方式做portal准入。
AC对接无线控制器做二层portal准入,支持portal协议的交换机也可做对接,下述为对接华为交换机的相关配置
AC测配置
1.      AC对接第三方控制器   红框内为必选项,对接url需要在控制器测配置有所体现
2.      radius服务器配置(默认端口1812,1813)
3.      跨三层取mac配置(三层环境下必须配置,华为交换机的OID倒数三四位需改成4.22)
4.      认证策略配置(结尾附图支持的认证方式)

华为交换机测配置(参考)
(1)配置终端IP
2)创建WLAN并允许通过vlan,保证网络畅通
[LSW1]vlan batch 11 12
[LSW1-Vlanif11]ip add 10.1.11.1 24
[LSW1-Vlanif12]ip add 10.1.12.1 24
[LSW1-GigabitEthernet0/0/1]port link-typeaccess
[LSW1-GigabitEthernet0/0/1]port defaultvlan 11
[LSW1-GigabitEthernet0/0/2]port link-typeaccess
[LSW1-GigabitEthernet0/0/2]port defaultvlan 12
2.配置AAA
1)配置radius服务器模板
[LSW1]radius-server template abc1
[LSW1-radius-abc1]radius-serverauthentication 10.1.11.11 1812
[LSW1-radius-abc1]radius-server accounting10.1.11.11 1813
[LSW1-radius-abc1]radius-server shared-keycipher ABCabc@123
2)创建aaa认证方案,并配置认证方式为radius
[LSW1]aaa
[LSW1-aaa]authentication-scheme abc1
[LSW1-aaa-authen-abc1]authentication-moderadius
[LSW1-aaa]accounting-scheme abc1
[LSW1-aaa-accounting-abc1]accounting-moderadius
3)创建认证域abc1.com,并绑定aaa认证方案和radius服务器模板
[LSW1-aaa]domain abc1.com
[LSW1-aaa-domain-abc1.com]authentication-schemeabc1
[LSW1-aaa-domain-abc1.com]radius-serverabc1
4)测试用户是否能够通过radius模板的认证
[LSW1]test-aaa test ABCabc@123radius-template abc1
显示:Info: Account test succeed,表示通过认证
3.配置portal认证
1)将配置模式切换成统一模式:缺省情况下,NAC配置模式即为统一模式,传统模式切换到统一模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。
[LSW1]authentication unified-mode
2)配置portal服务器模板
[LSW1] web-auth-server abc1
[LSW1-web-auth-server-abc1]server-ip10.1.11.11
[LSW1-web-auth-server-abc1]port 50200       ----------------华为交换机默认为50100
[LSW1-web-auth-server-abc1] url http://10.1.11.11:8080/portal   --------改为AC上的“对接url
[LSW1-web-auth-server-abc1] shared-keycipher ABCabc@123
3)配置portal接入模板
[LSW1] portal-access-profile name abc1
[LSW1-portal-access-profile-abc1]web-auth-serverabc1 direct
4)配置认证模板,并绑定portal模板,指定认证模板下用户强制认证域,指定用户接入模式为多用户单独认证,最大接入用户模式为100
[LSW1] authentication-profile name abc1
[Switch-authen-profile-abc1]portal-access-profile abc1
[Switch-authen-profile-abc1] access-domainabc1.com force
[Switch-authen-profile-abc1] authenticationmode multi-authen max-user 100
5)在接口上绑定认证模板,使能portal认证
[LSW1-GigabitEthernet0/0/2]authentication-profile abc1
6)配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址, 该功能对三层Portal认证用户不生效
[LSW1]access-user arp-detect vlan 12ip-address 10.1.12.1 mac-address 2222-1111-1234
4.验证配置结果
1)用户打开浏览器输入任意的网络地址后,将会被重定向到Portal认证页面。之后,用户可输入用户名和密码进行认证。。
2)如果用户输入的用户名和密码验证正确,portal认证页面会显示认证成功信息,用户即可访问网络。
3)用户上线后,管理员可在设备上执行命令display access-user access-type dot1x查看在线用户信息。
交换机测避坑配置:
1.      华为配置文档里portal服务器端口写的是50200,实则默认是50100,改成50100测试才正常
2.      华为portal服务器里配置的url为 http://ACIP/’对接url’
正常认证流程:
终端未认证流量到交换机上后,交换机重定向AC认证页面给终端认证(认证页面会携带AC上的acid
用户提交账号密码后,交换机提交给AC去鉴定,AC鉴定通过后发送相关认证通过报文让交换机放通该用户,由此用户上线成功;如果终端用户手动注销的话,AC也会向交换机发送注销报文,将该用户注销下线,并封堵端口
注:对接华为交换机支持配置的认证方式

打赏鼓励作者,期待更多好文!

打赏
29人已打赏

发表新帖
热门标签
全部标签>
新版本体验
每日一问
标准化排查
GIF动图学习
信服课堂视频
产品连连看
纪元平台
安全效果
平台使用
社区新周刊
功能体验
答题自测
技术笔记
网络基础知识
高手请过招
【 社区to talk】
云化安全能力
专家问答
安装部署配置
上网策略
畅聊IT
技术圆桌
在线直播
MVP
升级
安全攻防
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
排障笔记本
产品预警公告
玩转零信任
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
2023技术争霸赛专题
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
技术晨报
技术盲盒
山东区技术晨报
文档捉虫
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
西北区每日一问
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
专家说
热门活动
产品动态
行业实践
产品解析
关键解决方案

本版版主

0
0
1

发帖

粉丝

关注

本版热帖

本版达人