版块 区域群组 北京区 AC对接华为交换机做portal认证
新手678795 发表于 2024-7-19 13:19
  
感谢分享,有助于工资和学习!
新手678795 发表于 2024-7-20 17:15
  
感谢分下,有助于工资和学下!
AC对接华为交换机做portal认证
  

赵冬伟 2024-4-30 14:3139671人觉得有帮助

{{ttag.title}}
项目背景:
客户想做802.1x的认证效果,接入内网后不做认证内网资源也无法访问,但又想通过弹portal页面的形式去认证,故推荐使用对接第三方控制器的方式做portal准入。
AC对接无线控制器做二层portal准入,支持portal协议的交换机也可做对接,下述为对接华为交换机的相关配置
AC测配置
1.      AC对接第三方控制器   红框内为必选项,对接url需要在控制器测配置有所体现
2.      radius服务器配置(默认端口1812,1813)
3.      跨三层取mac配置(三层环境下必须配置,华为交换机的OID倒数三四位需改成4.22)
4.      认证策略配置(结尾附图支持的认证方式)

华为交换机测配置(参考)
(1)配置终端IP
2)创建WLAN并允许通过vlan,保证网络畅通
[LSW1]vlan batch 11 12
[LSW1-Vlanif11]ip add 10.1.11.1 24
[LSW1-Vlanif12]ip add 10.1.12.1 24
[LSW1-GigabitEthernet0/0/1]port link-typeaccess
[LSW1-GigabitEthernet0/0/1]port defaultvlan 11
[LSW1-GigabitEthernet0/0/2]port link-typeaccess
[LSW1-GigabitEthernet0/0/2]port defaultvlan 12
2.配置AAA
1)配置radius服务器模板
[LSW1]radius-server template abc1
[LSW1-radius-abc1]radius-serverauthentication 10.1.11.11 1812
[LSW1-radius-abc1]radius-server accounting10.1.11.11 1813
[LSW1-radius-abc1]radius-server shared-keycipher ABCabc@123
2)创建aaa认证方案,并配置认证方式为radius
[LSW1]aaa
[LSW1-aaa]authentication-scheme abc1
[LSW1-aaa-authen-abc1]authentication-moderadius
[LSW1-aaa]accounting-scheme abc1
[LSW1-aaa-accounting-abc1]accounting-moderadius
3)创建认证域abc1.com,并绑定aaa认证方案和radius服务器模板
[LSW1-aaa]domain abc1.com
[LSW1-aaa-domain-abc1.com]authentication-schemeabc1
[LSW1-aaa-domain-abc1.com]radius-serverabc1
4)测试用户是否能够通过radius模板的认证
[LSW1]test-aaa test ABCabc@123radius-template abc1
显示:Info: Account test succeed,表示通过认证
3.配置portal认证
1)将配置模式切换成统一模式:缺省情况下,NAC配置模式即为统一模式,传统模式切换到统一模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。
[LSW1]authentication unified-mode
2)配置portal服务器模板
[LSW1] web-auth-server abc1
[LSW1-web-auth-server-abc1]server-ip10.1.11.11
[LSW1-web-auth-server-abc1]port 50200       ----------------华为交换机默认为50100
[LSW1-web-auth-server-abc1] url http://10.1.11.11:8080/portal   --------改为AC上的“对接url
[LSW1-web-auth-server-abc1] shared-keycipher ABCabc@123
3)配置portal接入模板
[LSW1] portal-access-profile name abc1
[LSW1-portal-access-profile-abc1]web-auth-serverabc1 direct
4)配置认证模板,并绑定portal模板,指定认证模板下用户强制认证域,指定用户接入模式为多用户单独认证,最大接入用户模式为100
[LSW1] authentication-profile name abc1
[Switch-authen-profile-abc1]portal-access-profile abc1
[Switch-authen-profile-abc1] access-domainabc1.com force
[Switch-authen-profile-abc1] authenticationmode multi-authen max-user 100
5)在接口上绑定认证模板,使能portal认证
[LSW1-GigabitEthernet0/0/2]authentication-profile abc1
6)配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址, 该功能对三层Portal认证用户不生效
[LSW1]access-user arp-detect vlan 12ip-address 10.1.12.1 mac-address 2222-1111-1234
4.验证配置结果
1)用户打开浏览器输入任意的网络地址后,将会被重定向到Portal认证页面。之后,用户可输入用户名和密码进行认证。。
2)如果用户输入的用户名和密码验证正确,portal认证页面会显示认证成功信息,用户即可访问网络。
3)用户上线后,管理员可在设备上执行命令display access-user access-type dot1x查看在线用户信息。
交换机测避坑配置:
1.      华为配置文档里portal服务器端口写的是50200,实则默认是50100,改成50100测试才正常
2.      华为portal服务器里配置的url为 http://ACIP/’对接url’
正常认证流程:
终端未认证流量到交换机上后,交换机重定向AC认证页面给终端认证(认证页面会携带AC上的acid
用户提交账号密码后,交换机提交给AC去鉴定,AC鉴定通过后发送相关认证通过报文让交换机放通该用户,由此用户上线成功;如果终端用户手动注销的话,AC也会向交换机发送注销报文,将该用户注销下线,并封堵端口
注:对接华为交换机支持配置的认证方式

打赏鼓励作者,期待更多好文!

打赏
29人已打赏
123456789

发表新帖
作者其他文章
浪潮服务器RAID1配置步骤 edr部署在阿里云平台,启用eps后隔十几分钟就会系统卡死
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力
转盘
任务
商城
勋章
成长计划

本版版主

北京办郎文杰
1
0
1

发帖

粉丝

关注

本版热帖

本版达人