最近做了个AC与锐捷无线控制器对接portal认证的项目,发现公司没有对接锐捷的案例指导,搞得开荒过程很痛苦,因此将过程整理出来与大家分享。
1. 基本信息1.1. 拓扑某公司AC:192.168.110.222 锐捷无线控制器:192.168.110.71 锐捷无线用户IP段:192.168.1.0/24
图1.1 portal环境拓扑 1.2. 功能介绍Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本,不同版本的Web认证流程不同,分别称为锐捷一代Web认证和锐捷二代Web认证。 适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等)但是又想对网络中的客户做准入控制。
2. 锐捷控制器配置2.1预先条件 锐捷无线控制器基础网络已配通 AC与锐捷无线控制器网络可达 2.2新建WIFI 某公司(config)# wlan-config 5 某公司Portal //创建WIFI名称为某公司Portal wlan-id为5 某公司(config-wlan)# ssid-code utf-8 //编码使用utf-8 某公司(config-wlan)#tunnel local //开启wlan-id 5 的本地转发功能 备注:wlan-id与转发模式需要根据客户现网环境决定,例如客户已经创建了4个WIFI,那么我们就可以设置我们的wlan-id为5. 如果用户数据直接从交换转发出,那么可以使用本地转发模式 如果用户数据需要通过锐捷无线控制器转发出,那么可以使用集中转发模式 2.3配置portal服务器模板 某公司(config)#web-auth template CMCC v2 //创建portal认证模版CMCC ,协议为二代认证版本v2 某公司(config.tmplt.CMCC)# ip 192.168.110.222 // portal服务器ip地址设置为某公司AC的IP地址 某公司(config.tmplt.CMCC)# fmt custom encrynone user-ip userip user-mac usermacmac-format line ap-mac apmacmac-format line url firsturladditional portaltype=custom //定义客户端参数字段user-ip、user-mac等参数,对应某公司AC配置见下图 某公司(config)#web-auth portal key ruijie //设置共享密钥为ruijie
2.4开启AAA功能,配置radius服务器 某公司(config)#aaanew-model //开启AAA功能 某公司(config)#ip radius source-interfacevlan 1 //定义锐捷与某公司AC通信的vlan 某公司(config)#radius-server host192.168.110.222 key 123 //定义radius服务器为某公司AC的IP 密钥为123
2.5配置AAA认证组,并添加radius服务器 某公司(config)#aaa group server radiussangfor //配置AAA认证组,组名为sangfor 某公司(config-gs-radius) server192.168.110.222 //为认证组添加服务器IP为某公司AC的IP地址
2.6配置认证和计费模版 某公司(config)#aaa accounting networksangfor start-stop group sangfor //新建计费模版,名称为sangfaor对应AAA的radius认证组sangfor 某公司(config)#aaa authentication web-authsangfor group sangfor //新建认证模版,名称为sangfaor对应AAA的radius认证组sangfor
2.7在WLAN上应用Web认证 某公司(config)#wlansec 5 //进入WLAN接口 某公司 (config-wlansec)# web-authaccounting v2 sangfor //wlan接口下指定计费模板 某公司 (config-wlansec)# web-authauthentication v2 sangfor //wlan接口下指定认证模版 某公司 (config-wlansec)# web-auth portalCMCC //wlan接口下指定portal模板 某公司 (config-wlansec)# webauth //开启web认证功能
2.8设置SNMP 某公司(config)#snmp-server community ruijierw //配置SNMP 团体名为ruijie
3. 某公司AC配置3.1 预先条件 AC基础网络配置完成。网桥、路由、旁路模式均支持与锐捷无线控制器对接portal认证 3.2 添加portal服务器 如下图,新增portal控制器,选择对应的协议(虽然对接的是锐捷的无线控制器,但这里选华为portal2.0),填写锐捷无线控制器的IP(192.168.110.71),客户端字段保持与锐捷上面的配置设置一致(某公司(config.tmplt.CMCC)# fmt custom encry none user-ip userip user-macusermac mac-formatline ap-mac apmacmac-format line url firsturladditional portaltype=custom ) 此外,锐捷默认的vlan1字段为vlan,vlan2字段默认为vlan2 ,bSSID字段为bssid
添加portal服务器 3.3添加radius服务器 如下图,启用radius认证服务器,填写radius端口和对应的密钥123(对应着锐捷的radius配置:某公司(config)#radius-server host 192.168.110.222 key 123)认证端口默认为1812,计费端口默认为1813。 添加radius服务器 3.4 配置认证策略 如下图,配置认证策略,认证范围填写无线用户的IP段 配置认证策略 3.5配置SNMP 如下图,配置SNMP(对应着锐捷的SNMP配置:某公司(config)#snmp-servercommunity ruijie rw) 配置SNMP 3.6 配置认证策略 如下图,根据用户实际情况配置相关认证服务器,或使用AC本地认证。 配置认证服务器
4. 调试控制器锐捷控制器提供了基础的诊断工具,如下图
4.1. ping 通某公司AC
5. 效果呈现登陆portal认证的ssid后,自动弹出认证界面
手机登陆,连接对应SSID后弹出portal认证界面 |