×

【原创分享】AC对接锐捷控制器Portal认证案例
  

朱容成51537 11032人觉得有帮助

{{ttag.title}}

最近做了个AC与锐捷无线控制器对接portal认证的项目,发现公司没有对接锐捷的案例指导,搞得开荒过程很痛苦,因此将过程整理出来与大家分享。

1.  基本信息1.1.  拓扑
深信服AC192.168.110.222
锐捷无线控制器:192.168.110.71
锐捷无线用户IP段:192.168.1.0/24

478455f926bf77c7d1.png
1.1  portal环境拓扑
1.2.  功能介绍
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时,接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本,不同版本的Web认证流程不同,分别称为锐捷一代Web认证和锐捷二代Web认证。
适合无线终端不想或不能安装认证客户端(特别是手机、平板电脑等)但是又想对网络中的客户做准入控制。

2.   锐捷控制器配置
2.1预先条件
锐捷无线控制器基础网络已配通
AC与锐捷无线控制器网络可达
2.2新建WIFI
Ruijie(config)# wlan-config 5 RuijiePortal  //创建WIFI名称为RuijiePortal wlan-id5
Ruijie(config-wlan)# ssid-code utf-8    //编码使用utf-8
Ruijie(config-wlan)#tunnel local   //开启wlan-id 5 的本地转发功能
备注:wlan-id与转发模式需要根据客户现网环境决定,例如客户已经创建了4WIFI,那么我们就可以设置我们的wlan-id5.
如果用户数据直接从交换转发出,那么可以使用本地转发模式
如果用户数据需要通过锐捷无线控制器转发出,那么可以使用集中转发模式
2.3配置portal服务器模板  
Ruijie(config)#web-auth template CMCC v2   //创建portal认证模版CMCC ,协议为二代认证版本v2
Ruijie(config.tmplt.CMCC)# ip 192.168.110.222  // portal服务器ip地址设置为深信服ACIP地址
Ruijie(config.tmplt.CMCC)# url http://192.168.110.222/cid/7126/portal.html   //设置深信服ACportal认证跳转页面,对应深信服对接URL见下图自动生成
Ruijie(config.tmplt.CMCC)# fmt custom encrynone user-ip userip user-mac usermacmac-format line ap-mac apmacmac-format line url firsturladditional portaltype=custom        //定义客户端参数字段user-ipuser-mac等参数,对应深信服AC配置见下图
Ruijie(config)#web-auth portal key ruijie   //设置共享密钥为ruijie

212715f926c018a250.png

2.4开启AAA功能,配置radius服务器  
Ruijie(config)#aaanew-model  //开启AAA功能
Ruijie(config)#ip radius source-interfacevlan 1   //定义锐捷与深信服AC通信的vlan
Ruijie(config)#radius-server host192.168.110.222 key 123  //定义radius服务器为深信服ACIP 密钥为123

2.5配置AAA认证组,并添加radius服务器   
Ruijie(config)#aaa group server radiussangfor    //配置AAA认证组,组名为sangfor
Ruijie(config-gs-radius) server192.168.110.222   //为认证组添加服务器IP为深信服ACIP地址


2.6配置认证和计费模版
Ruijie(config)#aaa accounting networksangfor start-stop group sangfor   //新建计费模版,名称为sangfaor对应AAAradius认证组sangfor
Ruijie(config)#aaa authentication web-authsangfor group sangfor    //新建认证模版,名称为sangfaor对应AAAradius认证组sangfor



2.7在WLAN上应用Web认证  
Ruijie(config)#wlansec 5  //进入WLAN接口
Ruijie (config-wlansec)# web-authaccounting v2 sangfor    //wlan接口下指定计费模板
Ruijie (config-wlansec)# web-authauthentication v2 sangfor   //wlan接口下指定认证模版
Ruijie (config-wlansec)# web-auth portalCMCC    //wlan接口下指定portal模板
Ruijie (config-wlansec)# webauth   //开启web认证功能

2.8设置SNMP
Ruijie(config)#snmp-server community ruijierw   //配置SNMP 团体名为ruijie

3.  深信服AC配置
3.1 预先条件
AC基础网络配置完成。网桥、路由、旁路模式均支持与锐捷无线控制器对接portal认证
3.2 添加portal服务器
如下图,新增portal控制器,选择对应的协议(虽然对接的是锐捷的无线控制器,但这里选华为portal2.0,填写锐捷无线控制器的IP192.168.110.71),客户端字段保持与锐捷上面的配置设置一致(Ruijie(config.tmplt.CMCC)# fmt custom encry none user-ip userip user-macusermac mac-formatline ap-mac apmacmac-format line url firsturladditional portaltype=custom   
此外,锐捷默认的vlan1字段为vlanvlan2字段默认为vlan2   bSSID字段为bssid

228445f926c0ce623b.png
添加portal服务器
3.3添加radius服务器
如下图,启用radius认证服务器,填写radius端口和对应的密钥123(对应着锐捷的radius配置:Ruijie(config)#radius-server host 192.168.110.222 key 123)认证端口默认为1812,计费端口默认为1813
932725f926c15ea437.png
添加radius服务器
3.4 配置认证策略
如下图,配置认证策略,认证范围填写无线用户的IP
254225f926c1c87028.png
配置认证策略
3.5配置SNMP
如下图,配置SNMP对应着锐捷的SNMP配置:Ruijie(config)#snmp-servercommunity ruijie rw
924695f926c23e8bbe.png
配置SNMP
3.6 配置认证策略
如下图,根据用户实际情况配置相关认证服务器,或使用AC本地认证。
568075f926c2a95ff4.png
配置认证服务器

4.  调试控制器
锐捷控制器提供了基础的诊断工具,如下图

776745f926c3229eeb.png
4.1.    ping 通深信服AC
288915f926c38d5d7b.png

5.  效果呈现
登陆portal认证的ssid后,自动弹出认证界面
262965f926c3ed1358.png


手机登陆,连接对应SSID后弹出portal认证界面
602165f926c444c379.png

打赏鼓励作者,期待更多好文!

打赏
15人已打赏

sangfor_1143 发表于 2020-10-29 16:10
  

评论是对作者最大的鼓励! +8 S豆 详情>

感谢楼主的分享,楼主针对AC对接锐捷控制器Portal认证这个场景做了个详细的介绍,从锐捷无线控制器上的配置到AC怎么设置都有详细的配置截图,建议楼主可以多分享配置过程中遇到的问题以及解决办法,期待楼主后续带来更多有价值的分享哦
Sangfor_闪电回_朱丽 发表于 2020-10-23 16:55
  
您好,您的文章已被收录到原创分享计划并放到技术博客中,以便让更多的小伙伴们关注和学习,文章将交由专家评审小组评审,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!
发文越多,奖励越多,期待您更多的精彩文章哦!
点击查看本季原创内容要求及奖励规则:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=124801
沧海 发表于 2020-10-23 18:01
  
学习学习
新手031815 发表于 2020-10-25 10:28
  
感谢分享
新手078326 发表于 2020-10-25 10:50
  
好好看 好好学
新手456962 发表于 2020-10-26 09:11
  
学习了,谢谢
一一氵 发表于 2020-10-26 09:45
  
感谢分享
新手340626 发表于 2020-10-26 10:44
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
1130300201 发表于 2020-10-26 14:03
  
插眼学习
新手340626 发表于 2020-10-27 08:49
  
学习了,感谢分享
×
有话想说?点这里!
可评论、可发帖
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
项目案例
信服课堂视频
产品连连看
技术咨询
技术笔记
原创分享
SDP百科
畅聊IT
每日一记
技术圆桌
答题自测
专家分享
在线直播
用户认证
安装部署配置
安全攻防
功能体验
VPN 对接
SANGFOR资讯
技术顾问
专家问答
MVP
网络基础知识
新版本体验
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
解决方案
sangfor周刊
信服故事

本版版主

121
47
40

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人