【原创分享】AC对接锐捷控制器Portal认证案例

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。

学习了，感谢分享自己的知识汇总

学习了学习了 过程很详细

感谢楼主分享，每日学习打卡

感谢分享，有助于工作，学习学习

每天学习一点点，每天进步一点点。

感谢楼主的分享内容，收益匪浅

学习知识，应用到实际场景中

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

进入“用户认证”标签页，查看更多用户认证相关的文章

最近做了个AC与锐捷无线控制器对接portal认证的项目，发现公司没有对接锐捷的案例指导，搞得开荒过程很痛苦，因此将过程整理出来与大家分享。

1.  基本信息1.1.  拓扑

某公司AC：192.168.110.222

锐捷无线控制器：192.168.110.71

锐捷无线用户IP段：192.168.1.0/24

图1.1  portal环境拓扑

1.2.  功能介绍

Web认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时，接入设备会强制浏览器访问特定站点。在指定的web站点进行认证操作。锐捷Web认证有2个版本，不同版本的Web认证流程不同，分别称为锐捷一代Web认证和锐捷二代Web认证。

适合无线终端不想或不能安装认证客户端（特别是手机、平板电脑等）但是又想对网络中的客户做准入控制。

2.   锐捷控制器配置

2.1预先条件

锐捷无线控制器基础网络已配通

AC与锐捷无线控制器网络可达

2.2新建WIFI

某公司(config)# wlan-config 5 某公司Portal  //创建WIFI名称为某公司Portal wlan-id为5

某公司(config-wlan)# ssid-code utf-8    //编码使用utf-8

某公司(config-wlan)#tunnel local   //开启wlan-id 5 的本地转发功能

备注：wlan-id与转发模式需要根据客户现网环境决定，例如客户已经创建了4个WIFI，那么我们就可以设置我们的wlan-id为5.

如果用户数据直接从交换转发出，那么可以使用本地转发模式

如果用户数据需要通过锐捷无线控制器转发出，那么可以使用集中转发模式

2.3配置portal服务器模板  

某公司(config)#web-auth template CMCC v2   //创建portal认证模版CMCC ，协议为二代认证版本v2

某公司(config.tmplt.CMCC)# ip 192.168.110.222  // portal服务器ip地址设置为某公司AC的IP地址

某公司(config.tmplt.CMCC)# url http://192.168.110.222/cid/7126/portal.html   //设置某公司AC的portal认证跳转页面，对应某公司对接URL见下图自动生成

某公司(config.tmplt.CMCC)# fmt custom encrynone user-ip userip user-mac usermacmac-format line ap-mac apmacmac-format line url firsturladditional portaltype=custom        //定义客户端参数字段user-ip、user-mac等参数，对应某公司AC配置见下图

某公司(config)#web-auth portal key ruijie   //设置共享密钥为ruijie

2.4开启AAA功能，配置radius服务器  

某公司(config)#aaanew-model  //开启AAA功能

某公司(config)#ip radius source-interfacevlan 1   //定义锐捷与某公司AC通信的vlan

某公司(config)#radius-server host192.168.110.222 key 123  //定义radius服务器为某公司AC的IP 密钥为123

2.5配置AAA认证组，并添加radius服务器   

某公司(config)#aaa group server radiussangfor    //配置AAA认证组，组名为sangfor

某公司(config-gs-radius) server192.168.110.222   //为认证组添加服务器IP为某公司AC的IP地址

2.6配置认证和计费模版

某公司(config)#aaa accounting networksangfor start-stop group sangfor   //新建计费模版，名称为sangfaor对应AAA的radius认证组sangfor

某公司(config)#aaa authentication web-authsangfor group sangfor    //新建认证模版，名称为sangfaor对应AAA的radius认证组sangfor

2.7在WLAN上应用Web认证  

某公司(config)#wlansec 5  //进入WLAN接口

某公司 (config-wlansec)# web-authaccounting v2 sangfor    //wlan接口下指定计费模板

某公司 (config-wlansec)# web-authauthentication v2 sangfor   //wlan接口下指定认证模版

某公司 (config-wlansec)# web-auth portalCMCC    //wlan接口下指定portal模板

某公司 (config-wlansec)# webauth   //开启web认证功能

2.8设置SNMP

某公司(config)#snmp-server community ruijierw   //配置SNMP 团体名为ruijie

3.  某公司AC配置

3.1 预先条件

AC基础网络配置完成。网桥、路由、旁路模式均支持与锐捷无线控制器对接portal认证

3.2 添加portal服务器

如下图，新增portal控制器，选择对应的协议（虽然对接的是锐捷的无线控制器，但这里选华为portal2.0）,填写锐捷无线控制器的IP（192.168.110.71），客户端字段保持与锐捷上面的配置设置一致（某公司(config.tmplt.CMCC)# fmt custom encry none user-ip userip user-macusermac mac-formatline ap-mac apmacmac-format line url firsturladditional portaltype=custom    ）

此外，锐捷默认的vlan1字段为vlan，vlan2字段默认为vlan2   ，bSSID字段为bssid

添加portal服务器

3.3添加radius服务器

如下图，启用radius认证服务器，填写radius端口和对应的密钥123（对应着锐捷的radius配置：某公司(config)#radius-server host 192.168.110.222 key 123）认证端口默认为1812，计费端口默认为1813。

添加radius服务器

3.4 配置认证策略

如下图，配置认证策略，认证范围填写无线用户的IP段

配置认证策略

3.5配置SNMP

如下图，配置SNMP（对应着锐捷的SNMP配置：某公司(config)#snmp-servercommunity ruijie rw）

配置SNMP

3.6 配置认证策略

如下图，根据用户实际情况配置相关认证服务器，或使用AC本地认证。

配置认证服务器

4.  调试控制器

锐捷控制器提供了基础的诊断工具，如下图

4.1.    ping 通某公司AC

5.  效果呈现

登陆portal认证的ssid后，自动弹出认证界面

手机登陆,连接对应SSID后弹出portal认证界面