信锐无线和华三核心交换做对接认证
  

JN——M 7726

{{ttag.title}}
本帖最后由 JN——M 于 2016-8-16 12:09 编辑

由于原来客服发布的文档对相关配置有缺失。所以做了补充说明。整个文档整体上还是使用的原文档的。供大家参考,有问题可以发出来讨论下。
首先要明白和哪个设备做对接。一般是和控制器做对接,此文档中也是和控制器做的对接,但是我实施的网络环境中,控制器只是做了激活和控制AP的功能,下面用户的DHCP网关等都是在华三的核心上做的,所以对接就要和华三核心做对接,切记!!
1、 在测试之前的拓扑中,测试一直无法弹出portal页面,原因是当华三的控制器开启认证后无线用户与NAC控制器之间无法通信,只有单独在放通无线终端的IP地址后才可以重定向到我们的认证页面(此时是已经放通了控制器IP
2、 最后修改网络架构为全网vlan1使用华三的IMC协议对接
图片1.png
一、 我司NACportal服务器配置截图
1、 基础网络配置  
设备以单臂模式部署在客户网络中,h3c线控制器和portal设备在同一局域网,华三的无线控制器做集中转发,通过portal的微信连WiFi功能认证。
2、 配置认证服务器
   除portal服务器地址外其他参数默认即可,内置radius服务器的密钥固定为123456
portal服务器地址指的是我们设备地址,客户端地址指的是华三的地址。
图片2.png
3、 配置web认证策略
协议这里需要注意,默认华三的控制器依然采用的是CMCCportal2.0协议,配置时需要与华三工程师确认修改为IMC协议(也可以采用portal2.0,也测试过可以通过认证)确保我司portal服务器与华三的控制器的端口正常通信
图片3.png
一、 华三无线控制器配置截图
1web页面认证配置步骤(此处与某公司portal服务器与H3C对接文档中的截图类似,只是地址不相同而已)
  首先新建radius认证服务
图片4.png
图片5.png
配置AAA:点击认证->AAA,填写域名,并且应用。(这里的域名就是后面要引用的方案名)
图片6.png
点击认证,按如下的配置进行配置,最后点击应用
图片7.png
在建完认证后,点击-授权-选择portal授权并应用
图片8.png
点击计费-关闭计费功能
图片9.png
点击认证->portal认证->新建
选端口名称选择之前配置好的vlan口 ,portal服务器选择新建portal服务器,认证方式选择Direct,认证域选择刚才配好的认证域,填写新建portal服务器信息(服务器ipportalip)点击确定
下图中的接口名称是指选择要做对接认证的那个网段的VLAN。并不是随便选择的。
图片10.png
需要注意的是还需要放通固定的一些地址段(如下图)
1、 portal服务器的IP地址
2、 华三控制器的通信IP地址
3、 网关地址、以及整个认证网段(这样表示华三无线进行免认证,只是重定向url即可
4、 DNS地址放通
以下所有地址都是针对目的地址做的排除。自己做的时候把用户网段做成源地址的了,就直接能上网了!!
图片11.png
做完以上命令后,一定要记得保存配置。据400说可能有些配置不保存没法生效。假如保存后还是不生效就考虑通过下面的命令来做吧。
一、 华三后台调试命令说明
1、 接口配置
interface Vlan-interface1
ip address 192.168.0.17 255.255.0.0
portal server wac method direct
portal domain wac
2、 指向URL配置及对接协议
指向: portal server wac ip 192.168.0.18 key cipher $c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525 server-type imc
3、 放通免认证的白名单地址
认证网段为192.168.0.0/16的网段
白名单: portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255
白名单: portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.0
4、 RADIUS认证配置
192.168.0.18我司portal服务器
radius scheme wac
server-type extended
primary authentication 192.168.0.18
key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==
user-name-format without-domain
retry stop-accounting 10
5、 域设置配置
domain wac
authentication portal radius-scheme wac
authorization portal radius-scheme wac
access-limit disable
accounting optional
state active   
idle-cut enable 15 10000
self-service-url disable
说明:如果不配置“accounting optional”这条命令就会出现当用户portal认证通过后被设备踢出 ,网上查出描述如下
图片12.png
假如出现以下提示请检查以上配置是否正确!!!!!
图片13.jpg
好,最后祝君对接顺利,戒骄戒躁,定能成功!
H3C对接说明.docx (942.67 KB, 下载次数: 74)

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Burt 发表于 2016-8-14 20:44
  
感谢分享
Sangfor_闪电回_朱丽 发表于 2016-8-16 09:33
  
感谢楼主的分享,为使用无线的小伙伴们带来福利!
建议将内容直接贴出来,这样查看就更方便了~
北回归线 发表于 2016-9-12 22:28
  
好棒  好棒
颜荣 发表于 2016-9-20 11:42
  
我是过来学习的
fylah 发表于 2016-11-8 19:32
  
必须顶一个
蟲爺 发表于 2022-8-11 11:27
  
感谢分享
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
GIF动图学习
功能体验
玩转零信任
2023技术争霸赛专题
安全攻防
每日一记
深信服技术支持平台
天逸直播
技术晨报
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人