| 华为无线AC 配置内置Portal认证和Radius服务器示例 | 您所在的位置:网站首页 › 华为portal认证配置 › 华为无线AC 配置内置Portal认证和Radius服务器示例 |
|
配置内置Portal认证示例 组网图形 图1 配置内置Portal认证组网图 · 组网需求 · 配置思路 · 数据规划 · 操作步骤 · 配置文件 组网需求 如图1所示,某企业AC直连AP。通过WLAN部署,提供名为“wlan-net”的无线网络方便员工接入。同时,AC作为DHCP服务器为无线用户提供10.23.101.0/24网段的IP地址。 由于无线网络开放性的特点,如果无线网络不采取适当的接入控制,企业信息就存在安全风险。为了满足企业的安全性需求,同时为节约成本,采用内置Portal认证,并通过RADIUS服务器对无线用户进行身份认证。 配置思路 1. 配置WLAN基本业务,实现AC与上下游网络互通和AP上线。 2. 配置RADIUS认证参数。 3. 配置针对内置Portal服务器的Portal接入模板,管理Portal接入控制参数。 4. 配置免认证规则模板,实现AC放行访问DNS服务器的报文。 5. 配置认证模板,管理NAC认证的相关配置。 6. 配置WLAN业务参数,在VAP模板下绑定安全策略模板和认证模板等,对访问WLAN网络的STA进行接入控制。 说明: 如果不使用RADIUS服务器,而采用本地认证时,需要在配置认证方式为本地认证。并配置本地用户的用户名、密码和服务类型。例如配置用户名为user01,密码为Huawei@123的本地用户。 # 配置本地认证方案“a1”。 [AC] aaa [AC-aaa] authentication-scheme a1 [AC-aaa-authen-a1] authentication-mode local [AC-aaa-authen-a1] quit# 配置本地用户的用户名、密码和服务类型。 [AC-aaa] local-user user01 password cipher Huawei@123 [AC-aaa] local-user user01 service-type web [AC-aaa] quit数据规划 配置项 数据 RADIUS认证参数 RADIUS认证方案名称:radius_huawei RADIUS计费方案名称:scheme1 RADIUS服务器模板名称:radius_huawei,其中: · IP地址:10.23.200.1 · 认证端口号:1812 · 计费端口号:1813 · 共享密钥:Huawei@123 Portal接入模板 · 名称:portal1 · 使用内置Portal服务器,其中 § 内置Portal服务器的IP地址:10.1.1.1/24 § 使用的SSL策略:sslserver § HTTPS协议使用的TCP端口号:1025 免认证规则模板 · 名称:default_free_rule · 免认证资源:DNS服务器的地址(10.23.200.2) 认证模板 · 名称:p1 · 绑定的模板和认证方案:Portal接入模板portal1、RADIUS服务器模板radius_huawei、RADIUS认证方案radius_huawei、RADIUS计费方案scheme1、免认证规则模板default_free_rule DHCP服务器 AC作为DHCP服务器为STA和AP分配IP地址 AP的IP地址池 10.23.100.2~10.23.100.254/24 STA的IP地址池 10.23.101.2~10.23.101.254/24 AC的源接口IP地址 VLANIF100:10.23.100.1/24 AP组 · 名称:ap-group1 · 绑定模板:VAP模板wlan-vap、域管理模板domain1 域管理模板 · 名称:domain1 · 国家码:CN SSID模板 · 名称:wlan-ssid · SSID名称:wlan-net 安全模板 · 名称:wlan-security · 安全策略:开放认证 VAP模板 · 名称:wlan-vap · 转发模式:隧道转发 · 业务VLAN:VLAN101 · 绑定模板:SSID模板wlan-ssid、安全模板wlan-security、认证模板p1 操作步骤 1. 配置AC,使AP与AC之间能够传输CAPWAP报文 # 配置AC,将接口GE0/0/1加入VLAN100(管理VLAN)。 说明: 本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,建议在AC连接AP的接口GE0/0/1上配置端口隔离,如果不配置端口隔离,可能会在VLAN内产生不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。 如果用户的数据转发方式为直接转发,需要将接口GE0/0/1加入VLAN100(管理VLAN)和VLAN101(业务VLAN)。 隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。 system-view [AC6605] sysname AC [AC] vlan batch 100 101 [AC] interface gigabitethernet 0/0/1 [AC-GigabitEthernet0/0/1] port link-type trunk [AC-GigabitEthernet0/0/1] port trunk pvid vlan 100 [AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 [AC-GigabitEthernet0/0/1] quit2. 配置AC与上层网络设备互通 # 配置AC上行接口GE0/0/2加入VLAN101(业务VLAN)。 [AC] interface gigabitethernet 0/0/2 [AC-GigabitEthernet0/0/2] port link-type trunk [AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101 [AC-GigabitEthernet0/0/2] quit3. 配置AC作为DHCP服务器,为STA和AP分配IP地址 # 配置基于接口地址池的DHCP服务器,其中,VLANIF100接口为AP提供IP地址,VLANIF101为STA提供IP地址。 [AC] dhcp enable [AC] interface vlanif 100 [AC-Vlanif100] ip address 10.23.100.1 24 [AC-Vlanif100] dhcp select interface [AC-Vlanif100] quit [AC] interface vlanif 101 [AC-Vlanif101] ip address 10.23.101.1 24 [AC-Vlanif101] dhcp select interface [AC-Vlanif101] dhcp server dns-list 10.23.200.2 [AC-Vlanif101] quit4. 配置AC到服务器区的路由(假设与AC相连的上游设备的IP地址为10.23.101.2) 5. [AC] ip route-static 10.23.200.0 255.255.255.0 10.23.101.26. 配置AP上线 # 创建AP组,用于将相同配置的AP都加入同一AP组中。 [AC] wlan [AC-wlan-view] ap-group name ap-group1 [AC-wlan-ap-group-ap-group1] quit# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。 [AC-wlan-view] regulatory-domain-profile name domain1 [AC-wlan-regulate-domain-domain1] country-code cn [AC-wlan-regulate-domain-domain1] quit [AC-wlan-view] ap-group name ap-group1 [AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1 Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu e?[Y/N]:y [AC-wlan-ap-group-ap-group1] quit [AC-wlan-view] quit# 配置AC的源接口。 [AC] capwap source interface vlanif 100# 在AC上离线导入AP,并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。 说明: ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth命令。 举例中使用的AP为AP6010DN,具有射频0和射频1两个射频。AP6010DN的射频0为2.4GHz射频,射频1为5GHz射频。 [AC] wlan [AC-wlan-view] ap auth-mode mac-auth [AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360 [AC-wlan-ap-0] ap-name area_1 [AC-wlan-ap-0] ap-group ap-group1 Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration s of the radio, Whether to continue? [Y/N]:y [AC-wlan-ap-0] quit [AC-wlan-view] quit# 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。 [AC] display ap all Total AP information: nor : normal [1] ------------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime ------------------------------------------------------------------------------------- 0 60de-4476-e360 area_1 ap-group1 10.23.100.254 AP6010DN-AGN nor 0 10S ------------------------------------------------------------------------------------- Total: 17. 配置RADIUS服务器模板、RADIUS认证方案和RAIUDS计费方案 说明: 请确保RADIUS服务器地址、端口号、共享密钥配置正确,并且和RADIUS服务器保持一致。 # 配置RADIUS服务器模板。 [AC] radius-server template radius_huawei [AC-radius-radius_huawei] radius-server authentication 10.23.200.1 1812 [AC-radius-radius_huawei] radius-server accounting 10.23.200.1 1813 [AC-radius-radius_huawei] radius-server shared-key cipher Huawei@123 [AC-radius-radius_huawei] quit# 配置RADIUS方式的认证方案。 [AC] aaa [AC-aaa] authentication-scheme radius_huawei [AC-aaa-authen-radius_huawei] authentication-mode radius [AC-aaa-authen-radius_huawei] quit# 配置RADIUS方式的计费方案。 [AC-aaa] accounting-scheme scheme1 [AC-aaa-accounting-scheme1] accounting-mode radius [AC-aaa-accounting-scheme1] accounting realtime 15 [AC-aaa-accounting-scheme1] quit [AC-aaa] quit说明: · 以设备与Agile Controller-Campus对接为例,计费功能并非真实意义上的计算费用,而是通过计费报文维护终端的在线信息。 · accounting realtime命令用来配置实时计费间隔。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置实时计费间隔。 用户数 实时计费间隔 1~99 3min 100~499 6min 500~999 12min ≥1000 ≥15min 8. 配置Portal接入模板“portal1” # 加载证书和RSA密钥对。 说明: 已申请获取到本地证书、CA证书和RSA密钥分别为abc_local.pem、abc_ca.pem、privatekey.pem,并已将这些都上传到设备的存储介质中。如果申请到多个CA证书,请执行相同的操作加载到设备内存中。生成privatekey.pem时的密钥为Huawei@123。 [AC] pki realm abc [AC-pki-realm-abc] quit [AC] pki import-certificate local realm abc pem filename abc_local.pem [AC] pki import-certificate ca realm abc pem filename abc_ca.pem [AC] pki import rsa-key-pair key1 pem privatekey.pem password Huawei@123# 配置SSL策略“sslserver”并加载数字证书。 [AC] ssl policy sslserver type server [AC-ssl-policy-sslserver] pki-realm abc [AC-ssl-policy-sslserver] version tls1.0 tls1.1 tls1.2 [AC-ssl-policy-sslserver] ciphersuite rsa_aes_128_sha256 rsa_aes_256_sha256 [AC-ssl-policy-sslserver] quit [AC] http secure-server ssl-policy sslserver [AC] http secure-server enable# 查看SSL策略的配置信息,其中CA与本地证书的状态必须为loaded。 [AC] display ssl policy sslserver ------------------------------------------------------------------------------ Policy name : sslserver Policy ID : 2 Policy type : Server Cipher suite : rsa_aes_128_sha256 rsa_aes_256_sha256 PKI realm : abc Version : tls1.0 tls1.1 tls1.2 Cache number : 32 Time out(second) : 3600 Server certificate load status : loaded CA certificate chain load status : loaded SSL renegotiation status : enable Bind number : 1 SSL connection number : 0 ------------------------------------------------------------------------------# 使能内置Portal服务器功能。 [AC] interface loopback 1 [AC-LoopBack1] ip address 10.1.1.1 24 [AC-LoopBack1] quit [AC] portal local-server ip 10.1.1.1 [AC] portal local-server https ssl-policy sslserver port 1025# 创建Portal接入模板“portal1”,并配置其使用内置Portal服务器。 [AC] portal-access-profile name portal1 [AC-portal-access-profile-portal1] portal local-server enable [AC-portal-access-profile-portal1] quit9. 配置免认证规则模板 10. [AC] free-rule-template name default_free_rule 11. [AC-free-rule-default_free_rule] free-rule 1 destination ip 10.23.200.2 mask 24 12. [AC-free-rule-default_free_rule] quit13. 配置认证模板“p1” 14. [AC] authentication-profile name p1 15. [AC-authentication-profile-p1] portal-access-profile portal1 16. [AC-authentication-profile-p1] free-rule-template default_free_rule 17. [AC-authentication-profile-p1] authentication-scheme radius_huawei 18. [AC-authentication-profile-p1] accounting-scheme scheme1 19. [AC-authentication-profile-p1] radius-server radius_huawei [AC-authentication-profile-p1] quit20. 配置WLAN业务参数 # 创建名为“wlan-security”的安全模板,并配置安全策略。缺省情况下,安全策略为open方式的开放认证。 [AC] wlan [AC-wlan-view] security-profile name wlan-security [AC-wlan-sec-prof-wlan-security] quit# 创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。 [AC-wlan-view] ssid-profile name wlan-ssid [AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net [AC-wlan-ssid-prof-wlan-ssid] quit# 创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板和认证模板。 说明: 本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,需要将示例中命令forward-mode的参数tunnel改为direct-forward。 [AC-wlan-view] vap-profile name wlan-vap [AC-wlan-vap-prof-wlan-vap] forward-mode tunnel [AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101 [AC-wlan-vap-prof-wlan-vap] security-profile wlan-security [AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid [AC-wlan-vap-prof-wlan-vap] authentication-profile p1 [AC-wlan-vap-prof-wlan-vap] quit# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。 [AC-wlan-view] ap-group name ap-group1 [AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0 [AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1 [AC-wlan-ap-group-ap-group1] quit21. 配置AP射频的信道和功率 说明: 举例中AP射频的信道和功率仅为示例,实际配置中请根据AP的国家码和网规结果进行配置。 # 关闭射频的信道和功率自动调优功能。 射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。 [AC-wlan-view] rrm-profile name default [AC-wlan-rrm-prof-default] calibrate auto-channel-select disable [AC-wlan-rrm-prof-default] calibrate auto-txpower-select disable [AC-wlan-rrm-prof-default] quit# 配置AP射频0的信道和功率。 [AC-wlan-view] ap-id 0 [AC-wlan-ap-0] radio 0 [AC-wlan-radio-0/0] channel 20mhz 6 Warning: This action may cause service interruption. Continue?[Y/N]y [AC-wlan-radio-0/0] eirp 127 [AC-wlan-radio-0/0] quit# 配置AP射频1的信道和功率。 [AC-wlan-ap-0] radio 1 [AC-wlan-radio-0/1] channel 20mhz 149 Warning: This action may cause service interruption. Continue?[Y/N]y [AC-wlan-radio-0/1] eirp 127 [AC-wlan-radio-0/1] quit [AC-wlan-ap-0] quit22. 检查配置结果 · 完成配置后,STA可以搜索到SSID为wlan-net的无线网络。 · STA关联到无线网络上后,能够被分配相应的IP地址。 · STA上打开浏览器访问网络时,会自动跳转到Portal服务器提供的认证页面,在页面上输入正确的用户名和密码后,STA认证成功并可以访问网络。 配置文件 AC的配置文件 # sysname AC # http secure-server ssl-policy sslserver http server enable # portal local-server ip 10.1.1.1 portal local-server https ssl-policy sslserver port 1025 # vlan batch 100 to 101 # authentication-profile name p1 portal-access-profile portal1 free-rule-template default_free_rule authentication-scheme radius_huawei accounting-scheme scheme1 radius-server radius_huawei # dhcp enable # radius-server template radius_huawei radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%# radius-server authentication 10.23.200.1 1812 weight 80 radius-server accounting 10.23.200.1 1813 weight 80 # pki realm abc pki import-certificate local realm abc pem filename abc_local.pem pki import-certificate ca realm abc pem filename abc_ca.pem pki import rsa-key-pair key1 pem privatekey.pem password Huawei@123 # ssl policy sslserver type server pki-realm abc version tls1.0 tls1.1 tls1.2 ciphersuite rsa_aes_128_sha256 rsa_aes_256_sha256 # free-rule-template name default_free_rule free-rule 1 destination ip 10.23.200.2 mask 255.255.255.0 # portal-access-profile name portal1 portal local-server enable # aaa authentication-scheme radius_huawei authentication-mode radius accounting-scheme scheme1 accounting-mode radius accounting realtime 15 # interface Vlanif100 ip address 10.23.100.1 255.255.255.0 dhcp select interface # interface Vlanif101 ip address 10.23.101.1 255.255.255.0 dhcp select interface dhcp server dns-list 10.23.200.2 # interface GigabitEthernet0/0/1 port link-type trunk port trunk pvid vlan 100 port trunk allow-pass vlan 100 # interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 101 # interface LoopBack1 ip address 10.1.1.1 255.255.255.0 # ip route-static 10.23.200.0 255.255.255.0 10.23.101.2 # capwap source interface vlanif100 # wlan security-profile name wlan-security ssid-profile name wlan-ssid ssid wlan-net vap-profile name wlan-vap forward-mode tunnel service-vlan vlan-id 101 ssid-profile wlan-ssid security-profile wlan-security authentication-profile p1 regulatory-domain-profile name domain1 rrm-profile name default calibrate auto-channel-select disable calibrate auto-txpower-select disable ap-group name ap-group1 regulatory-domain-profile domain1 radio 0 vap-profile wlan-vap wlan 1 radio 1 vap-profile wlan-vap wlan 1 ap-id 0 ap-mac 60de-4476-e360 ap-name area_1 ap-group ap-group1 radio 0 channel 20mhz 6 eirp 127 radio 1 channel 20mhz 149 eirp 127 # return |
| CopyRight 2018-2019 实验室设备网 版权所有 |