配置需求或說明
適用產品系列
本手冊適用於如下產品:WAC380、WAC381系列產品: WAC380-30、WAC380-60、WAC380-90、WAC380-120、WAC381。
配置需求及實現的效果
無線電腦連接SSID:service後,無線電腦自動獲取192.168.100.0/24網段ip,網關vlan100的ip地址:192.168.100.1/24,想要實現對無線用戶的統一管理和認證功能。現已有Radius服務器(192.168.16.222/24)提供認證服務,WAC380使能本地portal服務器功能,並作為無線網絡的網關設備。通過Web頁面輸入123/123這組賬號密碼進行認證登錄,Radius服務器對用戶進行身份認證,以達到對用戶訪問進行控制的目的。
組網圖
配置步驟
在無線控制器上配置相關VLAN及對應虛接口的地址
在H3C上配置相關VLAN及對應虛接口的地址,並放通對應接口。
創建VLAN100及其對應的VLAN接口,併為該接口配置IP地址。開啟dhcp服務,Client使用該VLAN接入無線網絡
system-view
[H3C] vlan 100
[H3C-vlan100] quit
[H3C] interface Vlan-interface 100
[H3C-Vlan-interface100] ip address 192.168.100.1 24
[H3C-Vlan-interface100] quit
#開啟DHCP服務器功能
[H3C]dhcp enable
#配置地址池vlan100,分配192.168.100.0/24網段
[H3C]dhcp server ip-pool vlan100
[H3C-dhcp-pool-1]network 192.168.100.0 mask 255.255.255.0
#分配網關和DNS服務器地址,網關是192.168.100.1,DNS服務器是114.114.114.114。
[H3C-dhcp-pool-1]gateway-list 192.168.100.1
[H3C-dhcp-pool-1]dns-list 114.114.114.114
[H3C-dhcp-pool-1]quit
配置無線服務
#創建無線服務模板st1,並進入無線服務模板視圖。
[H3C] wlan service-template st1
#配置SSID為service。
[H3C-wlan-st-st1] ssid service
#配置無線服務模板VLAN為100。
[H3C-wlan-st-st1] vlan 100
#使能無線服務模板。
[H3C-wlan-st-service] service-template enable
[H3C-wlan-st-service] quit
#創建AP,配置AP名稱為office,型號名稱選擇WA4320i-ACN,並配置序列號
219801A0CNC138011454。提示:此處根據實際的AP序列號來填寫
[H3C] wlan ap office model WA4320i-ACN
[H3C-wlan-ap-office] serial-id 219801A0CNC138011454
#進入Radio 2視圖。
[H3C-wlan-ap-office] radio 2
#將無線服務模板st1綁定到radio 2,並開啟射頻。
[H3C-wlan-ap-office-radio-2] service-template st1
[H3C-wlan-ap-office-radio-2] radio enable
[H3C-wlan-ap-office-radio-2] quit
[H3C-wlan-ap-office] quit
配置RADIUS方案
#提示:如果沒有外置的RADIUS服務器,想在WAC設備上配置本地賬戶和密碼時,忽略該步驟,不需要創建RADIUS方案。
#名稱為rs1的RADIUS方案,並進入該方案視圖。
[H3C] radius scheme rs1
#配置RADIUS方案的主認證和主計費服務器及其通信密鑰。
[H3C-radius-rs1] primary authentication 192.168.16.222
[H3C-radius-rs1] primary accounting 192.168.16.222
[H3C-radius-rs1] key authentication simple WinRadius
[H3C-radius-rs1] key accounting simple WinRadius
#配置發送給RADIUS服務器的用戶名不攜帶ISP域名。
[H3C-radius-rs1] user-name-format without-domain
[H3C-radius-rs1] nas-ip 192.168.16.253
[H3C-radius-rs1] quit
#使能RADUIS session control功能。
[H3C] radius session-control enable
配置認證域(二選一)
本地賬戶和密碼認證
#提示:如果沒有外置的RADIUS服務器,想在WAC設備上配置本地賬戶和密碼時,如下配置 ISP域。
#創建名為dm1的ISP域並進入其視圖。
[H3C] domain dm1
#為Portal用戶配置AAA認證方法為local。
[H3C-isp-dm1] authentication portal local
#為Portal用戶配置AAA授權方法為local。
[H3C-isp-dm1] authentication portal local
#為Portal用戶配置AAA計費方法為none,不計費。
[H3C-isp-dm1] accounting portal none
#指定ISP域dm1下的用戶閒置切斷時間為15分鐘,閒置切斷時間內產生的流量為1024字節。
[H3C-isp-dm1] authorization-attribute idle-cut 15 1024
[H3C-isp-dm1] quit
外置RADIUS服務器
#提示:有外置的RADIUS服務器時如下配置。
#創建名為dm1的ISP域並進入其視圖。
[H3C] domain dm1
#為Portal用戶配置AAA認證方法為RADIUS。
[H3C-isp-dm1] authentication portal radius-scheme rs1
#為Portal用戶配置AAA授權方法為RADIUS。
[H3C-isp-dm1] authorization portal radius-scheme rs1
#為Portal用戶配置AAA計費方法為none,不計費。
[H3C-isp-dm1] accounting portal none
#指定ISP域dm1下的用戶閒置切斷時間為15分鐘,閒置切斷時間內產生的流量為1024字節。
[H3C-isp-dm1] authorization-attribute idle-cut 15 1024
[H3C-isp-dm1] quit
配置Portal認證
#配置Portal Web服務器的URL為
http://192.168.100.1/portal。
[H3C] portal web-server newpt
[H3C-portal-websvr-newpt] url http://192.168.100.1/portal
[H3C-portal-websvr-newpt] quit
#創建本地Portal Web 服務器,進入本地Portal Web服務器視圖,並指定使用HTTP協議和客戶端交互認證信息。
[H3C] portal local-web-server http
#配置本地Portal Web服務器提供認證頁面文件為xxx.zip(設備的存儲介質的根目錄下必須已存在該認證頁面文件,否則功能不生效)。
提示:設備自帶壓縮包defaultfile.zip,也可以使用默認壓縮包。
[H3C–portal-local-websvr-http] default-logon-page xxx.zip
[H3C–portal-local-websvr-http] quit
#開啟無線Portal漫遊功能。
[H3C] portal roaming enable
#關閉無線Portal客戶端ARP表項固化功能。
[H3C] undo portal refresh arp enable
#開啟無線Portal客戶端合法性檢查功能。
[H3C] portal host-check enable
#放通去往dns的流量。
[H3C]portal free-rule 1 destination ip any udp 53
[H3C]portal free-rule 2 destination ip any tcp 53
無線服務啟用portal
#在無線服務模板st1上使能直接方式的Portal認證。
[H3C] wlan service-template st1
[H3C–wlan-st-st1] portal enable method direct
# 在無線服務模板st1上引用Portal Web服務器newpt。
[H3C–wlan-st-st1] portal apply web-server newpt
#配置接入的Portal用戶使用認證域為dm1。
[H3C-wlan-st-st1] portal domain dm1
配置portal賬戶密碼(二選一)
配置本地賬戶和密碼
#提示:如果沒有外置的RADIUS服務器,如下配置
[H3C] local-user 123 class network
[H3C-luser-network-123] password simple 123
[H3C-luser-network-123] service-type portal
Radius服務器設置
#這裡以winradius軟件為例,以實際環境為準。設置前確保Radius服務器與設備路由可達,完成服務器的配置,併成功添加了接入用戶賬戶123,密碼123
設置認證計費端口以及密鑰(設置>系統設置)
#設置認證賬戶(操作>添加賬戶)
#添加賬戶名為:123 密碼為:123的用戶
實驗結果驗證
用電腦連接service無線後,獲取到192.168.100.7的ip地址。之後在瀏覽器隨便輸入一個地址,這裡以1.1.0.1為例。彈出下面頁面
輸入賬號123,密碼123。點擊登錄提示認證成功。
看到此時的web界面,網絡安全>接入管理>portal,在線用戶管理中可以看到已認證的ip地址
驗證配置
用戶通過網頁方式進行Portal認證。用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁面(
http://192.168.100.1/portal),在通過認證後,可訪問非受限的互聯網資源。
通過執行以下顯示命令查看WAC上生成的Portal在線用戶信息。
dis portal user all
Username: 123
AP name: 586a-b1fa-8380
Radio ID: 2
SSID: service
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
b841-a468-d9bd 192.168.100.7 100 WLAN-BSS1/0/5
