配置内置Portal认证示例
组网图形
· 组网需求
· 配置思路
· 数据规划
· 操作步骤
· 配置文件
如图1所示,某企业AC直连AP。通过WLAN部署,提供名为“wlan-net”的无线网络方便员工接入。同时,AC作为DHCP服务器为无线用户提供10.23.101.0/24网段的IP地址。
由于无线网络开放性的特点,如果无线网络不采取适当的接入控制,企业信息就存在安全风险。为了满足企业的安全性需求,同时为节约成本,采用内置Portal认证,并通过RADIUS服务器对无线用户进行身份认证。
1. 配置WLAN基本业务,实现AC与上下游网络互通和AP上线。
2. 配置RADIUS认证参数。
3. 配置针对内置Portal服务器的Portal接入模板,管理Portal接入控制参数。
4. 配置免认证规则模板,实现AC放行访问DNS服务器的报文。
5. 配置认证模板,管理NAC认证的相关配置。
6. 配置WLAN业务参数,在VAP模板下绑定安全策略模板和认证模板等,对访问WLAN网络的STA进行接入控制。
说明:
如果不使用RADIUS服务器,而采用本地认证时,需要在配置认证方式为本地认证。并配置本地用户的用户名、密码和服务类型。例如配置用户名为user01,密码为Huawei@123的本地用户。
# 配置本地认证方案“a1”。
[AC] aaa
[AC-aaa] authentication-scheme a1
[AC-aaa-authen-a1] authentication-mode local
[AC-aaa-authen-a1] quit
# 配置本地用户的用户名、密码和服务类型。
[AC-aaa] local-user user01 password cipher Huawei@123
[AC-aaa] local-user user01 service-type web
[AC-aaa] quit
| 配置项 |
数据 |
| RADIUS认证参数 |
RADIUS认证方案名称:radius_huawei RADIUS计费方案名称:scheme1 RADIUS服务器模板名称:radius_huawei,其中: · IP地址:10.23.200.1 · 认证端口号:1812 · 计费端口号:1813 · 共享密钥:Huawei@123 |
| Portal接入模板 |
· 名称:portal1 · 使用内置Portal服务器,其中 § 内置Portal服务器的IP地址:10.1.1.1/24 § 使用的SSL策略:sslserver § HTTPS协议使用的TCP端口号:1025 |
| 免认证规则模板 |
· 名称:default_free_rule · 免认证资源:DNS服务器的地址(10.23.200.2) |
| 认证模板 |
· 名称:p1 · 绑定的模板和认证方案:Portal接入模板portal1、RADIUS服务器模板radius_huawei、RADIUS认证方案radius_huawei、RADIUS计费方案scheme1、免认证规则模板default_free_rule |
| DHCP服务器 |
AC作为DHCP服务器为STA和AP分配IP地址 |
| AP的IP地址池 |
10.23.100.2~10.23.100.254/24 |
| STA的IP地址池 |
10.23.101.2~10.23.101.254/24 |
| AC的源接口IP地址 |
VLANIF100:10.23.100.1/24 |
| AP组 |
· 名称:ap-group1 · 绑定模板:VAP模板wlan-vap、域管理模板domain1 |
| 域管理模板 |
· 名称:domain1 · 国家码:CN |
| SSID模板 |
· 名称:wlan-ssid · SSID名称:wlan-net |
| 安全模板 |
· 名称:wlan-security · 安全策略:开放认证 |
| VAP模板 |
· 名称:wlan-vap · 转发模式:隧道转发 · 业务VLAN:VLAN101 · 绑定模板:SSID模板wlan-ssid、安全模板wlan-security、认证模板p1 |
1. 配置AC,使AP与AC之间能够传输CAPWAP报文
# 配置AC,将接口GE0/0/1加入VLAN100(管理VLAN)。
说明:
本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,建议在AC连接AP的接口GE0/0/1上配置端口隔离,如果不配置端口隔离,可能会在VLAN内产生不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。
如果用户的数据转发方式为直接转发,需要将接口GE0/0/1加入VLAN100(管理VLAN)和VLAN101(业务VLAN)。
隧道转发模式下,管理VLAN和业务VLAN不能配置为同一VLAN。
<AC6605> system-view
[AC6605] sysname AC
[AC] vlan batch 100 101
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk pvid vlan 100
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100
[AC-GigabitEthernet0/0/1] quit
2. 配置AC与上层网络设备互通
# 配置AC上行接口GE0/0/2加入VLAN101(业务VLAN)。
[AC] interface gigabitethernet 0/0/2
[AC-GigabitEthernet0/0/2] port link-type trunk
[AC-GigabitEthernet0/0/2] port trunk allow-pass vlan 101
[AC-GigabitEthernet0/0/2] quit
3. 配置AC作为DHCP服务器,为STA和AP分配IP地址
# 配置基于接口地址池的DHCP服务器,其中,VLANIF100接口为AP提供IP地址,VLANIF101为STA提供IP地址。
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
[AC] interface vlanif 101
[AC-Vlanif101] ip address 10.23.101.1 24
[AC-Vlanif101] dhcp select interface
[AC-Vlanif101] dhcp server dns-list 10.23.200.2
[AC-Vlanif101] quit
4. 配置AC到服务器区的路由(假设与AC相连的上游设备的IP地址为10.23.101.2)
5. [AC] ip route-static 10.23.200.0 255.255.255.0 10.23.101.2
6. 配置AP上线
# 创建AP组,用于将相同配置的AP都加入同一AP组中。
[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit
# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC-wlan-view] regulatory-domain-profile name domain1
[AC-wlan-regulate-domain-domain1] country-code cn
[AC-wlan-regulate-domain-domain1] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile domain1
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit
# 配置AC的源接口。
[AC] capwap source interface vlanif 100
# 在AC上离线导入AP,并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360,并且根据AP的部署位置为AP配置名称,便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域,命名此AP为area_1。
说明:
ap auth-mode命令缺省情况下为MAC认证,如果之前没有修改其缺省配置,可以不用执行ap auth-mode mac-auth命令。
举例中使用的AP为AP6010DN,具有射频0和射频1两个射频。AP6010DN的射频0为2.4GHz射频,射频1为5GHz射频。
[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y
[AC-wlan-ap-0] quit
[AC-wlan-view] quit
# 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
[AC] display ap all
Total AP information:
nor : normal [1]
-------------------------------------------------------------------------------------
ID MAC Name Group IP Type State STA Uptime
-------------------------------------------------------------------------------------
0 60de-4476-e360 area_1 ap-group1 10.23.100.254 AP6010DN-AGN nor 0 10S
-------------------------------------------------------------------------------------
Total: 1
7. 配置RADIUS服务器模板、RADIUS认证方案和RAIUDS计费方案
说明:
请确保RADIUS服务器地址、端口号、共享密钥配置正确,并且和RADIUS服务器保持一致。
# 配置RADIUS服务器模板。
[AC] radius-server template radius_huawei
[AC-radius-radius_huawei] radius-server authentication 10.23.200.1 1812
[AC-radius-radius_huawei] radius-server accounting 10.23.200.1 1813
[AC-radius-radius_huawei] radius-server shared-key cipher Huawei@123
[AC-radius-radius_huawei] quit
# 配置RADIUS方式的认证方案。
[AC] aaa
[AC-aaa] authentication-scheme radius_huawei
[AC-aaa-authen-radius_huawei] authentication-mode radius
[AC-aaa-authen-radius_huawei] quit
# 配置RADIUS方式的计费方案。
[AC-aaa] accounting-scheme scheme1
[AC-aaa-accounting-scheme1] accounting-mode radius
[AC-aaa-accounting-scheme1] accounting realtime 15
[AC-aaa-accounting-scheme1] quit
[AC-aaa] quit
说明:
· 以设备与Agile Controller-Campus对接为例,计费功能并非真实意义上的计算费用,而是通过计费报文维护终端的在线信息。
· accounting realtime命令用来配置实时计费间隔。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置实时计费间隔。
| 用户数 |
实时计费间隔 |
| 1~99 |
3min |
| 100~499 |
6min |
| 500~999 |
12min |
| ≥1000 |
≥15min |
8. 配置Portal接入模板“portal1”
# 加载证书和RSA密钥对。
说明:
已申请获取到本地证书、CA证书和RSA密钥分别为abc_local.pem、abc_ca.pem、privatekey.pem,并已将这些都上传到设备的存储介质中。如果申请到多个CA证书,请执行相同的操作加载到设备内存中。生成privatekey.pem时的密钥为Huawei@123。
[AC] pki realm abc
[AC-pki-realm-abc] quit
[AC] pki import-certificate local realm abc pem filename abc_local.pem
[AC] pki import-certificate ca realm abc pem filename abc_ca.pem
[AC] pki import rsa-key-pair key1 pem privatekey.pem password Huawei@123
# 配置SSL策略“sslserver”并加载数字证书。
[AC] ssl policy sslserver type server
[AC-ssl-policy-sslserver] pki-realm abc
[AC-ssl-policy-sslserver] version tls1.0 tls1.1 tls1.2
[AC-ssl-policy-sslserver] ciphersuite rsa_aes_128_sha256 rsa_aes_256_sha256
[AC-ssl-policy-sslserver] quit
[AC] http secure-server ssl-policy sslserver
[AC] http secure-server enable
# 查看SSL策略的配置信息,其中CA与本地证书的状态必须为loaded。
[AC] display ssl policy sslserver
------------------------------------------------------------------------------
Policy name : sslserver
Policy ID : 2
Policy type : Server
Cipher suite : rsa_aes_128_sha256 rsa_aes_256_sha256
PKI realm : abc
Version : tls1.0 tls1.1 tls1.2
Cache number : 32
Time out(second) : 3600
Server certificate load status : loaded
CA certificate chain load status : loaded
SSL renegotiation status : enable
Bind number : 1
SSL connection number : 0
------------------------------------------------------------------------------
# 使能内置Portal服务器功能。
[AC] interface loopback 1
[AC-LoopBack1] ip address 10.1.1.1 24
[AC-LoopBack1] quit
[AC] portal local-server ip 10.1.1.1
[AC] portal local-server https ssl-policy sslserver port 1025
# 创建Portal接入模板“portal1”,并配置其使用内置Portal服务器。
[AC] portal-access-profile name portal1
[AC-portal-access-profile-portal1] portal local-server enable
[AC-portal-access-profile-portal1] quit
9. 配置免认证规则模板
10. [AC] free-rule-template name default_free_rule
11. [AC-free-rule-default_free_rule] free-rule 1 destination ip 10.23.200.2 mask 24
12. [AC-free-rule-default_free_rule] quit
13. 配置认证模板“p1”
14. [AC] authentication-profile name p1
15. [AC-authentication-profile-p1] portal-access-profile portal1
16. [AC-authentication-profile-p1] free-rule-template default_free_rule
17. [AC-authentication-profile-p1] authentication-scheme radius_huawei
18. [AC-authentication-profile-p1] accounting-scheme scheme1
19. [AC-authentication-profile-p1] radius-server radius_huawei
[AC-authentication-profile-p1] quit
20. 配置WLAN业务参数
# 创建名为“wlan-security”的安全模板,并配置安全策略。缺省情况下,安全策略为open方式的开放认证。
[AC] wlan
[AC-wlan-view] security-profile name wlan-security
[AC-wlan-sec-prof-wlan-security] quit
# 创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。
[AC-wlan-view] ssid-profile name wlan-ssid
[AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net
[AC-wlan-ssid-prof-wlan-ssid] quit
# 创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板和认证模板。
说明:
本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,需要将示例中命令forward-mode的参数tunnel改为direct-forward。
[AC-wlan-view] vap-profile name wlan-vap
[AC-wlan-vap-prof-wlan-vap] forward-mode tunnel
[AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-vap] security-profile wlan-security
[AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
[AC-wlan-vap-prof-wlan-vap] authentication-profile p1
[AC-wlan-vap-prof-wlan-vap] quit
# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit
21. 配置AP射频的信道和功率
说明:
举例中AP射频的信道和功率仅为示例,实际配置中请根据AP的国家码和网规结果进行配置。
# 关闭射频的信道和功率自动调优功能。
射频的信道和功率自动调优功能默认开启,如果不关闭此功能则会导致手动配置不生效。
[AC-wlan-view] rrm-profile name default
[AC-wlan-rrm-prof-default] calibrate auto-channel-select disable
[AC-wlan-rrm-prof-default] calibrate auto-txpower-select disable
[AC-wlan-rrm-prof-default] quit
# 配置AP射频0的信道和功率。
[AC-wlan-view] ap-id 0
[AC-wlan-ap-0] radio 0
[AC-wlan-radio-0/0] channel 20mhz 6
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/0] eirp 127
[AC-wlan-radio-0/0] quit
# 配置AP射频1的信道和功率。
[AC-wlan-ap-0] radio 1
[AC-wlan-radio-0/1] channel 20mhz 149
Warning: This action may cause service interruption. Continue?[Y/N]y
[AC-wlan-radio-0/1] eirp 127
[AC-wlan-radio-0/1] quit
[AC-wlan-ap-0] quit
22. 检查配置结果
· 完成配置后,STA可以搜索到SSID为wlan-net的无线网络。
· STA关联到无线网络上后,能够被分配相应的IP地址。
· STA上打开浏览器访问网络时,会自动跳转到Portal服务器提供的认证页面,在页面上输入正确的用户名和密码后,STA认证成功并可以访问网络。
AC的配置文件
#
sysname AC
#
http secure-server ssl-policy sslserver
http server enable
#
portal local-server ip 10.1.1.1
portal local-server https ssl-policy sslserver port 1025
#
vlan batch 100 to 101
#
authentication-profile name p1
portal-access-profile portal1
free-rule-template default_free_rule
authentication-scheme radius_huawei
accounting-scheme scheme1
radius-server radius_huawei
#
dhcp enable
#
radius-server template radius_huawei
radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%#
radius-server authentication 10.23.200.1 1812 weight 80
radius-server accounting 10.23.200.1 1813 weight 80
#
pki realm abc
pki import-certificate local realm abc pem filename abc_local.pem
pki import-certificate ca realm abc pem filename abc_ca.pem
pki import rsa-key-pair key1 pem privatekey.pem password Huawei@123
#
ssl policy sslserver type server
pki-realm abc
version tls1.0 tls1.1 tls1.2
ciphersuite rsa_aes_128_sha256 rsa_aes_256_sha256
#
free-rule-template name default_free_rule
free-rule 1 destination ip 10.23.200.2 mask 255.255.255.0
#
portal-access-profile name portal1
portal local-server enable
#
aaa
authentication-scheme radius_huawei
authentication-mode radius
accounting-scheme scheme1
accounting-mode radius
accounting realtime 15
#
interface Vlanif100
ip address 10.23.100.1 255.255.255.0
dhcp select interface
#
interface Vlanif101
ip address 10.23.101.1 255.255.255.0
dhcp select interface
dhcp server dns-list 10.23.200.2
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 100
#
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 101
#
interface LoopBack1
ip address 10.1.1.1 255.255.255.0
#
ip route-static 10.23.200.0 255.255.255.0 10.23.101.2
#
capwap source interface vlanif100
#
wlan
security-profile name wlan-security
ssid-profile name wlan-ssid
ssid wlan-net
vap-profile name wlan-vap
forward-mode tunnel
service-vlan vlan-id 101
ssid-profile wlan-ssid
security-profile wlan-security
authentication-profile p1
regulatory-domain-profile name domain1
rrm-profile name default
calibrate auto-channel-select disable
calibrate auto-txpower-select disable
ap-group name ap-group1
regulatory-domain-profile domain1
radio 0
vap-profile wlan-vap wlan 1
radio 1
vap-profile wlan-vap wlan 1
ap-id 0 ap-mac 60de-4476-e360
ap-name area_1
ap-group ap-group1
radio 0
channel 20mhz 6
eirp 127
radio 1
channel 20mhz 149
eirp 127
#
return