版本要求:无线AC需要R5428以上及更新版本
且需要AC传入定制的本地ISE portal页面文件。见附件
此案例设备型号:WX3520H
版本:5438P01
AC对接思科ISE服务器,可以弹portal页面,输入用户名密码后提示认证成功,但后续打开网页后还是弹出认证界面,频繁弹出。和ISE售后了解到此台服务器不支持portal协议,其设备支持LWA的认证方式。实现服务器做认证,设备侧提供portal认证界面的需求。
wlan service-template test-portal
ssid
test-portal
vlan 21
portal enable method direct
portal domain radius
portal apply web-server raidus
service-template enable
radius session-control enable
se
primary authentication 192.168.240.51 key
cipher $c$3$Xmv0GhXsQ2UYz3KY9I+/ypB3vFc4EA+0jhO0+jDS
primary accounting 192.168.240.51 key cipher
$c$3$cVHCS35MyNjq6eaLcQWfmJLBeLxYheJGWoJx8bVx
secondary authentication 192.168.240.52 key
cipher $c$3$1H+BYmLy7d6Eanqlsna4pauu4HWSgEsnSFmohQzt
secondary accounting 192.168.240.52 key cipher
$c$3$VXOqViRcrY9yFFZ/sjVXccnEF1XupQC0sqIKHwxv
key
authentication cipher $c$3$XP7FOzEh0+STmlb7+Wf7U0I7gJ1g51Cj4wdsJ13X
key
accounting cipher $c$3$wFxUWWJViO7kNnhnfAjhnLJYwXeK+0ocTEXsVhlU
user-name-format without-domain
nas-ip 172.31.151.130
#
domain radius
authorization-attribute idle-cut 15 1024
authentication portal radius-scheme ise
authorization
portal radius-scheme ise
accounting portal radius-scheme ise
portal host-check enable
portal free-rule 1000 destination ip
114.114.114.114 255.255.255.255
portal
free-rule 1001 destination ip 192.168.240.51 255.255.255.255
portal free-rule 1002 destination ip
192.168.240.52 255.255.255.255
portal free-rule 1003 destination ip
192.168.240.154 255.255.255.255
portal free-rule 10000 description ip
172.31.151.130
portal web-server raidus
url
https://192.168.240.51:8443/portal/g?p=br9B5Ddpmz7RPS1l8MjDykDd5w
server-type ise
#
portal local-web-server http
default-logon-page Ise_h3c.zip
#
portal local-web-server https
default-logon-page Ise_h3c.zip
对接第三方服务器需要把AC的地址参数带给服务器,使得认证服务器返回报文后,客户端可以访问AC,需要在AC上配上 portal client-gateway interface。
下面是命令释义:
portal client-gateway interface命令用来配置Portal认证时客户端访问AC的接口。
undo portal client-gateway interface命令用来恢复缺省情况。
【命令释义】:
portal client-gateway interface interface-type interface-number
undo portal client-gateway interface
【缺省情况】
未配置Portal认证时客户端访问AC的接口。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface-type interface-number:表示接口类型和接口编号。
【使用指导】
当数据报文转发位置配置在AP上,且用户进行Portal第三方认证时,client和AP通过公网直接与第三方认证服务器进行报文交互,不会经过AC。但是第三方认证服务器在返回报文时会要求client访问AC,而client是不知道AC的IP地址的,因此需要通过配置AC的接口来让客户端获得AC的IP地址,以便客户端访问AC。
【举例】
# 配置Portal认证时客户端访问AC的接口为vlan-interface 10。
[Sysname] portal client-gateway interface vlan-interface 10
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作