本案例介绍无线用户Portal认证本地下发User-profile绑定QoS做限速的典型配置举例。
本案例适用于使用Comware V7软件版本的无线控制器和接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本案例中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本案例假设您已了解WLAN用户接入认证相关特性。
如图1所示,AP通过交换机与AC相连,无线Portal用户通过AP接入无线网络。具体要求如下:
·Client连接无线网络进行Portal认证。
·通过AC下发授权User-profile,限制上下行速率都为2Mbps。
AP通过VLAN 100 注册到AC上,AP的地址为192.168.100.1,AC的地址为192.168.100.254,客户端VLAN为10,网关在AC上,客户端的IP地址为192.168.10.1,服务器的IP地址为172.17.0.100,AC通过三层路由到服务器。
<AC> system-view
[AC] interface vlan-interface 1
[AC-Vlan-interface10] ip address 192.168.0.22 24
[AC-Vlan-interface10] quit
#创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址,其中VLAN 10用于和AP之间进行通信。
<AC> system-view
[AC] vlan 100
[AC-vlan10] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface10] ip address 192.168.100.254 24
[AC-Vlan-interface10] quit
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址,其中VLAN 10用于起Portal服务。
[AC] vlan 10
[AC-vlan10] quit
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 192.168.10.254 24
[AC-Vlan-interface10] quit
# 配置AC的以太网1/0/1口的类型为Trunk口并允许所有VLAN通过,用于与AP、无线客户端、IMC之间通信。
[AC] interface g1/0/1
[AC-Bridge-Aggregation1] port link-type trunk
[AC-Bridge-Aggregation1] port trunk permit vlan all
[AC-Bridge-Aggregation1] quit
(1)配置DHCP服务
# 使能DHCP功能。
[AC] dhcp enable
# 配置DHCP地址池10,用于为AP动态分配地址。
[AC] dhcp server ip-pool vlan100
[AC-dhcp-pool-100] network 192.168.100.0 24
[AC-dhcp-pool-100] gateway-list 192.168.100.1
[AC-dhcp-pool-100] dns-list 8.8.8.8
[AC-dhcp-pool-100] quit
# 配置DHCP地址池vlan10,用于为Client动态分配地址。
[AC] dhcp server ip-pool vlan10
[AC-dhcp-pool-10] network 192.168.10.0 24
[AC-dhcp-pool-10] gateway-list 192.168.10.254 24
[AC-dhcp-pool-10] dns-list 8.8.8.8
[AC-dhcp-pool-10] quit
(2)配置无线服务模板
# 创建clear类型的服务模板10。
[AC] wlan service-template 10
# 设置当前服务模板的SSID为portal-local。
[AC-wlan-st-10] ssid portal-local
# 配置客户端接入的用户vlan为10。
[AC-wlan-st-10] vlan 10
# 在服务模板下开启Portal认证。
[AC-wlan-st-10] portal enable method direct
# 在服务模板下调用Portal认证域。
[AC-wlan-st-10] portal domain portal
# 在服务模板下设置Portal的nas-ip地址。
[AC-wlan-st-10] portal bas-ip 192.168.0.22
# 在服务模板下调用Portal web-server。
[AC-wlan-st-10] portal apply web-server newpt
# 在服务模板下调用mac-trigger。
[AC-wlan-st-10] portal apply mac-trigger-server imc
# 使能服务模板。
[AC-wlan-st-10] service-template enable
[AC-wlan-st-10] quit
在AC下绑定无线服务模板
# 创建AP模板,名称为officeap,型号名称选择WA3628i-AGN,并配置序列号。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap1] serial-id 210235A42MB108000002
# 进入radio 1射频视图。
[AC-wlan-ap-ap1] radio 1
# 配置射频的工作信道为161。
[AC-wlan-ap-ap1-radio-1] channel 161
# 将服务模板30绑定到AP的radio 1。
[AC-wlan-ap-ap1-radio-1] service-template 30
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1]quit
(3)配置Portal认证
# 配置Portal服务器地址为172.17.0.100。
[AC] portal server newpt
[AC-portal-server-newpt]ip 172.17.0.100 key single h3c
# 配置Portal web服务器的url。
[AC] portal web-server newpt
[AC-portal-websvr-newpt]url http://172.17.0.100:8080/portal
# 配置Portal免认证规则1,用于放行AC上起Portal的接口能够与Portal服务器通信。
[AC] portal free-rule 1 source interface bridge-aggregation1
# 配置RADIUS方案portal。
[AC] radius scheme portal
#配置认证、计费和授权服务器的IP地址为172.17.0.100。
[AC-radius-portal] primary authentication 172.17.0.100
[AC-radius-portal] primary accounting 172.17.0.100
# 配置与认证、计费和授权服务器交互报文时的共享密钥均为h3c。
[AC-radius-portal] key authentication simple h3c
[AC-radius-portal] key accounting simple h3c
# 指定发送给RADIUS方案Portal中RADIUS服务器的用户名不得携带域名。
[AC-radius-portal] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为192.168.0.22
[AC-radius-portal] nas-ip 192.168.0.22
[AC-radius-portal] quit
# 配置AAA认证域portal。
[AC] domain portal
# 设置ISP域的认证、授权和计费方法均为RADIUS方式。
[AC-isp-portal] authentication portal radius-scheme portal
[AC-isp-portal] accounting portal radius-scheme portal
[AC-isp-portal] authorization portal radius-scheme portal
[AC-isp-portal] quit
#创建名称为h3c的user-profile并设置QOS限速,设置上下线限速都为2M
[AC] user-profile h3c
[AC-user-profile-h3c] qos car inbound any cir 2048
[AC-user-profile-h3c] qos car outbound any cir 2048
#创建完user-profile完成,将profile加入到domain里面
[AC]domain portal
[AC-isp-portal] authorization-attribute user-profile h3c
imc的配置见《基于MAC快速认证的本地转发配置案例》
链接:http://kms.h3c.com/case/info.aspx?id=43422
[AC]display portal user all
Total portal users: 1
Username: 1234
AP name: wa4320
Radio ID: 1
SSID: gs-portal-v7
Portal server: gs-portal
State: Online
VPN instance: N/A
MAC IP VLAN
68db-ca64-23fd 192.168.150.2 150
Authorization information:
DHCP IP pool: N/A
User profile: h3c (active)
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
注意事项:当服务器也下发了user-profile之后,服务器下发的user-profile优先级高于AC上下发的user-profile
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作