H3C无线控制器Portal认证通过本地下发User-profile典型配置举例(V7)

本案例介绍无线用户Portal认证本地下发User-profile绑定QoS做限速的典型配置举例。

本案例适用于使用Comware V7软件版本的无线控制器和接入点产品，不严格与具体硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本案例中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本案例假设您已了解WLAN用户接入认证相关特性。

 如图1所示，AP通过交换机与AC相连，无线Portal用户通过AP接入无线网络。具体要求如下：

·Client连接无线网络进行Portal认证。

·通过AC下发授权User-profile，限制上下行速率都为2Mbps。

AP通过VLAN 100 注册到AC上,AP的地址为192.168.100.1，AC的地址为192.168.100.254，客户端VLAN为10，网关在AC上，客户端的IP地址为192.168.10.1，服务器的IP地址为172.17.0.100，AC通过三层路由到服务器。

#创建VLAN 1的三层虚机接口，并为该接口配置IP地址，其中VLAN 1用于和IMC服务器之间进行通信。

<AC> system-view

[AC] interface vlan-interface 1

[AC-Vlan-interface10] ip address 192.168.0.22 24

[AC-Vlan-interface10] quit

#创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址，其中VLAN 10用于和AP之间进行通信。

<AC> system-view

[AC] vlan 100

[AC-vlan10] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface10] ip address 192.168.100.254 24

[AC-Vlan-interface10] quit

# 创建VLAN 10及其对应的VLAN接口，并为该接口配置IP地址，其中VLAN 10用于起Portal服务。

[AC] vlan 10

[AC-vlan10] quit

[AC] interface vlan-interface 10

[AC-Vlan-interface10] ip address 192.168.10.254 24

[AC-Vlan-interface10] quit

# 配置AC的以太网1/0/1口的类型为Trunk口并允许所有VLAN通过，用于与AP、无线客户端、IMC之间通信。

[AC] interface g1/0/1

[AC-Bridge-Aggregation1] port link-type trunk

[AC-Bridge-Aggregation1] port trunk permit vlan all

[AC-Bridge-Aggregation1] quit

（1）配置DHCP服务

# 使能DHCP功能。

[AC] dhcp enable

# 配置DHCP地址池10，用于为AP动态分配地址。

[AC] dhcp server ip-pool vlan100

[AC-dhcp-pool-100] network 192.168.100.0 24

[AC-dhcp-pool-100] gateway-list 192.168.100.1

[AC-dhcp-pool-100] dns-list 8.8.8.8

 [AC-dhcp-pool-100] quit

# 配置DHCP地址池vlan10,用于为Client动态分配地址。

[AC] dhcp server ip-pool vlan10

[AC-dhcp-pool-10] network 192.168.10.0 24

[AC-dhcp-pool-10] gateway-list 192.168.10.254 24

[AC-dhcp-pool-10] dns-list 8.8.8.8

[AC-dhcp-pool-10] quit

(2)配置无线服务模板

# 创建clear类型的服务模板10。

[AC] wlan service-template 10

# 设置当前服务模板的SSID为portal-local。

[AC-wlan-st-10] ssid portal-local

# 配置客户端接入的用户vlan为10。

[AC-wlan-st-10] vlan 10

# 在服务模板下开启Portal认证。

[AC-wlan-st-10] portal enable method direct

# 在服务模板下调用Portal认证域。

[AC-wlan-st-10] portal domain portal

# 在服务模板下设置Portal的nas-ip地址。

[AC-wlan-st-10] portal bas-ip 192.168.0.22

# 在服务模板下调用Portal web-server。

[AC-wlan-st-10] portal apply web-server newpt

# 在服务模板下调用mac-trigger。

[AC-wlan-st-10] portal apply mac-trigger-server imc

# 使能服务模板。

[AC-wlan-st-10] service-template enable

[AC-wlan-st-10] quit

在AC下绑定无线服务模板

# 创建AP模板，名称为officeap，型号名称选择WA3628i-AGN，并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN

[AC-wlan-ap-ap1] serial-id 210235A42MB108000002

# 进入radio 1射频视图。

[AC-wlan-ap-ap1] radio 1

# 配置射频的工作信道为161。

[AC-wlan-ap-ap1-radio-1] channel 161

# 将服务模板30绑定到AP的radio 1。

[AC-wlan-ap-ap1-radio-1] service-template 30

[AC-wlan-ap-ap1-radio-1] radio enable

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1]quit

(3)配置Portal认证

# 配置Portal服务器地址为172.17.0.100。

[AC] portal server newpt
[AC-portal-server-newpt]ip 172.17.0.100 key single h3c

# 配置Portal web服务器的url。

[AC] portal web-server newpt
[AC-portal-websvr-newpt]url http://172.17.0.100:8080/portal

# 配置Portal免认证规则1，用于放行AC上起Portal的接口能够与Portal服务器通信。

[AC] portal free-rule 1 source interface bridge-aggregation1

# 配置RADIUS方案portal。

[AC] radius scheme portal

#配置认证、计费和授权服务器的IP地址为172.17.0.100。

[AC-radius-portal] primary authentication 172.17.0.100

[AC-radius-portal] primary accounting 172.17.0.100

# 配置与认证、计费和授权服务器交互报文时的共享密钥均为h3c。

[AC-radius-portal] key authentication simple h3c

[AC-radius-portal] key accounting simple h3c

# 指定发送给RADIUS方案Portal中RADIUS服务器的用户名不得携带域名。

[AC-radius-portal] user-name-format without-domain

#  配置设备发送RADIUS报文使用的源IP地址为192.168.0.22

[AC-radius-portal] nas-ip 192.168.0.22

[AC-radius-portal] quit

# 配置AAA认证域portal。

[AC] domain portal

# 设置ISP域的认证、授权和计费方法均为RADIUS方式。

[AC-isp-portal] authentication portal radius-scheme portal

[AC-isp-portal] accounting portal radius-scheme portal

[AC-isp-portal] authorization portal radius-scheme portal

[AC-isp-portal] quit

#创建名称为h3c的user-profile并设置QOS限速，设置上下线限速都为2M

[AC] user-profile h3c 

[AC-user-profile-h3c] qos car inbound any cir 2048

[AC-user-profile-h3c] qos car outbound any cir 2048

#创建完user-profile完成，将profile加入到domain里面

[AC]domain portal

[AC-isp-portal] authorization-attribute user-profile h3c

IMC配置

imc的配置见《基于MAC快速认证的本地转发配置案例》

链接：http://kms.h3c.com/case/info.aspx?id=43422

验证  

[AC]display portal user all
      Total portal users: 1
      Username: 1234
      AP name: wa4320
      Radio ID: 1
      SSID: gs-portal-v7
      Portal server: gs-portal
      State: Online
       VPN instance: N/A
       MAC           IP             VLAN 
       68db-ca64-23fd  192.168.150.2         150                      
       Authorization information:
       DHCP IP pool: N/A
       User profile: h3c (active)
       Session group profile: N/A
       ACL number: N/A
       Inbound CAR: N/A
       Outbound CAR: N/A

注意事项：当服务器也下发了user-profile之后，服务器下发的user-profile优先级高于AC上下发的user-profile