组网环境:正常无线接入,AC需要具备对与邮箱服务器之间三层可通信
设备型号:WX3540H (仅举例,V7平台AC通用)
软件版本:R5223P01(仅举例说明)
接口及IP:Mail Server 192.168.2.1 AC的Vlan int20 192.168.2.2,AC的Vlan int10 192.168.1.1 AP的IP 192.168.1.2
AC上开启DHCP服务,为无线客户端分配私网IP地址,用户通过此私网IP地址进行邮箱认证,在通过认证前,只能访问本地Web服务器;
在通过邮箱认证后,可以访问非受限的互联网资源。AC通过VLAN 20接口连接外网与邮箱服务器通信。
(1) 基本网络功能配置
# 创建VLAN 10,并进入VLAN 10视图。Client将使用该VLAN接入无线网络。
[AC] vlan 10
[AC-vlan10] quit
# 创建VLAN 20,并进入VLAN 20视图。此VLAN用来配置NAT及通过DHCP获取公网IP地址。
[AC] vlan 20
[AC-vlan20] quit
# 配置各VLAN接口的IP地址(略)。
# 开启DNS proxy功能。
[AC] dns proxy enable
# 配置Portal Web服务器域名***.***对应的IP地址为192.168.2.1。如果是知名常用邮箱服务器比如mail.qq.com则不需要配置,AC会通过DNS进行学习,前提是AC具备DNS地址,比如配置dns server 114.114.114.114
[AC] ip host ***.*** 192.168.2.1
# 开启DHCP服务。
[AC] dhcp enable
# 创建DHCP地址池client,并进入DHCP地址池视图。
[AC] dhcp server ip-pool client
# 配置DHCP地址池为无线客户端动态分配的IP地址网段为192.168.1.0/24。
[AC-dhcp-pool-client] network 192.168.1.0 mask 255.255.255.0
# 配置为DHCP客户端分配的网关地址为192.168.1.1。
[AC-dhcp-pool-client] gateway-list 192.168.1.1
# 配置为DHCP客户端分配的DNS服务器地址为192.168.1.1。
[AC-dhcp-pool-client] dns-list 192.168.1.1
[AC-dhcp-pool-client] quit
(2) 配置认证域
# 创建一个名称为extend-auth的ISP域,并进入其视图。
[AC] domain extend-auth
# 为Portal用户配置认证、授权、计费方法均为none。
[AC-isp-extend-auth] authentication portal none
[AC-isp-extend-auth] authorization portal none
[AC-isp-extend-auth] accounting portal none
[AC-isp-extend-auth] quit
(3) 配置邮箱认证
# 配置Portal Web服务器wbs的URL为https:// 192.168.1.1/portal。
[AC] portal web-server wbs
[AC-portal-websvr-wbs] url https://192.168.1.1/portal
[AC-portal-websvr-wbs] quit
# 创建邮箱认证服务器,并进入邮箱认证服务器视图。
[AC] portal extend-auth-server mail
# 配置邮箱认证服务支持的协议类型为POP3和IMAP。如果为QQ邮箱,需要在QQ邮箱的设置界面打开POP3或者IMAP权限,具体查考QQ邮箱帮助文档。
[AC-portal-extend-auth-server-mail] mail-protocol pop3 imap
# 配置邮箱认证服务支持的邮箱类型;如果为QQ邮箱,则为@qq.com; 也可以不做配置,保持默认,即不对邮箱认证服务支持的邮箱类型做限制。
[AC-portal-extend-auth-server-mail]mail-domain-name @qq.com
[AC-portal-extend-auth-server-mail] quit
# 创建无线服务模版st1,并进入无线服务模板视图。
[AC] wlan service-template st1
# 配置无线服务模板VLAN为VLAN 10,无线客户端通过此VLAN接入无线服务。
[AC-wlan-st-st1] vlan 100
# 配置SSID为mail。
[AC-wlan-st-st1] ssid mail
# 在无线服务模板st1上开启直接方式的Portal认证。
[AC-wlan-st-st1] portal enable method direct
# 指定从无线服务模板service上接入的邮箱认证用户强制使用认证域extend-auth进行邮箱认证。
[AC-wlan-st-st1] portal extend-auth domain extend-auth
# 在无线服务模板st1上引用Portal Web服务器wbs。
[AC-wlan-st-st1] portal apply web-server wbs
# 开启无线服务模板。
[AC-wlan-st-st1] service-template enable
[AC-wlan-st-st1] quit
# 创建本地Portal Web 服务器,并进入本地Portal Web服务器视图,指定使用HTTPS协议和客户端交互认证信息。
[AC] portal local-web-server https
# 配置本地Portal Web 服务器的缺省认证页面(默认设备自带缺省页面,如果要定制化修改需要将定制后的文件如abc.zip上传到设备)。
[AC-portal-local-websvr-https] default-logon-page abc.zip(缺省可不配置)
[AC-portal-local-websvr-https] quit
# 配置基于IP地址的Portal免认证规则(端口号53表示DNS报文),允许用户不需要经过Portal认证即可访问DNS服务。
[AC] portal free-rule 1 destination ip any udp 53
[AC] portal free-rule 2 destination ip any tcp 53
1、大部分环境中的邮箱认证功能需要对接公网设备的邮箱服务器,比如mail.qq.com,ad这时一定要确保AC自己具备DNS地址,可以正常解析域名,比如在AC上ping www.baidu.com做测试。
2、大部分的主流邮箱服务器比如163和QQ 对POP3的方式进行过安全级别升级,目前在QQ邮箱的个人账号打开IMAP功能之后会生成一个特殊的16位密码,在账号输入界面要用这个16为密码替代原先的密码来进行登录,比如:
3、目前一部分邮箱服务器POP3的安全级别提升过,AC上邮箱功能采用的ssl版本偏低,可能存在兼容性问题。所以暂时推荐IMAP方案为主。
4、当设备配置了
[AC-portal-extend-auth-server-mail] mail-protocol imap
[AC-portal-extend-auth-server-mail]mail-domain-name @***.***
则认证登录时用户的账号密码则会往imap.***.***发送,如果替换为mail-protocol pop3,则会往pop3.***.***发送,属于规定好的语句格式,如果有部分局点的邮箱服务器不遵循这样的格式接收报文,则需要在AC上IP host强制指定IP地址,避免AC发送报文给错地址。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作