为了加快提升手机用户使用WLAN的便利性,降低使用WLAN的门槛,在浙江移动省公司的牵头下,召集各个厂家包括华三、摩托、大唐、中兴、亚信一起开发了WLAN手机上网MAC快速认证功能。
使用该功能后,手机用户初次登陆WLAN,弹出Portal登陆页面,手工输入用户名和密码进行正常的PORTAL认证,与此同时,AC会将用户MAC等信息传递给后端MAC绑定服务器,以后该手机用户再次上网时就无需输入任何信息,AC会自动将用户信息传递给后台进行认证,从而免去了用户每次手工输入用户名和密码的麻烦,简化了上网流程。同时为了减轻AC对用户数据转发的压力,实现在无线控制器AC上对无线用户进行MAC快速认证,但认证成功后业务数据走AP本地转发。
1、用户打开应用程序如浏览器,QQ等,进行上网操作。
2、AC检测到流量超过门限,通知MAC绑定服务器进行MAC检查。
3、MAC绑定服务器对MAC进行检查,如果已经绑定,则提取该MAC地址对应的用户名和密码,这时客户端在通过AP进行HTTP重定向发起portal认证。
4、AC向集团的AAA服务器进行认证请求,认证通过后,通知绑定服务器。
5、当认证完成之后,用户的数据流量通过AP走本地转发
如图1-1,总部的AC与分支机构的AP二层关联并作为DHCP server为无线客户端分配地址;wx6103作为无线客户端的网关并为AP分配地址,具体要求如下:
AC先向服务器发送MAC快速认证请求,如果用户第一次上线,则服务器向AC发起认证请求,用户认证成功后,AC将用户规则下发到AP设备上,用户报文在AP上直接做转发;如果用户不是第一次上线,用户不需要进行认证,用户报文在AP上直接转发。
图1-1 AC为无线客户端分配地址配置组网图
[AC] interface vlan-interface 1
[AC-Vlan-interface10] ip address 192.168.0.4 24
[AC-Vlan-interface10] quit
#创建VLAN 10及其对应的VLAN接口,并为该接口配置IP地址,其中VLAN10用于和AP之间进行通信。
[AC] vlan 10
[AC-vlan10] quit
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 10.1.1.1 24
[AC-Vlan-interface10] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IP地址,其中VLAN 30用于起Portal服务。
[AC] vlan 30
[AC-vlan30] quit
[AC] interface vlan-interface 30
[AC-Vlan-interface30] ip address 30.1.1.1 24
[AC-Vlan-interface30] quit
# 配置AC的以太网1/0/1口的类型为Trunk口并允许所有VLAN通过,用于与AP、无线客户端、IMC之间通信。
[AC] interface g1/0/1
[AC-Bridge-Aggregation1] port link-type trunk
[AC-Bridge-Aggregation1] port trunk permit vlan all
[AC-Bridge-Aggregation1] quit
(1)配置DHCP服务
# 使能DHCP功能。
[AC] dhcp enable
# 配置DHCP地址池10,用于为AP动态分配地址。
[AC] dhcp server ip-pool vlan10
[AC-dhcp-pool-10] network 10.1.1.0 24
[AC-dhcp-pool-10] gateway-list 10.1.1.1
[AC-dhcp-pool-10] dns-list 10.1.1.1
[AC-dhcp-pool-10] quit
# 配置DHCP地址池30,用于为Client动态分配地址。
[AC] dhcp server ip-pool vlan30
[AC-dhcp-pool-30] network 30.1.1.0 24
[AC-dhcp-pool-30] gateway-list 30.1.1.1
[AC-dhcp-pool-30] dns-list 30.1.1.1
[AC-dhcp-pool-30] quit
(2)配置WLAN-ESS接口
# 创建接口WLAN-ESS 30。
[AC] interface wlan-ess 30
# 配置端口的链路类型为Access,允许VLAN 30通过。
[AC-WLAN-ESS30] port access vlan 30
[AC-WLAN-ESS30] quit
(3)配置无线服务模板
# 创建clear类型的服务模板30。
[AC] wlan service-template 30 clear
# 设置当前服务模板的SSID为portal-local。
[AC-wlan-st-30] ssid portal-local
# 将WLAN-ESS30接口绑定到服务模板30。
[AC-wlan-st-30] bind wlan-ess 30
# 开启用户本地转发功能。
[AC-wlan-st-30] client forwarding-mode local
# 开启无线客户端透传DHCP报文到AC的功能。
[AC-wlan-st-30] client dhcp-server centralized
# 使能服务模板。
[AC-wlan-st-30] service-template enable
[AC-wlan-st-30] quit
在AC下绑定无线服务模板
# 创建AP模板,名称为officeap,型号名称选择WA3628i-AGN,并配置序列号。
[AC] wlan ap ap1 model WA3628i-AGN
[AC-wlan-ap-ap1] serial-id 210235A42MB108000002
[AC-wlan-ap-ap1] map-configuration apcfg.txt
# 进入radio 1射频视图。
[AC-wlan-ap-ap1] radio 1
# 配置射频的工作信道为161。
[AC-wlan-ap-ap1-radio-1] channel 161
# 将服务模板30绑定到AP的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template 30
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1]quit
(4)配置Portal认证
# 配置Portal服务器地址为172.17.0.100,并指定服务器对应的url。
[AC] portal server imc ip 172.17.0.100 key simple h3c url http://172.17.0.100:8080/portal
# 配置Portal免认证规则1,用于放行AC上起portal的接口能够与portal服务器通信。
[AC] portal free-rule 1 source interface bridge-aggregation1 destination any
# 配置AC通过WLAN获取Portal用户信息。
[AC] portal host-check wlan
# 配置RADIUS方案portal。
[AC] radius scheme portal
#配置认证、计费和授权服务器的IP地址为172.17.0.100。
[AC-radius-portal] primary authentication 172.17.0.100
[AC-radius-portal] primary accounting 172.17.0.100
# 配置与认证、计费和授权服务器交互报文时的共享密钥均为h3c。
[AC-radius-portal] key authentication simple h3c
[AC-radius-portal] key accounting simple h3c
# 指定发送给RADIUS方案portal中RADIUS服务器的用户名不得携带域名。
[AC-radius-portal] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IP地址为192.168.0.4。
[AC-radius-portal] nas-ip 192.168.0.4
[AC-radius-portal] quit
# 配置AAA认证域portal。
[AC] domain portal
# 设置ISP域的认证、授权和计费方法均为RADIUS方式。
[AC-isp-portal] authentication portal radius-scheme portal
[AC-isp-portal] accounting portal radius-scheme portal
[AC-isp-portal] authorization portal radius-scheme portal
[AC-isp-portal] quit
[AC] interface vlan-interface 30
# 配置接口VLAN 30为Portal直接认证的接口。
[AC-Vlan-interface30] portal server imc method direct
# 指定从接口接入的IPv4 Portal用户使用认证域为portal。
[AC-Vlan-interface30] portal domain portal
# 配置接口发送Portal报文使用的IPv4源地址为192.168.0.4。
[AC-Vlan-interface30] portal nas-ip 192.168.0.4
# 开启Portal本地转发功能。
[AC-Vlan-interface30] portal forwarding-mode local
#配置MAC绑定服务器的IP和UDP端口,缺省值为5010
[AC-Vlan-interface30] portal mac-trigger server ip 172.17.0.100
#配置MAC快速认证功能在接口下使能
[AC-Vlan-interface30] portal mac-trigger enable
[AC-Vlan-interface30] quit
# 配置arp-snooping功能。
[AC] arp-snooping enable
#配置learn-ipaddr功能
[AC] wlan client learn-ipaddr enable
#为vlan 1配置对应接口IP地址,用于和AC之间通信。
[SW] interface vlan-interface 1
[SW-Vlan-interface1] ip address 192.168.0.2 24
[SW-Vlan-interface1] quit
# 配置SW与Router连接的物理接口的类型为Trunk,允许所有VLAN通过。
[SW] interface gigabitethernet 1/0/1
[SW-GigabitEthernet1/0/1] port link-type trunk
[SW-GigabitEthernet1/0/1] port trunk permit vlan all
[SW-GigabitEthernet1/0/1] quit
# 配置SW与AP连接的物理接口属性,使能POE为AP供电,类型为Trunk,允许所有VLAN通过,且PVID设置为10。
[SW] interface gigabitethernet 1/0/2
[SW-GigabitEthernet1/0/2] poe enable
[SW-GigabitEthernet1/0/2] port link-type trunk
[SW-GigabitEthernet1/0/2] port trunk permit vlan all
[SW-GigabitEthernet1/0/2] port trunk pvid vlan 10
[SW-GigabitEthernet1/0/2] quit
# 创建VLAN20,并配置对应接口的IP地址,用于和IMC服务器之间通信。
[SW] vlan 20
[SW-vlan30] quit
[SW] interface vlan-interface 20
[SW-Vlan-interface30] ip address 172.17.0.254 24
[SW-Vlan-interface30] quit
编辑AP的配置文件map.txt。
system-view
#http://172.17.0.100:8080/portal//配置portal服务器地址为
172.17.0.100,并指定服务器对应的url
portal server imc ip 172.17.0.100 key simple h3c url
#destination any//配置portal免认证规则1,用于放行AP上起portal
的接口能够与portal服务器通信
portal free-rule 1 source interface GigabitEthernet 1/0/1
#配置ap通过WLAN获取Portal用户信息。
portal host-check wlan
#创建vlan 30
vlan 30
#创建VLAN30对应接口,并接入接口VLAN30视图
interface vlan 30
#接口下指定portal服务器并配置为直接认证方式
portal server imc method direct
#配置接口发送portal报文使用的源地址为AC的地址
portal nas-ip 192.168.0.4
#配置MAC快速认证功能在接口下使能
portal mac-trigger enable
#进入到AP的物理接口
interface GigabitEthernet 1/0/1
#配置接口GigabitEthernet1/0/1类型为Trunk
port link-type trunk port
配置接口GigabitEthernet1/0/1允许所有VLAN通过
trunk permit vlan all
4.1配置Portal服务器。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,使用缺省配置。
# 配置IP地址组。
选择“用户”页签,单击导航树[接入策略管理/Portal服务管理/ IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 输入IP地址组名:test5;
· 输入起始地址:30.1.1.1;
· 输入终止地址:30.1.1.100;
其他采用缺省配置,单击<确定>按钮完成操作
# 增加Portal设备。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面。在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 输入设备名:test5;
· 输入IP地址:即AC上配置的portal bas-ip地址,192.168.0.4;
· 输入密钥:h3c,与AC上配置的portal server密钥一致;
· 组网方式改为“直连”类型;
· 其他采用默认配置,单击<确定>按钮完成操作。
增加端口组信息。
在Portal设备配置页面中的设备信息列表中,单击“
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 输入端口组名:test5;
· 选择IP地址组:test5;
· 选择支持无感知认证;
· 其他采用默认配置,单击<确定>按钮完成操作。
4.2 配置接入服务
# 增加接入设备
选择“资源”标签,单击导航树中的[增加设备]菜单项,进入增加设备视图下。
设置设备的IP地址为192.168.0.4,也就是和设备交互报文的地址。
选择“用户”标签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面。在该页面中单击<增加>按钮,进入增加接入设备页面。
l 设置与AC交互报文时使用的认证、计费共享密钥为“h3c”,该密码与AC配置RADIUS方案时的地址一致;
l 选择接入设备类型为“H3C(General)”;
l 其它参数采用缺省值,并单击<确定>按钮完成操作
l 点击“选择”按钮;
点击“IP视图”,选择自己要添加的设备,点击向下添加按钮
# 增加接入策略。
选择“用户”标签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略配置页面。在接入策略列表中点击<增加>按钮,进入增加接入策略页面。
· 接入策略名输入“test5”;
· 业务分组“未分组”;
其它参数采用缺省值,并单击<确定>按钮完成操作
# 增加接入服务。
选择“用户”标签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务配置页面。在接入服务列表中点击<增加>按钮。
· 服务名输入“test5”;
· 缺省接入策略“test5”;
· 勾选portal无感知认证;
其它参数采用缺省值,并单击<确定>按钮完成操作。
4.3增加接入用户。
# 选择“用户”标签,单击导航树中的[接入用户管理/接入用户]菜单项,进入到接入用户配置页面。在接入用户列表中点击<增加>按钮,进入增加接入用户页面。
· 在增加接入用户页面,单击<增加用户>按钮弹出增加用户窗口;
· 输入用户名“test5”;
· 输入证件号码“01022171414”;
· 单击<检查是否可用>按钮;
· 如用户姓名和证件号码可用,单击<确定>按钮完成操作。
点击“确定”按钮,选择“增加接入用户”。
· 账号名输入“test5”;
· 密码输入“test5”;
· 强portal无感知认证最大数设置为10;
· 勾选接入服务“test5”;
单击<确定>按钮完成操作。
⑴用户使用智能终端通过浏览器访问网络,重定向到Portal认证页面。用户输入用
户名、密码、服务等认证信息,进行上线认证。
⑵认证成功后,用户下线。
⑶用户再次使用该智能终端访问网络,这时不需要输入用户名和密码,直接上线。
⑷此时可在iMC上观察到绑定该智能终端MAC地址信息
配置思路:
· 为实现AC与Portal服务器通信,在AC上配置到portal服务器的静态路由;
· 在AC上配置DHCP功能,使得AC统一分配、集中管理无线客户端的地址;
· 为实现MAC快速认证,在AC和AP上配置MAC快速认证;
· 为了使AP能够直接转发Client报文,需要在AC的服务模板下开启本地转发功
能,同时通过下发map-configuration文件来对AP进行配置实现本地转发。
配置注意事项:
· AC和AP上都要配置从WLAN获取用户信息的功能;
· AC和AP上都需要配置触发无感知认证的功能。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备
背面的标签获取。
· 配置MAC认证服务器必须在使能三层Portal认证的接口下使能。
· 为使MAC快速认证功能生效,必须保证配置了MAC绑定服务器的IP和UDP端口信
息,且接口使能了Portal。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作