知

WA2100和WX5002做无线接入并配合MA5200和Cams做Portal方式的EAD认证

V5 AC

2007-07-04 发表

0关注
0收藏 696浏览

张利兵

张利兵段

粉丝：人关注：人

WA2100和WX5002做无线接入并配合MA5200和Cams做Portal方式的EAD认证

适用WA2100版本： Software Version V100R001B38D001

适用WX5002E版本：Software Version V100R001B38D001

适用MA5200F版本：Version 2.10 RELEASE 7149 (SIMPLE)

适用CAMS版本：2.10-R0121 P03

一、 组网需求

WA2110、WX5002、交换机、MA5200F、CAMS服务器、便携机（安装有11b/g无线网卡和Windows无线客户端）

二、 组网图

无线客户端设置为自动获取IP地址方式

CAMS服务器的IP地址为192.168.0.100，网关为192.168.0.2

MA5200F的interface Ethernet19与CAMS连接，接口地址为192.168.0.2

MA5200F的interface Ethernet20与二层交换机连接

MA5200F中采用本地IP地址池为客户端分配地址

WA2110的IP地址为192.168.1.50

SSID的名称为TEST

三、 WX5002的配置

1) 配置无线接口

[H3C]int WLAN-ESS 3

[H3C-WLAN-ESS3]

2) 配置服务模板

[H3C]wlan service-template 3 clear

[H3C-wlan-st-3]ssid test

[H3C-wlan-st-3]bind WLAN-ESS 3

[H3C-wlan-st-3] authentication-method open-system

[H3C-wlan-st-3]service-template enable

3) 配置AP1

[H3C] wlan ap ap1 model WA2100

[H3C-wlan-ap-ap1] serial-id H3CWA2100CD0930

4) 配置AP射频

[H3C-wlan-ap-ap1] radio 1 type 11g

[H3C-wlan-ap-ap1-radio-1] max-power 10

[H3C-wlan-ap-ap1-radio-1] service-template 1

5) 使能所有射频

[H3C] wlan radio enable all

WX5002的完整配置：

version 5.00, 0001

sysname H3C

igmp-snooping

vlan 1

igmp-snooping enable

igmp-snooping querier

igmp-snooping general-query source-ip 192.168.0.100

vlan 2

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

local-user zlb

wlan service-template 3 clear

ssid test

bind WLAN-ESS 3

authentication-method open-system

service-template enable

wlan rrm

11a mandatory-rate 6 12 24

11a supported-rate 9 18 36 48 54

11b mandatory-rate 1 2

11b supported-rate 5.5 11

11g mandatory-rate 1 2 5.5 11

11g supported-rate 6 9 12 18 24 36 48 54

interface NULL0

interface Vlan-interface1

ip address 192.168.0.98 255.255.255.0

interface GigabitEthernet1/0/1

port link-type trunk

port trunk permit vlan all

interface GigabitEthernet1/0/2

interface M-Ethernet1/0/1

interface WLAN-ESS3

wlan ap ap1 model WA2100

serial-id H3CWA2100CD0930

radio 1 type 11g

max-power 10

service-template 3

radio enable

snmp-agent

snmp-agent local-engineid 000063A27F00000100007FDB

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info version all

snmp-agent target-host trap address udp-domain 192.168.0.100 params securityname public

load xml-configuration

user-interface aux 0

user-interface vty 0 4

dis wlan ap all ver

Total Number of APs configured: 1

Total Number of APs connected : 1

AP Profile: ap1

-------------------------------------------------------------------------------

APID : 1

AP Name : ap1

State : Run

Up Time(hh:mm:ss) : 00:01:33

Model : WA2100

Serial-ID : H3CWA2100CD0930

IP Address : 192.168.1.50

H/W Version : Ver.B

S/W Version : V100R001B38D001

Boot-Rom Version : 107

Description : -NA-

Echo Interval(s) : 10

Statistics report Interval(s) : 600

Cir(Kbps) : -NA-

Cbs(Bytes) : -NA-

Jumboframe Threshold : Disable

Configuration Failure Count : -NA-

Last Failure Reason : -NA-

Last Reboot Reason : Tunnel Initiated

-------------------------------------------------------------------------------

AP Mode : Split

AP operation mode : Normal

Maximum Number of Radios : 1

Current Number of Radios : 1

Client Keep-alive Interval : Disable

Client Idle Interval(s) : 3600

Broadcast-probe Reply Status : Enable

Radio 1:

Basic BSSID : 000f-e2cd-0930

Current BSS Count : 5

Running Clients Count : 0

Wireless Mode : 11g

Configured Channel : auto(1)

Configured Power (dBm) : 10

Preamble Type : short

Radio Policy : default-rp

Service Template : 1 (SSID: h3c-igmp)

Service Template : 2 (SSID: h3c-wpa)

Service Template : 4 (SSID: h3c-wpa-psk)

Service Template : 3 (SSID: test)

Service Template : 5 (SSID: dot1x)

Admin State : UP

Physical State : UP

Operational Rates (Mbps):

1 : mandatory

2 : mandatory

5.5 : mandatory

6 : supported

9 : supported

11 : mandatory

12 : supported

18 : supported

24 : supported

36 : supported

48 : supported

54 : supported

Radar detected Channels : None

四、 MA5200的配置

1) 创建名为zlb的地址池

[MA5200F] ip pool zlb local

[MA5200F-ip-pool- zlb] gateway 192.168.1.1 255.255.255.0

[MA5200F-ip-pool- zlb] section 0 192.168.1.10 192.168.1.200

2) 新建认证方案auth1和计费方案acc1

[MA5200F] aaa

[MA5200F-aaa] authentication-scheme auth1

[MA5200F-aaa-authen-auth1] authentication-mode radius

[MA5200F] aaa

[MA5200F-aaa] accounting-scheme acct1

[MA5200F-aaa-accounting-acct1] accounting-mode radius

3) 配置radius认证服务器

[MA5200F]radius-server group radius-group1

[MA5200F-radius-radius1] radius-server authentication 192.168.0.100 1812

[MA5200F-radius-radius1] radius-server accounting 192.168.0.100 1813

[MA5200F-radius-radius1] radius-server key h3c

[MA5200F-radius-radius1] radius-server type portal

4) 配置web认证服务器

[MA5200F] web-auth-server 192.168.0.100 key h3c

5) 配置认证前的域default0

[MA5200F-aaa-domain-default0] ip-pool zlb

[MA5200F-aaa-domain-default0] ucl-group 1

[MA5200F-aaa-domain-default0] web-server 192.168.0.100

[MA5200F-aaa-domain-default0] web-server url

http://192.168.0.100/portal

6) 配置认证时的域isp

[MA5200F] aaa

[MA5200F-aaa] domain isp

[MA5200F-aaa-domain-isp] authentication-scheme auth1

[MA5200F-aaa-domain-isp] accounting-scheme acct1

[MA5200F-aaa-domain-isp] radius-server group radius-group1

7) 配置系统的ACL策略

[MA5200F] acl number 3000 match-order auto

[MA5200F-acl-adv-3000] rule user-net permit ip source 1 destination

192.168.0.100 0

[MA5200F-acl-adv-3000] rule net-user permit ip source 192.168.0.100 0 destination 1

[MA5200F-acl-adv-3000] rule user-net deny ip source 1

[MA5200F] access-group 3000

8) 配置VLAN端口

[MA5200F] portvlan ethernet 2 vlan 0 2

[MA5200F-ethernet2-2-vlan0-1] access-type layer2-subscriber

[MA5200F-ethernet2-2-vlan0-1] default-domain authentication isp

[MA5200F-ethernet2-2-vlan0-1] authentication-method web

9) 配置上行接口

[MA5200F] portvlan ethernet 1 vlan 0 1

[MA5200F-ethernet1-1-vlan0-0] access-type interface

[MA5200F] interface Ethernet 1.0

[MA5200F-Ethernet1.0] ip address 192.168.0.2 255.255.255.0

MA5200F的完整配置如下：

version 7149

sysname MA5200F

system language-mode english

FTP server enable

web-auth-server version v2

web-auth-server 192.168.0.100 key h3c

radius-server group radius-group1

radius-server key h3c

radius-server authentication 192.168.0.100 1812

radius-server accounting 192.168.0.100 1813

radius-server traffic-unit kbyte

radius-server group radius

radius-server group login

undo trap-statistics 7242002

undo trap-statistics 7242003

undo trap-statistics 70f2000

undo trap-statistics 70f2001

undo trap-statistics 70f2002

undo trap-statistics 70f2003

undo trap-statistics 70f2004

undo trap-statistics 70f2005

undo trap-statistics 70f2008

undo trap-statistics 70f2009

undo trap-statistics 70f200c

undo trap-statistics 70f200d

undo trap-statistics 70f200e

undo trap-statistics 70f200f

undo trap-statistics 70f2017

undo trap-statistics 70f2018

undo trap-statistics 70f201c

undo trap-statistics 70f201d

undo trap-statistics 7032000

undo trap-statistics 7032001

undo trap-statistics 7032002

interface Ethernet1

interface Ethernet2

interface Ethernet3

interface Ethernet4

interface Ethernet5

interface Ethernet6

interface Ethernet7

interface Ethernet8

interface Ethernet9

interface Ethernet10

interface Ethernet11

interface Ethernet12

interface Ethernet13

interface Ethernet14

interface Ethernet15

interface Ethernet16

interface Ethernet17

interface Ethernet18

interface Ethernet19

interface Ethernet19.0

ip address 192.168.0.200 255.255.255.0

interface Ethernet20

interface Ethernet21

interface Ethernet22

interface Ethernet23

interface Ethernet24

interface GigabitEthernet25

interface GigabitEthernet26

interface NULL0

interface LoopBack0

interface Nm-Ethernet0

acl number 3001

rule 1 net-user permit ip source 192.168.0.100 0 destination 1

rule 0 user-net permit ip source 1 destination 192.168.0.100 0

rule 2 user-net deny ip source 1

l2tp-group 1

ip pool zlb local

gateway 192.168.1.1 255.255.255.0

section 1 192.168.1.10 192.168.1.200

dot1x-template 1

aaa

authentication-scheme auth1

accounting-scheme acc1

accounting realtime 3

domain default0

web-server 192.168.0.100

web-server url http://192.168.0.100/portal

ucl-group 1

ip-pool zlb

domain isp

authentication-scheme auth1

accounting-scheme acc1

radius-server group radius-group1

local-aaa-server

local-accounting alarm-threshold flash 100

ip route-static 0.0.0.0 0.0.0.0 192.168.0.100

access-group 3001

user-interface con 0

user-interface vty 0 4

portvlan ethernet 19 vlan 0 1

access-type interface

portvlan ethernet 20 vlan 0 2

access-type layer2-subscriber

default-domain authentication isp

authentication-method web

return

五、 Cams的相关配置

1、在CAMS系统的“系统管理>>系统配置>>接入设备配置>>增加配置项”中进行如下图所示配置。

·保证交换机的IP地址在配置的初始IP地址和结束IP地址的范围内（如192.168.0.2在192.168.0.1 - 192.168.0.254的范围内）。

·保证共享密钥中的配置与交换机的radius-server中的配置一致（如本例中为h3c）。

·保证端口列表中的配置与交换机的radius-server中的配置一致（如本例中为1812，1813）。

2、在CAMS系统的“安全管理>>安全策略>>增加安全策略”中进行如下图所示配置。（本例中使用的安全策略名为ead）

其中的隔离ACL和安全ACL在交换机上定义。其他安全检查和安全策略在“防病毒软件管理”，“软件补丁管理”，“可控软件管理”中配置。

“隔离ACL”和“安全ACL”不需要填写，即不下发ACL，否则会造成认证不通过。

设置完“安全策略”后，要点击“安全设置生效”。

3．在CAMS系统中PORTAL组件的相关配置如下：

PORTAL服务器信息如下图所示。

服务器IP地址：192.168.0.100

PORTAL主页：http://192.168.0.100/portal

“服务类型列表”中添加Portal服务所代表的域名。通过“服务类型表识”

项增加，如本实验的域名“isp”。“服务类型描述”是对其的标称，在客户端iNode认证街面上会显示此名字，如果选择上，表示客户端带域名认证，即用户名带”isp”域名认证。

IP地址组信息设置：

配置设备端口组信息设置：

点击生效，使配置生效：

4．在CAMS系统的“服务管理>>服务配置>>增加服务”中进行如下图所示配置。（本例中使用的服务名为hx）

“服务后缀”中，填写域名，这里填写域名“isp”。

5．在CAMS系统的“用户管理>>帐户用户>>用户开户”中进行如下图所示配置。（本例中帐户名为hx，密码为hx，选择相应的服务hx）

六、 客户端的相关设置

首先在Windows无线客户端中选择连接SSID Test，。客户端连接成功后会自动获取IP地址。这时需要配置iNode 客户端，“服务类型”选择“EAD”

，用户带域名认证。

1）用户带域名认证

认证成功：

用户下线：

2）用户不带域名认证

不带域名的情况有如下几种情况：

1. MA5200上radius-server配置中加入命令：“undo radius-server user-name domain-included”。这样用户名即使带域名认证，也会在MA5200上被剥去。

2. 客户端“服务类型”不选择EAD方式，即表示域名的标识符。

3. Cams服务器的Portal服务器信息中，不配置“服务器类型列表”，这样iNode客户端的认证界面中，“服务类型”中就不会出现表示于面的EAD。

4. Cams配置中的服务不配置域名后缀，表示对应不带域名的用户。

若您有关于案例的建议，请反馈：

作者在2008-08-13对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 知了APP下载; 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

WA2100和WX5002做无线接入并配合MA5200和Cams做Portal方式的EAD认证

编辑评论

提出建议