华三交换机如何配置对接认证？

H3C无线控制器Portal MAC-Trigger快速认证典型配置举例(V7)

1  组网需求

如图1所示，AP和Client通过DHCP服务器获取IP地址，iMC同时作为Portal认证服务器和Portal Web服务器、RADIUS 服务器和MAC绑定服务器，要求：

· AC采用直接方式的Portal认证。

· Client在通过Portal认证前，只能访问Portal Web服务器；Client通过Portal认证

后，可以访问外部网络。

· 在Client的流量达到1024000字节之前，允许Client访问外部网络资源，一旦流

量达到1024000字节，则触发MAC快速认证。

· 用户可以在VLAN内的任何二层端口上访问网络资源，且移动接入端口时无须重复

认证。

·iMC服务器需要对用户授权信息进行动态修改或强制用户下线。

图1 Portal基于MAC地址的快速认证组网图

 

2  配置关键点

2.1  配置iMC

下面以iMC为例（使用iMC版本为：iMC PLAT 7.1(E0303p13)、iMC EIA 7.1(F0302p08)、iMC EIP 7.1(F0302p08)）说明RADIUS server、Portal server和MAC绑定服务器的基本配置。

(1)      配置RADIUS server

# 增加接入设备

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，单击<增加>按钮，进入“增加接入设备”页面。

·配置共享密钥为radius，该共享密钥与AC上配置RADIUS服务器时的密钥一致。

·单击<手工增加>按钮，进入“手工增加接入设备”页面，填写起始IP地址为2.2.2.1，

单击<确定>按钮完成操作。

·其他配置采用页面默认配置即可。

·单击<确定>按钮完成操作。

图2 增加接入设备

 

(2)      配置Portal server

# 配置Portal认证服务

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项，进入服务器配置页面。

·根据实际组网情况调整以下参数，本例中使用缺省配置。

图3 Portal认证服务器配置页面

 

# 配置IP地址组。

单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项，进入Portal IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。

·填写IP地址组名；

·输入起始地址和终止地址，输入的地址范围中应包含用户主机的IP地址；

·选择业务分组，本例中使用缺省的“未分组”；

·选择IP地址组的类型为“普通”。

图4 增加IP地址组配置页面

 

# 增加Portal设备

单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项，进入Portal设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。

·填写设备名；

·版本选择“CMCC 1.0”；

·指定IP地址为与接入用户相连的设备接口IP；

· 选择是否支持逃生心跳功能和用户心跳功能，本例中选择否。

·输入密钥，与AC上的配置保持一致；

·选择组网方式为直连；

·其它参数可采用缺省配置。

图5 增加设备信息配置页面

 

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，单击NAS设备的<端口组信息管理>链接，进入端口组信息配置页面。

图6 设备信息列表

 

在端口组信息配置页面中单击<增加>按钮，进入增加端口组信息配置页面。

·填写端口组名；

·选择IP地址组，用户接入网络时使用的IP地址必须属于所选的IP地址组；

·无感知认证选择“支持”；

·其它参数可采用缺省配置。

图7 增加端口组信息配置页面

 

# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项，使以上Portal认证服务器配置生效。

(3)      配置MAC绑定服务器

# 增加接入策略

单击导航树中的[接入策略管理/接入策略管理]菜单项，并单击<增加>按钮，进入“增加接入策略”页面。

·填写接入策略名；

· 选择业务分组；

·其它参数可采用缺省配置。

图8 增加接入策略配置

 

# 增加接入服务

单击导航树中的[接入策略管理/接入服务管理]菜单项，并单击<增加>按钮，进入“增加接入服务配置”页面。

·填写服务名；

· 缺省接入策略选择已配置好的接入策略；

· 勾选“Portal无感知认证”；

·其它参数可采用缺省配置。

图9 增加接入服务配置

 

# 增加接入用户

单击导航树中的[接入用户管理/接入用户]菜单项，并单击<增加>按钮，进入增加接入用户页面。

·用户姓名选择已经存在的可接入的用户或单击<增加用户按钮>，增加一个新用户；

·填写账号名；

·设置密码；

·设置“Portal无感知认证最大绑定数”；

· 其它参数可采用缺省配置。

图10 增加接入用户

 

# 配置系统参数

单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项，并单击[终端管理参数配置]对应的<配置>按钮，进入终端管理参数配置页面。

“非智能终端Portal无感知认证”可根据实际需要启用或禁用，本例中为启用。

图11 配置终端管理参数

 

单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项，单击[终端老化时长]对应的<配置>按钮，然后单击<修改>，进入终端老化时长配置页面。

根据实际需要配置终端老化时间，本例中采用默认值。

图12 配置终端老化时长

 

# 最后单击导航树中的[接入策略管理/业务参数配置/系统配置手工生效]菜单项，使以上配置生效。

2.2  编辑AP配置文件

# 使用文本文档编辑AP的配置文件，将配置文件命名为map.txt，并将配置文件上传到AC存储介质上。配置文件内容和格式如下：

System-view

vlan 200

interface gigabitethernet1/0/1

port link-type trunk

port trunk permit vlan 200

2.3  配置AC

(1)  在AC上配置相关VLAN和对应虚接口地址，并放通对应接口,配置路由和服务

器之间能够通信。

(2)   配置无线服务，配置本地转发

[AC] wlan service-template st1

[AC-wlan-st-st1] ssid service

[AC-wlan-st-st1] vlan 200

[AC–wlan-st-st1] client forwarding-location ap

# 配置AP ，并下发MAP文件

[AC] wlan ap office model WA4320i-ACN

[AC-wlan-ap-office] serial-id 219801A0CNC138011454

[AC-wlan-ap-office]  map-configuration map.txt[y11] 

[AC-wlan-ap-office] radio 2

[AC-wlan-ap-office-radio-2] service-template st1

[AC-wlan-ap-office-radio-2] radio enable

(3)  配置RADIUS方案

#配置radius认证,配置radius服务器的IP地址、秘钥、不携带域名及radius

报文发送的源地址。

[AC] radius scheme rs1

[AC-radius-rs1] primary authentication 192.168.0.111

[AC-radius-rs1] primary accounting 192.168.0.111

[AC-radius-rs1] key authentication simple radius

[AC-radius-rs1] key accounting simple radius

[AC-radius-rs1] user-name-format without-domain

[AC-radius-rs1] nas-ip 2.2.2.1[y12] 

# 使能RADUIS session control功能。

[AC] radius session-control enable

# 开启RADIUS DAE服务，并进入RADIUS DAE服务器视图。

[AC] radius dynamic-author server

# 设置RADIUS DAE客户端的IP地址为192.168.0.111，与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文radius。

[AC-radius-da-server] client ip 192.168.0.111 key simple radius

(4)  配置认证域,配置认证、计费、授权方案，配置闲置超时时长。

[AC] domain dm1

[AC-isp-dm1] authentication portal radius-scheme rs1

[AC-isp-dm1] authorization portal radius-scheme rs1

[AC-isp-dm1] accounting portal radius-scheme rs1

[AC-isp-dm1] authorization-attribute idle-cut 15 1024

 (5)      配置Portal认证

# 配置Portal认证服务器，名称为newpt，IP地址为192.168.0.111，监听Portal报文的端口为50100。

[AC] portal server newpt

[AC-portal-server-newpt] ip 192.168.0.111

[AC-portal-server-newpt] port 50100

# 配置Portal认证服务器类型为CMCC。

[AC-portal-server-newpt] server-type cmcc

# 配置Portal Web服务器的URL为http://192.168.0.111:8080/portal。

[AC] portal web-server newpt

[AC-portal-websvr-newpt] url http://192.168.0.111:8080/portal

# 配置设备重定向给用户的Portal Web服务器的URL中携带参数ssid、wlanuserip和wlanacname，其值分别为AP的SSID、用户的IP地址和AC名称（这三个参数与中国移动对接时必配）。

[AC-portal-websvr-newpt] url-parameter ssid ssid

[AC-portal-websvr-newpt] url-parameter wlanuserip source-address

[AC-portal-websvr-newpt] url-parameter wlanacname value AC

# 配置Portal Web服务器类型为CMCC。

[AC-portal-websvr-newpt] server-type cmcc

# 配置一条基于IPv4地址的Portal免认证规则，编号为0，目的地址为192.168.0.111，以便放行访问Portal Web服务器的流量，让用户可以正常访问Portal Web服务器，同时配置一条从聚合口到any的免认证规则，以便放行从聚合口过来的流量。

[AC] portal free-rule 0 destination ip 192.168.0.111 24

[AC] portal free-rule 1 source interface Bridge-Aggregation 1[y13] 

# 开启无线Portal漫游功能。

[AC] portal roaming enable

# 关闭无线Portal客户端ARP表项固化功能。

[AC] undo portal refresh arp enable

# 开启无线Portal客户端合法性检查功能。

[AC] portal host-check enable

# 在无线服务模板st1上使能直接方式的Portal认证。

[AC] wlan service-template st1

[AC-wlan-st-st1] portal enable method direct

# 配置接入的Portal用户使用认证域为dm1。

[AC-wlan-st-st1] portal domain dm1

# 在无线服务模板st1上引用Portal Web服务器newpt。

[AC-wlan-st-st1] portal apply web-server newpt

(7)      配置Portal基于MAC地址的快速认证

# 创建MAC绑定服务器mts，并进入MAC绑定服务器视图。

[AC] portal mac-trigger-server mts

# 配置用户免认证流量的阀值为1024字节。

[AC-portal-mac-trigger-server-mts] free-traffic Threshold 1024000

# 配置MAC绑定服务器的地址为192.168.0.111。

[AC-portal-mac-trigger-server-mts] ip 192.168.0.111

# 配置MAC绑定服务器类型为CMCC。

[AC- mac-trigger-server-mts] server-type cmcc

# 在无线服务模板上应用MAC绑定服务器mts。

[AC] wlan service-template st1

[AC-wlan-st-st1] portal apply mac-trigger-server mts

# 在无线服务模板上配置portal bas-ip。

[AC-wlan-st-st1] portal bas-ip 2.2.2.1[y14] 

 

# 开启无线服务模板。

[AC-wlan-st-service1] service-template enable

2.4  配置Switch

#创建相关VLAN，配置L2 switch和AP相连的接口为Trunk类型，配置相应的虚接口地址，PVID为AP 管理VLAN，并开启PoE供电功能。

3  验证配置

# 通过执行以下显示命令可查看MAC绑定服务器配置。

[AC] display portal mac-trigger-server name mts

Portal mac trigger server name: mts

  Version                    : 1.0

  Server type                : CMCC

  IP                         : 192.168.0.111

  Port                       : 50100

  VPN instance               : Not configured

  Aging time                 : 300 seconds

  Free-traffic threshold     : 1024000 bytes

  NAS-Port-Type              : Not configured

  Binding retry times        : 3

  Binding retry interval     : 1 seconds

  Authentication timeout     : 3 minutes

# 用户通过网页方式进行Portal认证。用户在通过认证前，发起的所有Web访问均被重定向到Portal认证页面（http://192.168.0.111:8080/portal），在通过认证后，可访问非受限的互联网资源。

用户在首次进行Portal认证时，需要手工输入用户名和密码。当用户再次上线时，将可以直接访问互联网资源，不会感知到Portal认证过程。

通过执行以下显示命令查看AC上生成的Portal在线用户信息。

[AC] display portal user all

Total portal users: 1

Username: portal

  Portal server: newpt

  State: Online

  VPN instance: N/A

  MAC             IP             VLAN    Interface

  0021-6330-0933  2.2.2.2         200    Vlan-interface200

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

    Outbound CAR: N/A

---