无线控制器本地转发+ Portal集中认证的典型配置
一、应用环境
本功能旨在满足如下需求:实现在无线控制器AC上对无线用户进行Portal集中认证,但认证成功后业务数据走AP本地转发。
特点解析:
无线业务数据转发方式有两种:(1)、集中式业务转发,所有业务数据通过AP、AC间的Lwapp隧道送AC集中转发;(2)、本地转发,STA业务数据直接由AP以太口本地转发出去。两种不同的业务转发方式下,常规Portal认证的实现存在如下特点:
1、在集中式业务转发下,所有的业务数据都会经过无线控制器AC,无线控制器AC作为Portal认证的控制设备对所有无线用户做Portal认证;
2、在本地转发方式下,业务数据直接走AP上联交换机汇聚到有线侧BAS设备,业务数据甚至有可能不经过AC。在这种情况下,用户的http访问请求(属于业务数据)无法被AC重定向,也就无法直接在AC上完成集中Portal认证了。
本案例中的Portal集中认证+本地转发实现方式:
当无线客户端在初次接入网络时,AC会检查其MAC地址是否通过Portal认证,如果没有则会认为用户MAC认证失败,此时无线客户端会进入Guest VLAN走集中转发并进行Portal认证;Portal认证成功之后,会重新触发MAC地址认证,此次由于检查其MAC地址已经通过了Portal认证,所以MAC地址认证成功,进入本地转发VLAN,此后无线客户端的数据流量都将会通过AP进行本地转发。。
特性要点:
本地转发+Portal认证+MAC地址认证+新特性“mac-authentication trigger after-portal”。
二、组网需求
如下图所示,网络中有单独的DHCP服务器,AP和Client都通过DHCP服务器获取IP地址,AC的GE1/0/1通过交换机LSW与Portal Server、AAA Server路由可达。AP的GE1/0/1口通过交换机LSW与AC二层可达。Client的网关在LSW上,要求Client在通过Portal认证和MAC地址认证之后,改用本地转发的方式转发数据,可以访问Internet。具体实现如下:
? LSW上与AP GE1/0/1口相连的接口,配置为Trunk,允许VLAN100和VLAN300通过,PVID为VLAN 100,使得AP 与AC 能够通 过VLAN 100建立隧道连接。
? Client的默认VLAN为VLAN 300,为本地转发VLAN;Guest VLAN 为VLAN 200,为集中转发VLAN。
? VLAN 200接口下开启Portal认证。
? Client初始访问网络时,由于配置了“MAC地址认证必须在用户通过Portal认证之后”特性, MAC地址认证不通过,此时Client进入Guest VLAN 200,进行集中转发。
? Client进入VLAN 200并获取IP地址后进行Portal认证,Portal认证通过后,AC会强制Client下线并重新触发MAC地址认证。
? Client的MAC地址认证成功后会进入VLAN 300,重新获取IP地址,数据流量在AP本地进行转发并能够访问Internet。
三、组网图:
四、配置方法:
1.配置注意事项
? MAC认证域配置为不认证,即认证、授权、计费均配置为none。
? AC上存在下发给AP的MAP文件apcfg.txt,目的是将AP的GE口加入本地转发的VLAN。
2.配置步骤
(1)配置AC的接口
# 创建VLAN 100、VLAN 200和VLAN 300。其中VLAN 100作为AP与AC关联的VLAN,VLAN 200作为Guest VLAN,VLAN 300作为本地转发VLAN。
system-view [AC] vlan 100
[AC-vlan100] quit
[AC] vlan 200
[AC-vlan200] quit
[AC] vlan 300
[AC-vlan300] quit
# 配置VLAN 100的接口IP地址为191.100.0.1/16。
[AC] interface Vlan-interface 100
[AC-Vlan-interface100] ip address 191.100.0.1 16
[AC-Vlan-interface100] quit
# 配置AC的GigabitEthernet1/0/1接口的属性为trunk,允许所有VLAN通过。
[AC] interface GigabitEthernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] port trunk permit vlan all
[AC-GigabitEthernet1/0/1] quit
# 配置VLAN 200的接口IP地址为191.200.0.1/16。
[AC] interface Vlan-interface 200
[AC-Vlan-interface200] ip address 191.200.0.1 16
[AC-Vlan-interface200] quit
# 创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid类型。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] port link-type hybrid
# 配置当前hybrid端口的PVID为VLAN 300,禁止VLAN 1通过并允许VLAN 200、VLAN 300不带tag通过。
[AC-WLAN-ESS1] undo port hybrid vlan 1
[AC-WLAN-ESS1] port hybrid vlan 200 300 untagged
[AC-WLAN-ESS1] port hybrid pvid vlan 300
# 在hybrid端口上使能mac-vlan功能。
[AC-WLAN-ESS1] mac-vlan enable
[AC-WLAN-ESS1] quit
(2)配置radius方案
# 配置RADIUS scheme,名称为office。
[AC] radius scheme office
# 配置主认证和主计费服务器地址为8.1.1.5,密钥为key。
[AC-radius-office] primary authentication 8.1.1.5 key key
[AC-radius-office] primary accounting 8.1.1.5 key key
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[AC-radius-office] user-name-format without-domain
[AC-radius-office] quit
(3)配置认证域
# 配置认证域,名称为office
[AC] domain office
# 配置ISP域MAC认证的认证、授权、计费方式为none。
[AC-isp-office] authentication lan-access none
[AC-isp-office] authorization lan-access none
[AC-isp-office] accounting lan-access none
# 配置ISP域Portal认证的RADIUS方案为office、授权和计费方式为none。
[AC-isp-office] authentication portal radius-scheme office
[AC-isp-office] authorization portal none
[AC-isp-office] accounting portal none
[AC-isp-office] quit
(4)配置Portal认证
# 配置Portal服务器:名称为office,IP地址为8.1.1.5,密钥为key,URL为http://8.1.1.5:8080/portal。
[AC] portal server office ip 8.1.1.5 key key url http://8.1.1.5:8080/portal
# 配置Free Rule,放行从AC的GE1/0/1接口进入的有线报文。
[AC] portal free-rule 0 source interface GigabitEthernet 1/0/1
# VLAN200接口下配置认证域为office,NAS-IP为191.100.0.1,并使能Portal认证。
[AC] interface Vlan-interface 200
[AC-Vlan-interface200] portal domain office
[AC-Vlan-interface200] portal nas-ip 191.100.0.1
[AC-Vlan-interface200] portal server office method direct
[AC-Vlan-interface200] quit
(5)配置端口安全
# 全局下开启端口安全,该配置默认就是开启的。
[AC] port-security enable
# 在WLAN-ESS1接口下配置MAC认证,认证域为office。
[AC] interface WLAN-ESS 1
[AC-WLAN-ESS1] port-security port-mode mac-authentication
[AC-WLAN-ESS1] mac-authentication domain office
# 配置MAC认证的Guest VLAN为200
[AC-WLAN-ESS1] mac-authentication guest-vlan 200
# 指定对用户的MAC地址认证必须在该用户通过Portal认证之后,并延时3秒钟触发mac认证。(注:B109D026及以上版本才支持延时触发功能)
[AC-WLAN-ESS1] mac-authentication trigger after-portal wait-time 3
[AC-WLAN-ESS1] quit
(5)配置无线服务
# 创建clear类型的服务模板1。
[AC] wlan service-template 1 clear
# 设置当前服务模板的SSID为service。
[AC-wlan-st-1] ssid service
# 将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1] bind WLAN-ESS 1
# 开启VLAN300的本地转发功能,即由AP本身进行数据帧的转发。
[AC-wlan-st-1] client forwarding-mode local vlan 300
# 启用无线服务。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(6)配置射频接口并绑定服务模板
# 创建AP的管理模板,名称为officeap,型号名称这里选择425-AM。
[AC] wlan ap officeap model 425-AM
# 设置officeap的序列号为210235A35VB095001122。
[AC-wlan-ap-officeap] serial-id 210235A35VB095001122
# 进入radio2射频视图。
[AC-wlan-ap-officeap] radio 2
# 将在AC上配置的clear类型的服务模板1与射频2进行关联。
[AC-wlan-ap-officeap-radio-2] service-template 1
# 使能officeap的radio2。
[AC-wlan-ap-officeap-radio-2] radio enable
[AC-wlan-ap-officeap-radio-2] quit
# 在AC上通过map-configuration命令将配置文件apcfg.txt下发到officeap。
[AC-wlan-ap-officeap] map-configuration apcfg.txt
[AC-wlan-ap-officeap] quit
五、验证结果:
# Client接入无线服务,MAC认证未通过,进入Guest VLAN200。
[AC]display wlan client
Total Number of Clients : 1
Client Information
SSID: service
--------------------------------------------------------------------------------
MAC Address User Name APID/RID IP Address VLAN
--------------------------------------------------------------------------------
0000-0000-0012 -NA- 1 /2 0.0.0.0 200
--------------------------------------------------------------------------------
[AC]
# Client通过浏览器访问网络,弹出认证页面,输入用户名office和密码123456后,Portal认证通过,通过display portal user all命令查看存在Portal用户信息。
[AC]display portal user all
Index:307
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
----------------------------------------------------------------------------
0000-0000-0012 191.200.0.2 200 Vlan-interface200
Total 1 user(s) matched, 1 listed.
[AC]
# AC将该Client下线,重新接入该服务,MAC认证成功,Client进入VLAN 300。
[AC]display wlan client
Total Number of Clients : 1
Client Information
SSID: service
--------------------------------------------------------------------------------
MAC Address User Name APID/RID IP Address VLAN
--------------------------------------------------------------------------------
0000-0000-0012 000000000012 1 /2 0.0.0.0 300
--------------------------------------------------------------------------------
[AC]
# 在AC上通过display connection命令查看用户信息,存在MAC认证和Portal认证2个用户信息。此时Client可以通过网关访问Internet网络。
[AC]display connection
Index=307 ,Username=office@office
MAC=00-00-00-00-00-12
IP=191.200.0.2
IPv6=N/A
Online=00h02m55s
Index=308 ,Username=000000000012@office
MAC=00-00-00-00-00-12
IP=N/A
IPv6=N/A
Online=00h02m53s
Total 2 connection(s) matched.
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作