H3C WX系列AC+Fit AP 802.1x无线认证和IAS配合典型配置举例

Size: px

Start display at page:

Download "H3C WX系列AC+Fit AP 802.1x无线认证和IAS配合典型配置举例"

规乐宋
5 years ago
Views:

1 H3C SecBlade IAG 插卡 Portal 认证典型配置举例关键词 :Portal AAA IAG 认证摘要 : 本文主要介绍 H3C SecBalde IAG 插卡 Portal 接入认证的典型配置缩略语 : Abbreviations 缩略语 Full spelling 英文全名 Chinese explanation 中文解释 AAA Authentication,Authorization, Accounting 认证, 授权, 计费 AC Access Controller 访问控制器 AP Access Point 访问点 BAS Broad Access Server 宽带接入服务器 CHAP Challenge Handshake Authentication Protocol 挑战握手认证协议 WBAS Wireless Broad Access Server 无线宽带接入服务器 BAS-IP 通常是接入客户端接口 IP DHCP Dynamic Host Configuration Protocol 动态主机配置协议 IAG Intelligent Application Gateway 智能应用网关 NAI Network Access Identifier 网络访问识别 NAS Network Access Server 网络访问服务器 NAS-IP RADIUS Remote Authentication Dial In User Service 通常是接 portal server 的接口 IP 远程用户拨入服务 WLAN Wireless Local Area Network 无线本地网 i

2 目录 1 Portal 简介 Portal 系统组成 Portal 认证方式二层认证方式三层认证方式直接认证方式二次地址分配认证方式跨网段 Portal 认证应用场合配置举例典型组网图使用版本配置准备典型配置直接 Portal 认证 (Radius 服务器认证 ) 需求分析组网图配置步骤验证结果注意事项直接 Portal 认证 ( 本地认证 ) 需求分析组网图配置步骤验证结果注意事项直接 Portal 认证 (IAG 作为 NAT 网关 ) 需求分析组网图典型配置步骤验证结果注意事项直接 Portal 认证 ( 模糊 VLAN 终结 ) 需求分析组网图 ii

3 3. 配置步骤验证结果注意事项直接 Portal 认证 ( 同时配置 802.1X 混合认证 ) 需求分析组网图配置步骤验证结果注意事项直接 Portal 认证 ( 双机热备 ) 需求分析组网图配置步骤验证结果注意事项跨网段 Portal 认证需求分析组网图配置步骤验证结果注意事项 iii

4 1 Portal 简介 Portal 在英语中是入口的意思 Portal 认证通常也称为 Web 认证, 一般将 Portal 认证网站称为门户网站未认证用户上网时, 设备强制用户登录到特定站点, 用户可以免费访问其中的服务当用户需要使用互联网中的其它信息时, 必须在门户网站进行认证, 只有认证通过后才可以使用互联网资源用户可以主动访问已知的 Portal 认证网站, 输入用户名和密码进行认证, 这种开始 Portal 认证的方式称作主动认证反之, 如果用户试图通过 HTTP 访问其他外网, 将被强制访问 Portal 认证网站, 从而开始 Portal 认证过程, 这种方式称作强制认证 1.1 Portal 系统组成 Portal 系统组成示意图 1. 认证客户端安装于用户终端的客户端系统, 为运行 HTTP/HTTPS 协议的浏览器或运行 Portal 客户端软件的主机对接入终端的安全性检测是通过 Portal 客户端和安全策略服务器之间的信息交流完成的 2. 接入设备交换机路由器等宽带接入设备的统称, 主要有三方面的作用 : 在认证之前, 将用户的所有 HTTP 请求都重定向到 Portal 服务器在认证过程中, 与 Portal 服务器安全策略服务器认证 / 计费服务器交互, 完成身份认证 / 安全认证 / 计费的功能在认证通过后, 允许用户访问被管理员授权的互联网资源 3. Portal 服务器接收 Portal 客户端认证请求的服务器端系统, 提供免费门户服务和基于 Web 认证的界面, 与接入设备交互认证客户端的认证信息 4. 认证 / 计费服务器与接入设备进行交互, 完成对用户的认证和计费 5. 安全策略服务器与 Portal 客户端接入设备进行交互, 完成对用户的安全认证, 并对用户进行授权操作以上五个基本要素的交互过程为 : 1

5 (1) 未认证用户访问网络时, 在 Web 浏览器地址栏中输入一个互联网的地址, 那么此 HTTP 请求在经过接入设备时会被重定向到 Portal 服务器的 Web 认证主页上 ; 若需要使用 Portal 的扩展认证功能, 则用户必须使用 Portal 客户端 (2) 用户在认证主页 / 认证对话框中输入认证信息后提交,Portal 服务器会将用户的认证信息传递给接入设备 ; (3) 然后接入设备再与认证 / 计费服务器通信进行认证和计费 ; (4) 认证通过后, 如果未对用户采用安全策略, 则接入设备会打开用户与互联网的通路, 允许用户访问互联网 ; 如果对用户采用了安全策略, 则客户端接入设备与安全策略服务器交互, 对用户的安全检测通过之后, 安全策略服务器根据用户的安全性授权用户访问非受限资源 1.2 Portal 认证方式不同的组网方式下, 可采用的 Portal 认证方式不同按照网络中实施 Portal 认证的网络层次来分, Portal 的认证方式分为两种 : 二层认证方式和三层认证方式二层认证方式这种方式支持在接入设备连接用户的二层端口上开启 Portal 认证功能, 只允许源 MAC 地址通过认证的用户才能访问外部网络资源目前, 该认证方式仅支持本地 Portal 认证, 即接入设备作为本地 Portal 服务器向用户提供 Web 认证服务三层认证方式这种方式支持在接入设备连接用户的三层接口上开启 Portal 认证功能三层接口 Portal 认证又可分为三种不同的认证方式 : 直接认证方式二次地址分配认证方式和可跨三层认证方式直接认证方式和二次地址分配认证方式下, 认证客户端和接入设备之间没有三层转发 ; 可跨三层认证方式下, 认证客户端和接入设备之间可以跨接三层转发设备 1. 直接认证方式用户在认证前通过手工配置或 DHCP 直接获取一个 IP 地址, 只能访问 Portal 服务器, 以及设定的免费访问地址 ; 认证通过后即可访问网络资源认证流程相对二次地址较为简单 2. 二次地址分配认证方式用户在认证前通过 DHCP 获取一个私网 IP 地址, 只能访问 Portal 服务器, 以及设定的免费访问地址 ; 认证通过后, 用户会申请到一个公网 IP 地址, 即可访问网络资源该认证方式解决了 IP 地址规划和分配问题, 对未认证通过的用户不分配公网 IP 地址例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网 IP 3. 跨网段 Portal 认证用户 PC 与 IAG 设备之间存在三层路由设备, 用户进行 Portal 认证需要跨网段进行 2 应用场合 Portal 业务可以为运营商提供方便的管理功能, 门户网站可以开展广告社区服务个性化的业务等, 使宽带运营商设备提供商和内容服务提供商形成一个产业生态系统 2

6 3 配置举例 3.1 典型组网图目前,SecBlade IAG 插卡既支持单机组网, 也支持双机组网, 典型组网图分别如图 1 和图 2 所示图 1 单机组网图图 2 双机组网图 IAG-B IAG-A 3

7 3.2 使用版本 (1) SecBlade IAG 插卡版本 <sysname> display version H3C Comware Platform Software Comware Software, Version 5.20, Ess 7504P21 Comware Platform Software Version COMWAREV500R002B77D509 H3C SecBlade IAG Software Version V700R005B01D509 Copyright (c) Hangzhou H3C Tech. Co., Ltd. All rights reserved. Compiled Nov :10:09, RELEASE SOFTWARE H3C SecBlade IAG uptime is 1 week, 2 days, 22 hours, 12 minutes CPU type: RMI XLR MHz CPU 2048M bytes DDR2 SDRAM Memory 4M bytes Flash Memory 247M bytes CF0 Card PCB Version:Ver.A Logic Version: 2.0 Basic BootWare Version: 1.28 Extend BootWare Version: 1.35 [FIXED PORT] CON (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/1 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/2 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/3 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 [FIXED PORT] GE0/4 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 [FIXED PORT] XGE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)2.0 (2) IMC 版本图 3 IMC 版本 4

8 3.3 配置准备 Portal 提供了一个用户身份认证和安全认证的实现方案, 但是仅仅依靠 Portal 不足以实现该方案接入设备的管理者需选择使用 RADIUS 认证方法, 以配合 Portal 完成用户的身份认证 Portal 认证的配置前提 : Portal 服务器 RADIUS 服务器已安装并配置成功本地 Portal 认证无需单独安装 Portal 服务器若采用二次地址分配认证方式, 接入设备需启动 DHCP 中继的安全地址匹配检查功能, 另外需要安装并配置好 DHCP 服务器用户接入设备和各服务器之间路由可达如果通过远端 RADIUS 服务器进行认证, 则需要在 RADIUS 服务器上配置相应的用户名和密码, 然后在接入设备端进行 RADIUS 客户端的相关设置 3.4 典型配置目前 SecBlade IAG 插卡不支持二层认证方式, 下面列举的典型配置均为三层认证方式在下面的典型配置举例中, 红色字体标识的配置为关键配置直接 Portal 认证 (Radius 服务器认证 ) 1. 需求分析用户 PC 能够进行 Portal 认证, 认证服务器为远程 Radius 服务器, 认证通过后用户能够访问外网 2. 组网图典型组网请参考图 1 单机组网图 3. 配置步骤 (1) IAG 配置 # 配置 Portal server, 其中 key 和端口号根据具体组网配置 portal server 8042 ip key ccc url # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问网关 portal free-rule 0 source any destination ip mask # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问 DNS 服务器 portal free-rule 1 source any destination ip mask # 配置 Radius 服务器 radius scheme 8042 primary authentication key ccc primary accounting key ccc user-name-format without-domain nas-ip # 配置认证域 domain 8042 authentication portal radius-scheme

9 authorization portal radius-scheme 8042 accounting portal radius-scheme 8042 access-limit disable state active idle-cut enable self-service-url disable # 配置 DHCP server 地址池 dhcp server ip-pool 1 network mask gateway-list dns-list expired day 0 hour 12 # 配置接口 interface Ten-GigabitEthernet0/0.2 vlan-type dot1q vid 248 ip address # 配置 ARP 授权, 禁止不经 DHCP 分配的 IP 地址的访问 arp authorized enable dhcp update arp # 启用 Portal portal server 8042 method direct # 指定 Portal 认证域 portal domain 8042 # 指定与 Portal server 交互的 IP 地址, 必须本机上存在的 IP 地址 portal nas-ip # 配置探测用户 ARP access-user detect type arp retransmit 2 interval 5 # 配置公网接口 interface Ten-GigabitEthernet0/0.192 vlan-type dot1q vid 192 ip address # 配置路由 ip route-static (2) 交换机配置 # 此处交换机以 WX6100E 为例, 作为二层设备主要配置 VLAN 及 Trunk 接口允许通过的 VLAN Vlan 2 to 1500 interface Ten-GigabitEthernet8/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 1500 stp disable (3) PC 配置 6

10 PC 的 IP 地址无须配置, 直接获取地址即可 Portal Server 上首先配置到达网段 /16 的路由如下 : (4) IMC 配置图 4 登录 IMC 创建计费策略 accounting_cfm: 图 5 创建计费策略创建服务 portal_cfm( 引用前面创建的计费策略 accounting_cfm): 7

11 图 6 创建服务增加用户及接入用户 ( 创建用户时绑定前面创建的服务 portal_cfm): 图 7 增加用户及接入用户 ( 一 ) 8

12 图 8 增加用户及接入用户 ( 二 ) 进入业务配置页面 : 图 9 进入业务配置页面进入业务 > 接入业务 > Portal 服务管理, 点击服务器配置,Portal 主页通常不用修改,IAG 上配置 Portal Server URL 时要引用此地址才能推出 Portal 页面 : 9

13 图 10 配置 Portal 服务器进入业务 > 接入业务 > Portal 服务管理, 点击设备配置,IP 地址为命令 portal nas-ip 配置的 IP 地址 : , 密钥 :ccc, 其余参数使用默认配置 : 图 11 设备配置进入业务 > 接入业务 > Portal 服务管理, 点击 IP 地址组配置 :client_cfm2, 配置起始地址为 : , 终止地址为 : 10

14 图 12 IP 地址组配置进入业务 > 接入业务 > Portal 服务管理, 在设备配置中修改设备的地址组, 选择地址组为 :client_cfm2: 图 13 修改端口组信息进入业务 > 接入业务 > 接入设备配置, 配置 Radius 设备, 增加地址 , 共享密钥 :ccc, 其余参数用默认参数如下, 配置完成后点击 < 确定 > 按钮 : 11

15 图 14 配置 Radius 设备此时 IMC 配置完成 4. 验证结果在 PC 机上打开 IE 浏览器 (IE6.0 以上 ), 输入任意网址 ( 若输入域名要保证该域名能够被正确解析 ), 验证 Portal 认证 PC 浏览器弹出 Portal 认证页面 : 图 15 Portal 认证页面输入用户名和密码后,Portal 认证成功 : 12

16 图 16 Portal 认证成功在 IE 浏览器中再次输入正确的网址或域名, 此时用户 PC 能够正常访问外网 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址 ; 网关地址加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够 ping 通网关直接 Portal 认证 ( 本地认证 ) 1. 需求分析用户 PC 能够进行 Portal 认证, 认证服务器为 IAG 上的 Local 用户, 认证页面仍然通过 IMC 推出, 用户认证通过后能够访问外网 2. 组网图典型配置组网请参考图 1 单机组网图 3. 配置步骤 (1) IAG 配置 # 配置 Portal server, 其中 key 和端口号根据具体组网配置 portal server 8042 ip key ccc url # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问网关 portal free-rule 0 source any destination ip mask # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问 DNS 服务器 portal free-rule 1 source any destination ip mask # 配置 Radius 服务器 radius scheme 8042 primary authentication key ccc primary accounting key ccc user-name-format without-domain nas-ip # 配置认证域 13

17 domain local authentication portal local authorization portal local accounting portal none access-limit disable state active idle-cut enable self-service-url disable # 配置本地认证用户 local-user h3c password cipher G`M^B<SDBB[Q=^Q`MAF4<1!! authorization-attribute level 3 service-type telnet service-type ftp service-type portal # 配置 DHCP server 地址池 dhcp server ip-pool 1 network mask gateway-list dns-list expired day 0 hour 12 # 配置接口 interface Ten-GigabitEthernet0/0.2 vlan-type dot1q vid 248 ip address # 配置 ARP 授权, 禁止不经 DHCP 分配的 IP 地址的访问 arp authorized enable dhcp update arp # 启用 Portal portal server 8042 method direct # 指定认证 domain portal domain local # 指定与 Portal server 交互的 IP 地址, 必须是本机上存在的 IP 地址 portal nas-ip # 配置探测用户 ARP access-user detect type arp retransmit 2 interval 5 # 配置公网接口 interface Ten-GigabitEthernet0/0.192 vlan-type dot1q vid 192 ip address # 配置路由 ip route-static

18 (2) 交换机配置 # 此处交换机以 WX6100E 为例, 作为二层设备主要配置 VLAN 及 Trunk 接口允许通过的 VLAN: Vlan 2 to 1500 interface Ten-GigabitEthernet8/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 1500 stp disable (3) PC 配置 PC IP 地址无须配置, 直接获取地址即可 (4) IMC 配置图 17 登录 IMC 因为用 IAG 作为认证服务器,IMC 上不需要配置用户, 只需要进入业务配置页面配置 Portal 业务 : 15

19 图 18 Portal 服务管理页面进入业务 > 接入业务 > Portal 服务管理, 点击服务器配置,Portal 主页通常不用修改,IAG 上配置 Portal Server URL 时要引用此地址才能推出 portal 页面 : 图 19 服务器配置进入业务 > 接入业务 > Portal 服务管理, 点击设备配置,IP 地址为命令 portal nas-ip 配置的地址 : , 密钥 :ccc, 其余参数使用默认配置 : 16

20 图 20 设备配置进入业务 > 接入业务 > Portal 服务管理, 点击 IP 地址组配置 :IP 地址组名为 client_cfm2, 起始地址为 : , 终止地址为 : 图 21 修改 IP 地址组进入业务 > 接入业务 > Portal 服务管理, 在设备配置中修改设备的地址组, 选择地址组为 :client_cfm2: 17

21 图 22 修改端口组信息 IMC 配置完成 4. 验证结果在 PC 机上打开 IE 浏览器 (IE6.0 以上 ), 输入任意网址 ( 若输入域名要保证该域名能够被正确解析 ), 验证 Portal 认证 PC 浏览器弹出 Portal 认证页面 : 图 23 Portal 认证页面输入用户名和密码 ( 注意这儿为 local user 用户 ) 后,Portal 认证成功 : 18

图 24 Portal 认证成功在 IE 浏览器中再次输入正确的网址 ( 或域名 ), 此时能够正常访问外网 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址网关地址加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够 ping 通网关本地认证无法进行计费 3.4.3 直接 Portal 认证 (IAG 作为 NAT 网关 ) 1.

22 图 24 Portal 认证成功在 IE 浏览器中再次输入正确的网址 ( 或域名 ), 此时能够正常访问外网 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址网关地址加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够 ping 通网关本地认证无法进行计费直接 Portal 认证 (IAG 作为 NAT 网关 ) 1. 需求分析用户 PC 能够进行 Portal 认证, 认证服务器为远程 Radius 服务器,IAG 上同时启用 NAT, 用户认证通过后能够访问外网 2. 组网图典型配置组网请参考图 1 单机组网图 3. 典型配置步骤 (1) IAG 配置 # 配置 Portal Server, 其中 key 和端口号根据具体组网配置 portal server 8042 ip key ccc url # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问网关 portal free-rule 0 source any destination ip mask # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问 DNS 服务器 portal free-rule 1 source any destination ip mask # 配置 NAT ACL acl number 3000 rule 0 permit ip # 配置 Radius 服务器 radius scheme 8042 primary authentication key ccc 19

23 primary accounting key ccc user-name-format without-domain nas-ip # 配置认证域 domain 8042 authentication portal radius-scheme 8042 authorization portal radius-scheme 8042 accounting portal radius-scheme 8042 access-limit disable state active idle-cut enable self-service-url disable # 配置 DHCP Server 地址池 dhcp server ip-pool 1 network mask gateway-list dns-list expired day 0 hour 12 # 配置接口 interface Ten-GigabitEthernet0/0.2 vlan-type dot1q vid 248 ip address # 配置 ARP 授权, 禁止不经 DHCP 分配的 IP 地址的访问 arp authorized enable dhcp update arp # 启用 Portal portal server 8042 method direct # 指定认证域 portal domain 8042 # 指定与 Portal Server 交互的 IP 地址, 必须是本机上存在的 IP 地址 portal nas-ip # 配置探测用户 ARP access-user detect type arp retransmit 2 interval 5 # 配置公网接口 interface Ten-GigabitEthernet0/0.192 vlan-type dot1q vid 192 nat outbound 3000 ip address # 配置路由 ip route-static (2) 交换机配置 # 此处交换机以 WX6100E 为例, 作为二层设备主要配置 VLAN 及 Trunk 接口允许通过的 VLAN: 20

24 Vlan 2 to 1500 interface Ten-GigabitEthernet8/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 1500 stp disable (3) PC 配置 PC IP 地址无须配置, 直接获取地址即可 (4) IMC 配置登录 IMC: 图 25 登录 IMC 创建计费策略 accounting_cfm: 21

25 图 26 创建计费策略创建服务 portal_cfm( 引用前面创建的计费策略 accounting_cfm): 图 27 创建服务增加用户及接入用户 ( 创建用户时绑定前面创建的服务 portal_cfm): 22

26 图 28 增加用户及接入用户 ( 一 ) 图 29 增加用户及接入用户 ( 二 ) 进入业务配置页面 : 23

12:8080/portal 通常不用修改,IAG 上配置 Portal Server URL 时要引用此地址才能推出 Portal

27 图 30 进入业务配置页面进入业务 > 接入业务 > Portal 服务管理, 点击服务器配置,Portal 主页通常不用修改,IAG 上配置 Portal Server URL 时要引用此地址才能推出 Portal 页面 : 图 31 服务器配置进入业务 > 接入业务 > Portal 服务管理, 点击设备配置,IP 地址为命令 portal nas-ip 配置的 IP 地址 : , 密钥 :ccc, 其余参数用默认配置 : 24

图 32 设备配置进入业务 > 接入业务 > Portal 服务管理, 点击 IP 地址组配置, 配置 IP 地址组 :client_cfm, 起始地址为 :121.7.0.1, 终止地址为 121.7.255.

28 图 32 设备配置进入业务 > 接入业务 > Portal 服务管理, 点击 IP 地址组配置, 配置 IP 地址组 :client_cfm, 起始地址为 : , 终止地址为 , 启用 NAT: 图 33 修改 IP 地址组进入业务 > 接入业务 > Portal 服务管理, 在设备配置中修改设备的端口组, 是否 NAT 选择是, 选择地址组为 :client_cfm: 25

图 34 修改端口组信息进入业务 > 接入业务 > 接入设备配置, 配置 Radius 设备, 增加地址 192.

7, 共享密钥 :ccc, 其余参数用默认参数如下, 配置完成后点击 < 确定 > 按钮 : 图 35 修改接入设备

29 图 34 修改端口组信息进入业务 > 接入业务 > 接入设备配置, 配置 Radius 设备, 增加地址 , 共享密钥 :ccc, 其余参数用默认参数如下, 配置完成后点击 < 确定 > 按钮 : 图 35 修改接入设备 IMC 配置完成 4. 验证结果在 PC 机上打开 IE 浏览器 (IE6.0 以上 ), 输入任意网址 ( 若输入域名要保证该域名能够被正确解析 ), 验证 Portal 认证 PC 浏览器弹出 Portal 认证页面 : 26

30 图 36 Portal 认证页面输入用户名和密码后,Portal 认证成功 : 图 37 Portal 认证成功在 IE 浏览器中再次输入正确的网址或域名, 此时能够正常访问外网 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址网关地址加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够 ping 通网关 Portal nas-ip 要配置为私网网段地址直接 Portal 认证 ( 模糊 VLAN 终结 ) 1. 需求分析用户 PC 能够进行 Portal 认证, 认证服务器为远程 Radius 服务器, 认证通过后能够访问外网模糊 VLAN 终结实现了一个接口能够处理多个 TAG 报文的功能, 简化了 IAG 的配置 27

31 2. 组网图典型配置组网请参考图 1 单机组网图 3. 配置步骤 (1) IAG 配置参考 # 配置 Portal server, 其中 key 和端口号根据具体组网配置 portal server 8042 ip key ccc url # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问网关 portal free-rule 0 source any destination ip mask # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问 DNS 服务器 portal free-rule 1 source any destination ip mask # 配置 NAT ACL acl number 3000 rule 0 permit ip # 配置 Radius 服务器 radius scheme 8042 primary authentication key ccc primary accounting key ccc user-name-format without-domain nas-ip # 配置认证域 domain 8042 authentication portal radius-scheme 8042 authorization portal radius-scheme 8042 accounting portal radius-scheme 8042 access-limit disable state active idle-cut enable self-service-url disable # 配置 DHCP server 地址池 dhcp server ip-pool 1 network mask gateway-list dns-list expired day 0 hour 12 # 配置接口 interface Ten-GigabitEthernet0/0.2 # 配置终结多个 VLAN, 并使能向所有 VLAN 内广播网关 ARP, 同时定期广播 vlan-type dot1q vid 200 to 500 vlan-termination broadcast enable arp send-gratuitous-arp interval ip address

32 # 配置 ARP 授权, 禁止不经 DHCP 分配的 IP 地址的访问 arp authorized enable dhcp update arp # 启用 Portal portal server 8042 method direct # 指定认证域 portal domain 8042 # 指定与 Portal Server 交互的 IP 地址, 必须本机上存在的 IP 地址 portal nas-ip # 配置探测用户 ARP access-user detect type arp retransmit 2 interval 5 # 配置公网接口 interface Ten-GigabitEthernet0/0.192 vlan-type dot1q vid 192 nat outbound 3000 ip address # 配置路由 ip route-static (2) PC 配置 PC IP 地址无须配置, 直接获取地址即可 (3) IMC 配置请参考直接 Portal 认证 ( 本地认证 ) 小节中的 IMC 配置 4. 验证结果在 PC 机上打开 IE 浏览器 (IE6.0 以上 ), 输入任意网址 ( 若输入域名要保证该域名能够被正确解析 ), 验证 Portal 认证 PC 浏览器弹出 Portal 认证页面 : 29

33 图 38 Portal 认证页面输入用户名和密码后,Portal 认证成功 : 图 39 Portal 认证成功在 IE 浏览器中再次输入正确的网址或域名, 此时能够正常访问外网 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址网关地址加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够 ping 通网关 Portal nas-ip 要配置为私网网段地址模糊 VLAN 终结要求接口下必须配置 ARP 定期发送, 使能 VLAN 广播功能 30

34 3.4.5 直接 Portal 认证 ( 同时配置 802.1X 混合认证 ) 1. 需求分析用户 PC 能够进行 Portal 认证, 认证服务器为远程 Radius 服务器, 认证通过后能够访问外网用户使用 802.1x 认证上线后已可以直接访问网络, 但使用 Portal 客户端或直接访问 Portal Server 仍然可以触发进行 Portal 认证 ; 同样用户使用 Portal 认证上线后已可以访问网络, 但使用 802.1x 客户端仍然可以触发进行 802.1x 认证但是, 如果 AAA 服务器只允许一个用户在线的话, 认证时可能会踢除前面上线的用户, 实际应用中每个用户只需要选择一种认证方式使用即可 2. 组网图典型配置组网请参考图 1 单机组网图 3. 配置步骤 (1) IAG 配置 # 全局下使能端口安全 port-security enable # 配置 portal server, 其中 key 和端口号根据具体组网配置 portal server 8042 ip key ccc url # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问网关 portal free-rule 0 source any destination ip mask # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问 DNS 服务器 portal free-rule 1 source any destination ip mask # 配置 NAT ACL acl number 3000 rule 0 permit ip # 配置 Radius 服务器 radius scheme 8042 primary authentication key ccc primary accounting key ccc user-name-format without-domain nas-ip # 配置认证域 domain 8042 authentication portal radius-scheme 8042 authorization portal radius-scheme 8042 accounting portal radius-scheme 8042 access-limit disable state active idle-cut enable self-service-url disable # 配置 DHCP Server 地址池 31

35 dhcp server ip-pool 1 network mask gateway-list dns-list expired day 0 hour 12 # 配置接口 interface Ten-GigabitEthernet0/0.2 # 配置终结多个 VLAN, 并使能向所有 VLAN 内广播网关 ARP, 同时定期广播 vlan-type dot1q vid 200 to 500 vlan-termination broadcast enable arp send-gratuitous-arp interval ip address # 接口下使能端口安全 port-security max-mac-count 1024 port-security port-mode userlogin-secure # 配置 ARP 授权, 禁止不经 DHCP 分配的 IP 地址的访问 arp authorized enable dhcp update arp # 启用 Portal portal server 8042 method direct # 指定认证域 portal domain 8042 # 指定与 Portal Server 交互的 IP 地址, 必须本机上存在的 IP 地址 portal nas-ip # 配置探测用户 ARP access-user detect type arp retransmit 2 interval 5 # 配置公网接口 interface Ten-GigabitEthernet0/0.192 vlan-type dot1q vid 192 nat outbound 3000 ip address # 配置路由 ip route-static (2) 交换机配置 # 此处交换机以 WX6100E 为例, 作为二层设备主要配置 VLAN 及 Trunk 接口允许通过的 VLAN: Vlan 2 to 1500 interface Ten-GigabitEthernet8/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 1500 stp disable 32

36 (3) PC 配置 PC IP 地址无须配置, 直接获取地址即可 (4) IMC 配置请参考直接 Portal 认证 ( 本地认证 ) 小节中的 IMC 配置 4. 验证结果 (1) 在 PC 机上打开 IE 浏览器 (IE6.0 以上, 其它浏览器不保证功能生效 ), 输入任意网址 ( 若输入域名要保证该域名能够被正确解析 ), 验证 Portal 认证图 40 Portal 认证页面输入用户名和密码后,Portal 认证成功 : 图 41 Portal 认证成功在 IE 浏览器中再次输入正确的网址 ( 或域名 ), 此时能够正常访问外网 (2) 802.1X 登录 : 33

37 打开 Inode 客户端 : 图 42 Inode 客户端新建一个 802.1X 连接, 选中 802.1X 协议 : 图 43 新建 802.1X 连接选择普通连接, 点击 < 下一步 >: 34

38 图 44 选择普通连接输入登录帐号 : 图 45 输入登录信息选择发起认证的网卡, 然后点击下一步 : 35

39 图 46 配置连接属性和亚信服务器对接时, 上面画面中上传客户端版本号前的勾要去掉, 否则可能认证失败进行登录验证, 登录成功 : 36

40 图 47 登录成功 802.1X 认证成功后, 此时用户 PC 应该能直接访外网, 不需要 Portal 认证 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址网关地址加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够 ping 通网关 Portal nas-ip 要配置为私网网段地址模糊 VLAN 终结要求接口下必须配置 ARP 定期发送, 使能 VLAN 广播功能和亚信服务器对接时, 上传客户端版本号前的勾要去掉, 否则认证不成功直接 Portal 认证 ( 双机热备 ) 1. 需求分析用户 PC 能够进行 Portal 认证, 认证服务器为远程 Radius 服务器, 两台 IAG 双机热备份组网, 认证通过后能够访问外网, 两台 IAG 上有相同的 Portal 用户在线信息 2. 组网图典型配置组网请参考图 2 双机组网图 3. 配置步骤 (1) IAG-1 配置 # 配置 Portal 双机热备, 一台设置 device-id 为 1, 另一台 device-id 为 2 nas device-id 1 37

41 # 配置 NAT 地址池 nat address-group level 1 # 配置 Portal server, 其中 key 和端口号根据具体组网配置 portal server 8042 ip key ccc url # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问网关 portal free-rule 0 source any destination ip mask # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问 DNS 服务器 portal free-rule 1 source any destination ip mask # 配置 NAT ACL acl number 3000 rule 0 permit ip # 配置 Radius 服务器 radius scheme 8042 primary authentication key ccc primary accounting key ccc user-name-format without-domain nas-ip # 配置认证域 domain 8042 authentication portal radius-scheme 8042 authorization portal radius-scheme 8042 accounting portal radius-scheme 8042 access-limit disable state active idle-cut enable self-service-url disable # 配置 DHCP server 地址池 dhcp server ip-pool 1 network mask gateway-list dns-list expired day 0 hour 12 interface Ten-GigabitEthernet0/0.2 # 配置终结多个 VLAN, 并使能向所有 VLAN 内广播网关 ARP, 同时定期广播 vlan-type dot1q vid 200 to 500 vlan-termination broadcast enable arp send-gratuitous-arp interval # 配置 VRRP ip address vrrp dot1q vid 200 vrrp vrid 2 virtual-ip vrrp vrid 2 priority

42 # 配置 ARP 授权, 禁止不经 DHCP 分配的 IP 地址的访问 arp authorized enable dhcp update arp # 启用 Portal portal server 8042 method direct # 指定认证域 portal domain 8042 # 指定与 Portal server 交互的 IP 地址, 必须是本机上存在的 IP 地址 portal nas-ip # 配置探测用户 ARP access-user detect type arp retransmit 2 interval 5 # 配置接口备份组, 主备用 IAG 备份组号要一致 portal backup-group 2 # 配置公网接口 interface Ten-GigabitEthernet0/0.192 vlan-type dot1q vid 192 nat outbound 3000 address-group 0 track vrrp 1 ip address vrrp vrid 1 virtual-ip vrrp vrid 1 priority 105 # 配置路由 ip route-static (2) IAG-2 配置除了设置 device-id 为 2 以外, 其余配置与 IAG-1 的配置相同 (3) 交换机配置 # 此处交换机以 WX6100E 为例, 作为二层设备主要配置 VLAN 及 Trunk 接口允许通过的 VLAN: Vlan 2 to 1500 interface Ten-GigabitEthernet8/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 1500 stp disable (4) PC 配置 PC IP 地址无须配置, 直接获取地址即可 (5) IMC 配置请参考直接 Portal 认证 ( 本地认证 ) 小节中的 IMC 配置 (6) 双机热备配置登录 IAG WEB 页面, 启用双机热备 : 39

43 图 48 启用双机热备功能选择热备份接口 : 图 49 配置备份接口 40

44 配置完成后, 在 WEB 页保存配置并重启 IAG: 图 50 保存配置 4. 验证结果在 PC 机上打开 IE 浏览器 (IE6.0 以上 ), 输入任意网址 ( 若输入域名要保证该域名能够被正确解析 ), 验证 Portal 认证 (1) PC 浏览器弹出 Portal 认证页面 : 41

45 图 51 Portal 认证页面输入用户名和密码后,Portal 认证成功 : 图 52 Portal 认证成功在 IE 浏览器中再次输入正确的网址或域名, 此时能够正常访问外网 (2) 用户上线后, 将 IAG-1 宕机, 此时 IAG-2 成为主用设备, 用户 PC 仍然能够访问外网, 双机热备功能生效 (3) Portal 用户下线, 无论 IAG-1 和 IAG-2 哪一个为主用设备, 用户都不能访问外网 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址起 VRRP 的接口, 对端接口 IP 地址要加入到 portal free-rule 中, 才能处理 VRRP 通告报文, 否则 VRRP 为双主状态 42

46 3.4.7 跨网段 Portal 认证 1. 需求分析用户 PC 不直接连接到 IAG, 而是通过路由器或三层交换机连接到 IAG 进行 Portal 认证, 认证服务器为远程 Radius 服务器, 认证通过后用户 PC 能够访问外网 2. 组网图典型配置组网请参考图 1 单机组网图 3. 配置步骤 (1) IAG 配置 # 配置 Portal Server, 其中 key 和端口号根据具体组网配置 portal server 8042 ip key ccc url # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问网关 portal free-rule 0 source any destination ip mask # 配置 portal free-rule, 允许客户端在未进行 Portal 认证之前访问 DNS 服务器 portal free-rule 1 source any destination ip mask # 配置 Radius 服务器 radius scheme 8042 primary authentication key ccc primary accounting key ccc user-name-format without-domain nas-ip # 配置认证域 domain 8042 authentication portal radius-scheme 8042 authorization portal radius-scheme 8042 accounting portal radius-scheme 8042 access-limit disable state active idle-cut enable self-service-url disable # 配置 DHCP server 地址池 dhcp server ip-pool 1 network mask gateway-list dns-list expired day 0 hour 12 # 配置接口 interface Ten-GigabitEthernet0/0.2 vlan-type dot1q vid 248 ip address # 启用 Portal 43

47 portal server 8042 method layer3 # 指定认证域 portal domain 8042 # 配置公网接口 interface Ten-GigabitEthernet0/0.192 vlan-type dot1q vid 192 ip address # 配置路由 ip route-static ip route-static (2) 交换机配置 # 此处交换机以 WX6100E 为例, 作为二层设备主要配置 VLAN 及 Trunk 接口允许通过的 VLAN: Vlan 2 to 1500 interface Ten-GigabitEthernet8/0/1 port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 2 to 1500 stp disable (3) PC 配置 PC IP 地址无须配置, 直接获取地址即可 (4) 配置 IMC 请参考直接 Portal 认证 ( 本地认证 ) 小节中的 IMC 配置 4. 验证结果在 PC 机上打开 IE 浏览器 (IE6.0 以上 ), 输入任意网址 ( 若输入域名要保证该域名能够被正确解析 ), 验证 Portal 认证 PC 浏览器弹出 Portal 认证页面 : 44

48 图 53 Portal 认证页面输入用户名和密码后,Portal 认证成功 : 图 54 Portal 认证成功在 IE 浏览器中再次输入正确的网址 ( 或域名 ), 此时能够正常访问外网 5. 注意事项 DNS 服务器地址要加入到 portal free-rule 规则中, 用户 PC 在认证通过之前才能够正确解析 IP 地址 45

SL2511 SR Plus 操作手冊_單面.doc

SL2511 SR Plus 操作手冊_單面.doc IEEE 802.11b SL-2511 SR Plus SENAO INTERNATIONAL CO., LTD www.senao.com - 1 - - 2 - .5 1-1...5 1-2...6 1-3...6 1-4...7.9 2-1...9 2-2 IE...11 SL-2511 SR Plus....13 3-1...13 3-2...14 3-3...15 3-4...16-3