知 Mac or Portal 无感知认证配置典型案例 MAC 地址认证 Portal 杨攀 2017-05-10 发表 WX 系列 AC FIT AP 便携机 ( 安装有无线网卡 ) Radius/Portal Server 技术原理介绍 : 中国移动主推的 Portal 无感知认证是基于流量触发 mac-triger, 要求支持移动的 mac-triger 协议, 并且新增 M AC 绑定服务器以存储 MAC 的绑定关系 对于第三方的 Radius/Portal server 厂商来说开发较繁琐, 有些厂商是不支持的 如果不支持 mac-triger 协议, 可以采用 MAC bypass portal 的认证方式 具体实现流程如下所示 : (1) 仍然借助 guest-vlan, 但 guest-vlan 跟业务 VLAN 是相同的 也就是说相同 VLAN 中 MAC 认证和 Portal 认证二选一即可, 不存在 VLAN 切换的事情了 ; (2) 用户首次上线,MAC 认证失败会弹出 portal 页面, 进行 portal 认证 portal 认证通过后可以直接上网 ; (3) 用户再次上线, 如果对应 portal 用户存在, 不会发起 MAC 认证, 可以直接上网 ; (4) 用户再次上线, 如果对应 portal 用户不存在, 则发起 MAC 认证 MAC 认证成功后不会再弹出 Po rtal 页面, 可以直接上网 ; (5)display connection 中只会看到一个连接,Portal 的或者 MAC 认证的 ; 备注 : 该方案中, 第三方 Radius/Portal server 除需具有 Radius 服务器和 Portal 服务器的功能外, 关键的需要有通过 Portal 认证过程得到用户的 MAC 地址, 并将该 MAC 地址创建为合法的 MAC 用户名的功能 组网信息及描述如图 1 所示, 集中式转发架构下,AP 和 Client 通过 DHCP server 获取 IP 地址, 设备管理员希望实现无感知, 当第一次进行了 portal 认证成功之后, 后面就无感知进行上线, 具体要求如下 : 配置 VLAN 200 为 Client 的接入 VLAN, 当 Client 的 MAC 地址认证失败时进入 Guest VLAN, 进入 gues t vlan 之后就触发 portal 认证 一 配置 AC (1) 配置 AC 的接口 # 创建 VLAN 100 及其对应的 VLAN 接口, 并为该接口配置 IP 地址 AP 将获取该 IP 地址与 AC 建立 CAP WAP 隧道 <AC> system-view [AC] vlan 100 [AC-vlan100] quit [AC] interface vlan-interface 100 [AC-Vlan-interface100] ip address 112.12.1.25 16 [AC-Vlan-interface100] quit # 创建 VLAN 200 及其对应的 VLAN 接口, 并为该接口配置 IP 地址 Client 使用该 VLAN 接入无线网络 [AC] vlan 200 [AC-vlan200] quit [AC] interface vlan-interface 200 [AC-Vlan-interface200] ip address 112.13.1.25 16 [AC-Vlan-interface200] quit # 配置 AC 和 Switch 相连的接口 GigabitEthernet1/0/1 为 Trunk 类型, 禁止 VLAN 1 报文通过, 允许 VL AN 100 VLAN 200 通过, 当前 Trunk 口的 PVID 为 100 [AC] interface gigabitethernet1/0/1 [AC-GigabitEthernet1/0/1] port link-type trunk [AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1 [AC-GigabitEthernet1/0/1] port trunk permit vlan 100 200 [AC-GigabitEthernet1/0/1] port trunk pvid vlan 100 [AC-GigabitEthernet1/0/1] quit (2) 配置 DHCP server
# 开启 DHCP server 功能 [AC] dhcp enable # 配置 DHCP 地址池 vlan100, 为 AP 分配的地址范围为 112.12.0.0/16, 网关地址为 112.12.1.25 [AC] dhcp server ip-pool vlan100 [AC-dhcp-pool-vlan100] network 112.12.0.0 mask 255.255.0.0 [AC-dhcp-pool-vlan100] gateway-list 112.12.1.25 [AC-dhcp-pool-vlan100] quit # 配置 DHCP 地址池 vlan200, 为 Client 分配的地址范围为 112.13.0.0/16, 网关地址为 112.12.1.25 [AC] dhcp server ip-pool vlan200 [AC-dhcp-pool-vlan200] network 112.13.0.0 mask 255.255.0.0 [AC-dhcp-pool-vlan200] gateway-list 112.12.1.25 [AC-dhcp-pool-vlan200] quit (3) 配置 RADIUS 认证 # 创建名为 office 的 RADIUS 方案, 并进入其视图 [AC] radius scheme office # 配置主认证 计费 RADIUS 服务器的 IP 地址为 112.12.1.50 [AC-radius-office] primary authentication 112.12.1.50 [AC-radius-office] primary accounting 112.12.1.50 # 配置 RADIUS 认证 计费报文的共享密钥为 123456789 [AC-radius-office] key authentication simple 123456789 [AC-radius-office] key accounting simple 123456789 # 配置发送给 RADIUS 服务器的用户名不携带域名 [AC-radius-office] user-name-format without-domain # 配置设备发送 RADIUS 报文使用的源 IP 地址为 112.12.1.25 [AC-radius-office] nas-ip 112.12.1.25 [AC-radius-office] quit # 创建名为 office1 的 ISP 域, 并进入其视图 [AC] domain office1 # 为 lan-access 用户和 portal 用户配置认证 授权 计费方案为 RADIUS 方案 office [AC-isp-office1] authentication lan-access radius-scheme office [AC-isp-office1] authorization lan-access radius-scheme office [AC-isp-office1] accounting lan-access radius-scheme office [AC-isp-office1] authentication portal radius-scheme office [AC-isp-office1] authorization portal radius-scheme office [AC-isp-office1] accounting portal radius-scheme office # 配置用户闲置切断时间为 15 分钟, 闲置切断时间内产生的流量为 1024 字节 [AC-isp-office1] idle-cut enable 15 1024 [AC-isp-office1] quit # 配置 MAC 地址认证的用户名和密码均为用户的 MAC 地址, 且不带连字符 ( 该配置为缺省配置 ) [AC] mac-authentication user-name-format mac-address without-hyphen lowercase (4) 配置 WLAN-ESS 接口 # 创建 WLAN-ESS 接口 1, 并进入接口视图 [AC] interface wlan-ess 1 # 配置客户端获取的 VLAN 为 200 [AC-WLAN-ESS1] port link-type hybrid [AC-WLAN-ESS1] undo port hybrid vlan 1 [AC-WLAN-ESS1] port hybrid vlan 200 untagged [AC-WLAN-ESS1] port hybrid pvid vlan 200 [AC-WLAN-ESS1] mac-vlan enable # 配置客户端接入认证方式为 MAC 地址认证 [AC-WLAN-ESS1] port-security port-mode mac-authentication # 配置 MAC 地址认证用户使用的 ISP 域为 office1 [AC-WLAN-ESS1] mac-authentication domain office1 # 配置 MAC 认证失败后的 guest vlan [AC-WLAN-ESS1] mac-authentication guest-vlan 200 # 配置 bypass portal 的认证方式 [AC-WLAN-ESS1] mac-authentication bypass-portal enable (5) 配置 portal 认证 # 配置 Portal 服务器地址为 112.12.1.50, 并指定服务器对应的 url [AC] portal server imc ip 112.12.1.50 key simple h3c url http:// 112.12.1.50:8080/portal # 配置 Portal 免认证规则 1, 用于放行 AC 上起 portal 的接口能够与 portal 服务器通信 [AC] portal free-rule 1 source interface bridge-aggregation1 destination any [AC] interface vlan-interface 200 # 配置接口 VLAN 200 为 Portal 直接认证的接口
[AC-Vlan-interface200] portal server imc method direct # 指定从接口接入的 IPv4 Portal 用户使用认证域为 office1 [AC-Vlan-interface200] portal domain office1 # 配置接口发送 Portal 报文使用的 IPv4 源地址为 112.12.1.25 [AC-Vlan-interface200] portal nas-ip 112.12.1.25 [AC-Vlan-interface200] quit (6) 配置服务模板 [AC] wlan service-template 1 clear # 绑定 wlan-ess 接口 [AC-wlan-st-1] bind WLAN-ESS 1 # 配置 SSID 为 test [AC-wlan-st-1] ssid test # 开启无线服务模板 [AC-wlan-st-1] service-template enable [AC-wlan-st-1] quit (7) 配置射频接口并绑定服务模板 # 创建手工 AP, 名称为 officeap, 型号名称为 WA4320i-ACN [AC] wlan ap officeap model WA4320i-ACN # 设置 AP 序列号为 210235A1Q2C159000020 [AC-wlan-ap-officeap] serial-id 210235A1Q2C159000020 # 进入 AP 的 Radio 2 视图, 并将无线服务模板 1 绑定到 Radio 2 上 [AC-wlan-ap-officeap] radio 2 [AC-wlan-ap-officeap-radio-2] service-template 1 # 开启 Radio 2 的射频功能 [AC-wlan-ap-officeap-radio-2] radio enable [AC-wlan-ap-officeap-radio-2] quit [AC-wlan-ap-officeap] quit 二 配置 Switch # 创建 VLAN 100 VLAN 200, 其中 VLAN 100 用于转发 AC 和 AP 间 CAPWAP 隧道内的流量,VLAN 200 用于转发 Client 无线报文,VLAN 300 用于转发 Guest VLAN 的报文 <Switch> system-view [Switch] vlan 100 [Switch-vlan100] quit [Switch] vlan 200 [Switch-vlan200] quit # 配置 Switch 与 AC 相连的 GigabitEthernet1/0/1 接口的属性为 Trunk, 禁止 VLAN 1 报文通过, 允许 V LAN 100 通过, 当前 Trunk 口的 PVID 为 100 [Switch] interface gigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1] port link-type trunk [Switch-GigabitEthernet1/0/1] undo port trunk permit vlan 1 [Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 [Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100 [Switch-GigabitEthernet1/0/1] quit # 配置 Switch 与 AP 相连的 GigabitEthernet1/0/2 接口属性为 Access, 并允许 VLAN 100 通过 [Switch] interface gigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port access vlan 100 # 开启 PoE 接口远程供电功能 [Switch-GigabitEthernet1/0/2] poe enable [Switch-GigabitEthernet1/0/2] quit 三 配置 RADIUS 服务器下面以 imc 为例 ( 使用 imc 版本为 :imc PLAT 7.1(E0303P10) imc UAM 7.1(E0303P10), 说明 R ADIUS server 的基本配置 登录进入 imc 管理平台, 选择 用户 页签, 单击导航树中的 [ 接入策略管理 /Portal 服务管理 / 服务器配置 ] 菜单项, 进入服务器配置页面, 使用缺省配置
# 配置 IP 地址组 选择 用户 页签, 单击导航树 [ 接入策略管理 /Portal 服务管理 / IP 地址组配置 ] 菜单项, 进入 IP 地址组配置页面, 在该页面中单击 < 增加 > 按钮, 进入增加 IP 地址组配置页面 输入 IP 地址组名 :test5; 输入起始地址 :112.13.1.1; 输入终止地址 :112.13.255.254; 其他采用缺省配置, 单击 < 确定 > 按钮完成操作 # 增加 Portal 设备 选择 用户 页签, 单击导航树中的 [ 接入策略管理 /Portal 服务管理 / 设备配置 ] 菜单项, 进入设备配置页面 在该页面中单击 < 增加 > 按钮, 进入增加设备信息配置页面 输入设备名 :test5; 输入 IP 地址 : 即 AC 上配置的 portal bas-ip 地址,112.12.1.25; 输入密钥 :h3c, 与 AC 上配置的 portal server 密钥一致 ; 组网方式改为 直连 类型 ;? 其他采用默认配置, 单击 < 确定 > 按钮完成操作 增加端口组信息 在 Portal 设备配置页面中的设备信息列表中, 单击 图标, 进入端口组信息配置页面 在端口组信息配置页面中点击 < 增加 > 按钮, 进入增加端口组信息配置页面
输入端口组名 :test5; 选择 IP 地址组 :test5; 选择支持无感知认证 ; 其他采用默认配置, 单击 < 确定 > 按钮完成操作 配置接入服务选择 用户 标签, 单击导航树中的 [ 接入策略管理 / 接入设备管理 / 接入设备配置 ] 菜单项, 进入接入设备配置页面 在该页面中单击 < 增加 > 按钮, 进入增加接入设备页面 1 设置与 AC 交互报文时使用的认证 计费共享密钥为 h3c, 该密码与 AC 配置 RADIUS 方案时的地址一致 ; 2 选择接入设备类型为 H3C(General) ; 3 其它参数采用缺省值, 并单击 < 确定 > 按钮完成操作点击 选择 按钮 ; # 增加接入策略 选择 用户 标签, 单击导航树中的 [ 接入策略管理 / 接入策略管理 ] 菜单项, 进入接入策略配置页面 在接入策略列表中点击 < 增加 > 按钮, 进入增加接入策略页面 接入策略名输入 test5 ; 业务分组 未分组 ; 其它参数采用缺省值, 并单击 < 确定 > 按钮完成操作 # 增加接入服务 选择 用户 标签, 单击导航树中的 [ 接入策略管理 / 接入服务管理 ] 菜单项, 进入接入服务配置页面 在接入服务列表中点击 < 增加 > 按钮 服务名输入 test5 ; 缺省接入策略 test5 ; 勾选 portal 无感知认证 ; 其它参数采用缺省值, 并单击 < 确定 > 按钮完成操作
增加接入用户 # 选择 用户 标签, 单击导航树中的 [ 接入用户管理 / 接入用户 ] 菜单项, 进入到接入用户配置页面 在接入用户列表中点击 < 增加 > 按钮, 进入增加接入用户页面 在增加接入用户页面, 单击 < 增加用户 > 按钮弹出增加用户窗口 ; 输入用户名 test5 ; 输入证件号码 01022171414 ; 单击 < 检查是否可用 > 按钮 ; 如用户姓名和证件号码可用, 单击 < 确定 > 按钮完成操作 点击 确定 按钮, 选择 增加接入用户 账号名输入 test5 ; 密码输入 test5 ; 强 portal 无感知认证最大数设置为 10; 勾选接入服务
单击 < 确定 > 按钮完成操作 五 验证配置 ⑴ 用户使用智能终端通过浏览器访问网络, 重定向到 Portal 认证页面 用户输入用户名 密码 服务等认证信息, 进行上线认证 ⑵ 认证成功后, 用户下线 ⑶ 用户再次使用该智能终端访问网络, 这时不需要输入用户名和密码, 直接上线 ⑷ 此时可在 imc 上观察到绑定该智能终端 MAC 地址信息 AC 上可以通过 display connection 来进行查看 配置注意事项 : 1 闲置时长 idle-cut 的命令一定要配置, 强烈建议配置的闲置时长的时间少于客户端获取地址的租约时间的一半 2 AC 上虽然没有配置 mac-trigger 类型的无感知, 但 IMC 上一定要勾选无感知