• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-典型配置案例(AC+FIT AP)

目录

019-H3C无线控制器采用HTTPS方式进行本地Portal认证典型配置举例

本章节下载 019-H3C无线控制器采用HTTPS方式进行本地Portal认证典型配置举例  (286.63 KB)

019-H3C无线控制器采用HTTPS方式进行本地Portal认证典型配置举例

H3C无线控制器采用HTTPS进行本地Portal认证典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍采用HTTPS方式进行本地Portal认证的典型配置举例。

2  配置前提

本文档适用于使用Comware软件版本的无线控制器和接入点产品,不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解SSL、Portal、PKI特性。

3  配置举例

3.1  组网需求

图1所示,为提高设备管理的安全性,需要通过HTTPS的方式进行本地Portal认证,绑定第三方证书,并且要求在打开Portal认证页面时不会弹出风险提示。

图1 采用HTTPS方式进行本地Portal认证组网图

 

3.2  配置注意事项

·     在进行配置之前,请确保各设备间路由可达。

·     配置AP的序列号时请确保该序列号与AP唯一对应。

·     请确保AC上已经存在有效的CA证书以及本地证书。

3.3  配置步骤

1. 配置证书

# 创建PKI域domain1,并进入PKI域视图。

<AC> system-view

[AC] pki domain domain1

# 关闭CRL检查。

[AC-pki-domain-domain1] undo crl check enable

[AC-pki-domain-domain1] quit

# 向PKI域domain1中导入CA证书,证书文件格式为DER编码,证书文件名称为certnew.cer,证书文件中包含根证书。

[AC] pki import domain domain1 der ca filename certnew.cer

The trusted CA's finger print is:

    MD5  fingerprint:98D8 2B98 6D35 1DE7 A13A C362 DA33 2F38

    SHA1 fingerprint:5817 1C1E D81F 1B5F 525D 5183 C196 37B8 73C7 46E5

Is the finger print correct?(Y/N):y

# 向PKI域domain1中导入本地证书,证书文件格式为PKCS#12编码,证书文件名称为QQ.pfx,证书文件中包含了密钥对。

[AC] pki import domain domain1 p12 local filename QQ.pfx

Please input the password:

2. 配置SSL服务器端策略

# 创建SSL服务器端策略myssl,并进入SSL服务器端策略视图。

[AC] ssl server-policy myssl

# 配置SSL服务器端策略使用的PKI域为domain1。

[AC-ssl-server-policy-myssl] pki-domain domain1

# 配置SSL服务器端要求对SSL客户端进行基于数字证书的身份验证。

[AC-ssl-server-policy-myssl] client-verify enable

[AC-ssl-server-policy-myssl] quit

3. 配置AAA

# 添加名称为user1的网络接入类本地用户。

[AC] local-user user1 class network

[AC-luser-network-user1] password simple user1

[AC-luser-network-user1] service-type portal

[AC-luser-network-user1] quit

# 创建名称为dm1的ISP域,为Portal用户配置认证方法、授权方法和计费方法均为本地认证。

[AC] domain dm1

[AC-isp-dm1] authentication portal local

[AC-isp-dm1] authorization portal local

[AC-isp-dm1] accounting portal local

[AC-isp-dm1] quit

# 配置系统缺省的ISP域为dm1。

[AC] domain default enable dm1

4. 配置无线服务和基于HTTPS方式的Portal认证

# 创建名称为newpt的Portal Web服务器,并进入Portal Web服务器视图。

[AC] portal web-server newpt

# 配置Portal web服务器的URL为https://84.7.0.3/portal。

[AC-portal-websvr-newpt] url https://84.7.0.3/portal

[AC-portal-websvr-newpt] quit

# 开启无线Portal客户端合法性检查功能。

[AC] portal host-check enable

# 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。

[AC] portal free-rule 1 destination ip any udp 53

[AC] portal free-rule 2 destination ip any tcp 53

# 创建无线服务模板service1,并进入无线服务模板视图。

[AC] wlan service-template service1

# 配置SSID为service1。

[AC-wlan-st-service1] ssid service1

# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。

[AC-wlan-st-service1] akm mode psk

[AC-wlan-st-service1] preshared-key pass-phrase simple 12345678

# 配置加密套件为CCMP,安全信息元素为RSN。

[AC-wlan-st-service1] cipher-suite ccmp

[AC-wlan-st-service1] security-ie rsn

# 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)

[AC-wlan-st-service1] client forwarding-location ac

# 在无线服务模板上开启Portal认证,配置为直接认证方式。

[AC-wlan-st-service1] portal enable method direct

# 在无线服务模板service1上引用Portal Web服务器newpt。

[AC-wlan-st-service1] portal apply web-server newpt

# 开启无线服务模板。

[AC-wlan-st-service1] service-template enable

[AC-wlan-st-service1] quit

# 配置HTTPS服务的端口号为8080,避免和本地Portal服务使用的端口号冲突。

[AC] ip https port 8080

# 开启本地Portal服务,并进入基于HTTPS协议的本地Portal Web服务视图,引用的SSL服务器端策略为myssl。

[AC] portal local-web-server https ssl-server-policy myssl

# 配置本地Portal Web服务器提供的缺省认证页面文件为defaultfile.zip。

[AC-portal-local-websvr-https] default-logon-page defaultfile.zip

[AC-portal-local-websvr-https] quit

5. 配置AP

说明

在大规模组网时,推荐在AP组内进行配置。

 

# 创建VLAN 200。Client将使用该VLAN接入无线网络。

[AC] vlan 200

[AC-vlan200] quit

# 创建AP,配置AP名称为ap1,型号名称选择WA6320,并配置序列号219801A28N819CE0002T。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap1] serial-id 219801A28N819CE0002T

[AC-wlan-ap-ap1] quit

# 创建AP组group1,并配置AP名称入组规则。

[AC] wlan ap-group group1

[AC-wlan-ap-group-group1] ap ap1

# 将无线服务模板service1绑定到AP组group1下的Radio 2上。

[AC-wlan-ap-group-group1] ap-model WA6320

[AC-wlan-ap-group-group1-ap-model-WA6320] radio 2

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] service-template service1 vlan 200

# 开启Radio 2的射频功能。

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] radio enable

[AC-wlan-ap-group-group1-ap-model-WA6320-radio-2] quit

[AC-wlan-ap-group-group1-ap-model-WA6320] quit

[AC-wlan-ap-group-group1] quit

3.4  验证配置

# 查看PKI域domain1的CA证书,可以看到CA证书已经导入PKI域。

[AC] display pki cer domain domain1 ca

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            27:ef:22:2e:cc:63:9e:9c:4c:f7:2b:ba:81:d2:8e:a9

        Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf2

576@h3c.com/description=kf2576, CN=wlan

        Validity

            Not Before: Jul 12 05:16:08 2017 GMT

            Not After : Jul 12 05:24:51 2517 GMT

        Subject: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf

2576@h3c.com/description=kf2576, CN=wlan

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (512 bit)

                Modulus:

                    00:cb:7e:d0:dd:38:f7:e8:20:00:2d:ba:f0:b7:37:

                    33:f6:cb:7a:1b:6b:74:56:63:5f:34:94:e3:06:4b:

                    06:36:e5:3e:22:ab:96:c5:52:d3:57:98:b0:b4:72:

                    6e:1f:0b:ed:40:50:0c:db:7d:c6:5e:15:34:a1:89:

                    e7:de:ec:84:07

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Key Usage:

                Digital Signature, Certificate Sign, CRL Sign

            X509v3 Basic Constraints: critical

                CA:TRUE

            X509v3 Subject Key Identifier:

                96:BB:A7:8D:70:C7:E9:46:C3:B7:EE:F4:E8:1A:D8:6F:16:B8:15:73

            X509v3 CRL Distribution Points:

 

                Full Name:

                  URI:http://ca1/CertEnroll/wlan.crl

                  URI:file://\\ca1\CertEnroll\wlan.crl

 

            1.3.6.1.4.1.311.21.1:

                ...

    Signature Algorithm: sha1WithRSAEncryption

         60:76:1a:52:bf:f0:79:45:22:04:7c:91:13:8a:9c:be:d9:18:

         20:14:5d:55:5c:31:22:49:ba:40:bc:ec:c2:ba:08:ac:11:0e:

         d5:d8:23:18:f4:5c:6a:c9:10:5e:d4:92:4c:d7:b8:cf:dc:92:

         41:24:db:93:3e:7a:14:3b:ad:b0

# 查看PKI域domain1的本地证书,可以看到本地证书已经导入PKI域。

[AC] display pki certificate domain domain1 local

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            3b:1a:30:5e:00:00:00:00:00:1d

        Signature Algorithm: sha1WithRSAEncryption

        Issuer: C=CN, ST=beijing, L=haidian, O=h3c, OU=wireless/emailAddress=kf2

576@h3c.com/description=kf2576, CN=wlan

        Validity

            Not Before: Dec 27 12:01:47 2017 GMT

            Not After : Dec 27 12:11:47 2273 GMT

        Subject: C=CN, CN=QQ

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (1024 bit)

                Modulus:

                    00:c4:bf:a1:86:3b:ba:53:8b:aa:c7:43:1a:1a:be:

                    18:4e:fa:d1:5e:9a:49:b3:bb:b9:92:be:64:6b:97:

                    06:f6:bd:c0:d9:36:20:50:c6:eb:5c:4f:89:1c:6d:

                    c6:62:65:1f:a0:06:50:9e:ee:23:b7:ad:73:58:dc:

                    e9:62:1a:5f:87:8b:fd:da:2f:43:58:0f:45:06:b8:

                    7f:d5:43:52:e6:ed:fe:ce:7e:fa:20:6d:bc:67:c6:

                    e5:dd:06:35:bd:fb:a2:04:85:34:b9:dd:ff:3c:f8:

                    78:9e:92:ad:4c:86:7d:33:04:09:90:ce:ab:a8:30:

                    f3:87:f5:4b:c7:9c:a5:4d:8b

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            X509v3 Key Usage: critical

                Digital Signature, Non Repudiation, Key Encipherment, Data Encip

herment

            S/MIME Capabilities:

......0...+....0050...*.H..

..*.H..

            X509v3 Subject Key Identifier:

                73:9E:F6:85:15:4F:FE:1B:CC:C3:1C:48:99:41:E7:DA:8E:89:B8:74

            X509v3 Extended Key Usage:

                TLS Web Server Authentication

            X509v3 Authority Key Identifier:

                keyid:96:BB:A7:8D:70:C7:E9:46:C3:B7:EE:F4:E8:1A:D8:6F:16:B8:15:7

3

 

            X509v3 CRL Distribution Points:

 

                Full Name:

                  URI:ldap:///CN=wlan,CN=ca1,CN=CDP,CN=Public%20Key%20Services,C

N=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRL

DistributionPoint

                  URI:http://ca1/CertEnroll/wlan.crl

                  URI:file://\\ca1\CertEnroll\wlan.crl

 

            Authority Information Access:

                CA Issuers - URI:http://ca1/CertEnroll/ca1_wlan.crt

                CA Issuers - URI:file://\\ca1\CertEnroll\ca1_wlan.crt

 

    Signature Algorithm: sha1WithRSAEncryption

         0b:f8:f8:53:ef:b2:f9:01:07:4e:89:cf:b7:5b:e2:72:a6:38:

         fa:af:99:30:0c:57:3f:36:25:f9:ed:02:7b:df:4b:a8:bd:92:

         63:b8:d8:ae:ae:72:9a:4d:1f:ea:fa:8a:1f:dc:5a:ad:ec:31:

         2a:15:65:ea:74:bc:95:c1:21:a9

# 查看SSL服务器端策略信息。

[AC] display ssl server-policy myssl

 SSL server policy: myssl

     Version-info:

         SSL3.0: Enabled

         TLS1.0: Enabled

         TLS1.1: Enabled

         TLS1.2: Enabled

     PKI domain: user2

     Ciphersuites:

         RSA_AES_128_CBC_SHA

         RSA_DES_CBC_SHA

         RSA_RC4_128_MD5

         RSA_RC4_128_SHA

         RSA_3DES_CBC_SHA

         RSA_AES_256_CBC_SHA

         EXP_RSA_RC4_MD5

         RSA_RC2_CBC_MD5

         EXP_RSA_DES_CBC_SHA

         DHE_RSA_AES_128_CBC_SHA

         DHE_RSA_AES_256_CBC_SHA

         RSA_AES_128_CBC_SHA256

         RSA_AES_256_CBC_SHA256

         DHE_RSA_AES_128_CBC_SHA256

         DHE_RSA_AES_256_CBC_SHA256

         ECDHE_RSA_AES_128_CBC_SHA256

         ECDHE_RSA_AES_256_CBC_SHA384

         ECDHE_RSA_AES_128_GCM_SHA256

         ECDHE_RSA_AES_256_GCM_SHA384

         ECDHE_ECDSA_AES_128_CBC_SHA256

         ECDHE_ECDSA_AES_256_CBC_SHA384

         ECDHE_ECDSA_AES_128_GCM_SHA256

         ECDHE_ECDSA_AES_256_GCM_SHA384

     Session cache size: 500

     Caching timeout: 3600 seconds

     Client-verify: Enabled

# 查看Portal Web服务器信息。

[AC] display portal web-server newpt

Portal Web server: newpt

    Type: IMC

    URL: https://84.7.0.3/portal

    URL parameters: Not configured

    VPN instance: Not configured

    Server detection: Not configured

    IPv4 status: Up

    IPv6 status: N/A

    Captive-bypass: Disabled

    If-match: Not configured

# 打开无线手机终端,在浏览器页面输入Portal web服务器的URL:https://84.7.0.3/portal,会显示Portal认证页面。

图2 手机Portal认证页面。

 

# 输入用户名user1和密码user1进行Portal认证,认证成功后查看Portal用户。

[AC] display portal user all

Total portal users: 1

Username: user1

  AP name: ap1

  Radio ID: 2

  SSID: service1

  Portal server: N/A

  State: Online

  VPN instance: N/A

  MAC               IP                   VLAN      Interface

  145f-94aa-d323  84.7.0.12           200       WLAN-BSS1/0/5

  Authorization information:

    DHCP IP pool: N/A

    User profile: N/A

    Session group profile: N/A

    ACL number: N/A

    Inbound CAR: N/A

Outbound CAR: N/A

4  配置文件

#

vlan 200

#

wlan service-template service1

 ssid service1

 client forwarding-location ac

 akm mode psk

 preshared-key pass-phrase cipher $c$3$9tIUHSkAUVqCH9/EPrL26ldkcEQnngexUEFj

 cipher-suite ccmp

 security-ie rsn

 portal enable method direct

 portal apply web-server newpt

 service-template enable

#

domain dm1

 authentication portal local

 authorization portal local

 accounting portal local

#

 domain default enable dm1

#

local-user user1 class network

 password cipher $c$3$iN3qo9XCWBRXSHa5q0sq1hkblSu/MCul

 service-type portal

 authorization-attribute user-role network-operator

#

pki domain domain1

 undo crl check enable

#

ssl server-policy myssl

 pki-domain domain1

 client-verify enable

#

 portal host-check enable

 portal free-rule 1 destination ip any udp 53

 portal free-rule 2 destination ip any tcp 53

#

portal web-server newpt

 url https://84.7.0.3/portal

#

portal local-web-server https ssl-server-policy myssl

 default-logon-page defaultfile.zip

#

 ip https port 8080

 ip http enable

 ip https enable

#

wlan ap-group group1

 ap ap1

 ap-model WA6320

  radio 1

  radio 2

   radio enable

   service-template service1 vlan 200

#

wlan ap ap1 model WA6320

 serial-id 219801A28N819CE0002T

#

5  相关资料

·     《H3C 无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“安全命令参考。

·     《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们