- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-H3C无线控制器WiFidog Portal认证典型配置举例
本章节下载: 14-H3C无线控制器WiFidog Portal认证典型配置举例 (276.88 KB)
H3C无线控制器WiFidog Portal认证典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍了WiFidog Portal认证的典型配置举例。
本文档适用于使用Comware软件版本的无线控制器和接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Portal认证和WLAN接入的相关特性。
如图1所示,AP和Client通过DHCP服务器获取IP地址,WiFidog服务器同时作为Portal认证服务器和Portal Web服务器。
现要求:
· 对Client采用直接方式的Portal认证。
· 用户可以在VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证。
图3-1 WiFidog Portal认证组网图
· 为了使用户可以在VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证,必须开启Portal用户漫游功能。
· 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败,需要关闭Portal客户端ARP表项固化功能。
· 为了完成Portal认证的报文交互,需放行Portal Web服务器、DNS服务器和AC间的报文,必须配置Portal免认证规则。
· 为了使用户正常访问Portal Web服务器,必须在WiFidog服务器上配置端口号。
· 在AC上配置,向WiFidog服务器传递的参数如下:
¡ gw_address:AC的IP地址。
¡ gw_port:AC的WiFidog服务端口(H3C设备默认为80)。
¡ gw_id:AC的ID。
¡ mac:Client的MAC地址。
¡ channel_path:请求渠道(默认为h3c)。
¡ url:Client最初访问的URL地址。
¡ ip:Client的IP地址。
不同WiFidog服务器的配置方式和配置界面不同,请以软件和设备的实际情况为准。
(1) 配置AC的ID
# 在WiFidog服务器上配置AC的ID,以识别AC。AC的ID可自定义,需保证编号唯一。本文以配置AC的ID为AC的nas-id为例,配置步骤略。
(2) 配置WiFidog服务器的接入密码
# 配置步骤略。
(3) 配置WiFidog服务器的端口号
# WiFidog服务器端口号为自定义,不是固定端口号,本文以配置端口号为12001为例,配置步骤略。
(1) 配置AC的接口
# 创建VLAN 33及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道,Client将使用该VLAN接入无线网络。
<AC> system-view
[AC] vlan 33
[AC-vlan33] quit
[AC] interface vlan-interface 33
[AC-Vlan-interface33] ip address 2.2.1.1 24
[AC-Vlan-interface33] quit
# 配置Switch与AC相连的GigabitEthernet1/0/2接口的属性为Access,允许VLAN 33通过。
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-type access
[AC-GigabitEthernet1/0/2] port access vlan 33
[AC-GigabitEthernet1/0/2] quit
(2) 配置静态路由
# 配置到WiFidog服务器的静态路由。
[AC] ip route-static 192.168.0.0 255.255.0.0 2.2.1.100
(3) 配置domain域
# 配置domain域的认证方法为none(不进行认证)。
[AC] domain po
[AC-isp-po] authentication portal none
[AC-isp-po] authorization portal none
[AC-isp-po] accounting portal none
[AC-isp-po] quit
(4) 配置Portal服务器
# 配置Portal服务器的名称为po,IP地址为WiFidog服务器的IP地址,密码为WiFidog服务器的接入密码。
[AC] portal server po
[AC-portal-server-po] ip 192.168.0.111 key simple wifitest
[AC-portal-server-po] quit
(5) 配置Portal Web服务器
# 配置Portal Web服务器的名称为po。
[AC] portal web-server web-po
# 配置Portal Web服务器的URL为WiFidog服务器的URL,端口号为12001。
[AC-portal-websvr-web-po] url http://171.84.4.235:12001/wifidog
# 配置Portal Web服务器类型为WiFidog。
[AC-portal-websvr-web-po] server-type wifidog
# 配置设备重定向给用户的Portal Web服务器的URL中携带参数channel_path,其值为请求渠道h3c。
[AC-portal-websvr-web-po] url-parameter channel_path value h3c
# 配置设备重定向给用户的Portal Web服务器的URL中携带参数gw_address、gw_id和gw_port。其值分别为AC的IP地址、AC的ID和AC的WiFidog服务端口号。
[AC-portal-websvr-web-po] url-parameter gw_address value 2.2.1.1
[AC-portal-websvr-web-po] url-parameter gw_id nas-id
[AC-portal-websvr-web-po] url-parameter gw_port value 80
# 配置设备重定向给用户的Portal Web服务器的URL中,携带参数ip、mac、ssid和url。其值分别为Client的IP地址、Client的MAC地址、AP的SSID和Client最初访问的URL地址。
[AC-portal-websvr-web-po] url-parameter ip source-address
[AC-portal-websvr-web-po] url-parameter mac source-mac
[AC-portal-websvr-web-po] url-parameter ssid ssid
[AC-portal-websvr-web-po] url-parameter url original-url
[AC-portal-websvr-web-po]quit
(6) 配置Portal认证规则
# 配置Portal免认证规则:放行到web服务器,DNS服务器,AC设备的报文。
[AC] portal free-rule 1 destination ip 8.8.8.8 255.255.255.255
[AC] portal free-rule 2 destination ip 114.114.114.114 255.255.255.255
[AC] portal free-rule 3 destination ip 2.2.1.1 255.255.255.255
[AC] portal free-rule 4 destination ip 192.168.0.111 255.255.255.255
# 开启无线客户端合法性检查功能。
[AC] portal host-check enable
# 开启Portal用户漫游功能。
[AC] portal roaming enable
# 关闭Portal客户端ARP表项固化功能。
[AC] undo portal refresh arp enable
(7) 配置无线服务
# 创建无线服务模板po,并进入无线服务模板视图。
[AC] wlan service-template po
# 配置Client上线后加入到VLAN 33。
[AC-wlan-st-po] vlan 33
# 配置SSID为service。
[AC-wlan-st-po] ssid service
# 在无线服务模板po上使能直接方式的Portal认证。
[AC-wlan-st-po] portal enable method direct
# 配置接入的Portal用户使用认证域为po。
[AC-wlan-st-po] portal domain po
# 在无线服务模板po上引用Portal Web服务器po。
[AC-wlan-st-po] portal apply web-server web-po
# 配置客户端数据报文转发位置为AC。(如果客户端数据报文的缺省转发位置与本配置相同,请跳过此步骤)
[AC–wlan-st-po] client forwarding-location ac
# 配置身份认证与密钥管理模式为PSK模式,配置PSK密钥为明文字符串12345678。
[AC-wlan-st-po] akm mode psk
[AC-wlan-st-po] preshared-key pass-phrase simple 12345678
# 配置加密套件为CCMP,安全信息元素为RSN。
[AC-wlan-st-po] cipher-suite ccmp
[AC-wlan-st-po] security-ie rsn
# 使能无线服务模板。
[AC-wlan-st-po] service-template enable
[AC-wlan-st-po]quit
(8) 配置AP
在大规模组网时,推荐在AP组内进行配置。
# 创建手工AP,名称为ap1,型号为WA6622,序列号为219801A24H8199E0001C。
[AC] wlan ap ap1 model WA6622
[AC-wlan-ap-ap1] serial-id 219801A24H8199E0001C
# 创建AP组group1,设置AP名称入组规则
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap ap1
# 进入AP组的Radio 1视图,并将无线服务模板绑定到Radio 1上。
[AC-wlan-ap-group-group1] ap-model WA6622
[AC-wlan-ap-group-group1-ap-model-WA6622] radio 1
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-1] service-template po
# 开启Radio 1的射频功能。
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-1] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-1] quit
# 进入AP组的Radio 2视图,并将无线服务模板绑定到Radio 2上。
[AC-wlan-ap-group-group1-ap-model-WA6622] radio 2
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-2] service-template po
# 开启Radio 2的射频功能。
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-2] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-2] return
(1) 配置DHCP服务
# 开启DHCP功能。
[Switch] dhcp enable
# 创建名为33的DHCP地址池,为AP和Client分配IP地址。
[Switch] dhcp server ip-pool 33
# 网关配置为Switch的VLAN 33的IP地址,便于Client与WiFidog服务器通信。
[Switch-dhcp-pool-33] gateway-list 2.2.1.100
[Switch-dhcp-pool-33] network 2.2.1.0 mask 255.255.255.0
[Switch-dhcp-pool-33] dns-list 8.8.8.8 114.114.114.114
[Switch-dhcp-pool-33] quit
(2) 配置Switch的接口
# 创建VLAN 33及其对应接口,并为该接口配置IP地址,引用DHCP地址池33。
<Switch> system-view
[Switch] vlan 33
[Switch-vlan33] quit
[Switch] interface vlan-interface 33
[Switch-Vlan-interface33] ip address 2.2.1.100 255.255.0.0
[Switch-Vlan-interface33] dhcp server apply ip-pool 33
[Switch-Vlan-interface33] quit
# 创建VLAN 2,用于连接WiFidog服务器。
[Switch] vlan 2
[Switch-vlan2] quit
# 配置VLAN 2接口的IP地址。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.0.100 255.255.255.0
[Switch-Vlan-interface2] quit
# 配置Switch和AC相连的接口GigabitEthernet1/0/8接口的属性为Access,并允许VLAN 33通过。
[Switch] interface gigabitethernet 1/0/8
[Switch-GigabitEthernet1/0/8] port link-type access
[Switch-GigabitEthernet1/0/8] port access vlan 33
[Switch-GigabitEthernet1/0/8] quit
# 配置Switch和AP相连的接口GigabitEthernet1/0/10接口的属性为Access,并允许VLAN 33通过。
[Switch] interface gigabitethernet 1/0/10
[Switch-GigabitEthernet1/0/10] port link-type access
[Switch-GigabitEthernet1/0/10] port access vlan 33
# 开启Switch和AP相连的接口GigabitEthernet1/0/10的PoE供电功能。
[Switch-GigabitEthernet1/0/10] poe enable
[Switch-GigabitEthernet1/0/10] quit
# 配置Switch与WiFidog服务器相连的GigabitEthernet1/0/5接口的属性为Access,并允许VLAN 2通过。
[Switch] interface gigabitethernet 1/0/5
[Switch-GigabitEthernet1/0/5] port link-type access
[Switch-GigabitEthernet1/0/5] port access vlan 2
[Switch-GigabitEthernet1/0/5] quit
完成配置后,使用户连接到SSID为service的无线服务进行Portal认证,用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://192.168.0.111:12001/wifidog),在通过认证后,可访问非受限的互联网资源。
# 在AC上使用display portal user all 命令可以看到Portal在线用户信息。
[AC] display portal user all
Total portal users: 1
Username: a4:c9:39:68:7d:31
AP name: ap1
Radio ID: 1
SSID: service
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
a4c9-3968-7d31 2.2.1.14 33 WLAN-BSS1/0/126
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Total number of clients: 1
· AC:
#
vlan 33
#
ip route-static 192.168.0.0 16 2.2.1.100
#
interface Vlan-interface33
ip address 2.2.1.1 255.255.0.0
#
interface GigabitEthernet1/0/2
port link-type access
port access vlan 33
#
wlan service-template po
ssid service
client forwarding-location ac
akm mode psk
preshared-key pass-phrase simple 12345678
cipher-suite ccmp
security-ie rsn
vlan 33
portal enable method direct
portal domain po
portal apply web-server web-po
service-template enable
#
domain po
authentication portal none
authorization portal none
accounting portal none
#
portal host-check enable
portal free-rule 1 destination ip 8.8.8.8 255.255.255.255
portal free-rule 2 destination ip 114.114.114.114 255.255.255.255
portal free-rule 3 destination ip 2.2.1.1 255.255.255.255
portal free-rule 4 destination ip 192.168.0.111 255.255.255.255
#
portal web-server web-po
url http://192.168.0.111:12001/wifidog
server-type wifidog
url-parameter channel_path value h3c
url-parameter gw_address value 2.2.1.1
url-parameter gw_id nas-id
url-parameter gw_port value 80
url-parameter ip source-address
url-parameter mac source-mac
url-parameter ssid ssid
url-parameter url original-url
#
portal server po
ip 192.168.0.111 key cipher $c$3$IXTLQ8lWluD9vHD/OC26sera+vnHj0yEKsuT
#
wlan ap ap1 model WA6622
serial-id 219801A24H8199E0001C
#
wlan ap-group group1
ap ap1
ap-model WA6622
radio 1
radio enable
service-template po
radio 2
radio enable
service-template po
· Switch
#
dhcp enable
#
vlan 33
#
vlan 2
#
dhcp server ip-pool 33
gateway-list 2.2.1.100
network 2.2.1.100. mask 255.255.255.0
dns-list 8.8.8.8 114.114.114.114
#
interface Vlan-interface33
ip address 2.2.1.100 255.255.0.0
dhcp server apply ip-pool 33
#
interface Vlan-interface2
ip address 192.168.0.100 255.255.255.0
#
interface GigabitEthernet1/0/8
port link-type access
port access vlan 33
#
interface GigabitEthernet1/0/10
port link-type access
port access vlan 33
poe enable
#
interface GigabitEthernet1/0/5
port link-type access
port access vlan 2
#
· 《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。
· 《H3C 无线控制器产品 配置指导》中的“用户接入与认证配置指导”。
· 《H3C 无线控制器产品 命令参考》中的“用户接入与认证命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
