如下图所示,某大型企业网络中存在大量无线终端(STA),其中:企业办公楼的前台大厅部署SSID为“guest”的无线网络,为来访的客户提供无线网络接入;办公区域部署SSID为“employee”的无线网络,为企业员工提供无线网络接入。
为保证网络安全,企业需要部署一套身份认证系统,对所有通过无线接入企业网络的人员进行准入控制,确保只有合法用户才能接入网络。由于无线终端较多且流动性较大,管理员决定在位于三层网络的AC上部署Portal认证以对用户进行接入控制,要求
用户认证成功前仅能访问公共服务器区(例如Portal服务器、RADIUS服务器和DNS服务器)。用户认证成功后能够访问企业内部网络(例如客户问题处理系统)。实现在一定的时间内(如:60分钟)用户因位置移动而反复进入、离开无线信号覆盖区域时,不需要重新输入用户名和密码进行认证。
MAC优先的Portal认证组网图
配置思路
采用如下的思路配置网络的Portal认证:
配置RADIUS认证参数。配置Portal服务器模板。配置Portal接入模板,管理Portal接入控制参数。配置MAC接入模板,用于MAC优先的Portal认证。配置免认证规则模板,实现AC放行访问DNS服务器的报文。配置ACL,实现为认证通过后的用户能够访问客户问题处理系统。配置认证模板,管理NAC认证的相关配置。数据规划
配置项
数据
RADIUS认证参数
RADIUS认证方案名称:radius_huawei
RADIUS计费方案名称:scheme1
RADIUS服务器模板名称:radius_huawei,其中:
IP地址:172.16.1.1认证端口号:1812共享密钥:[email protected]
Portal服务器模板
名称:abcIP地址:172.16.1.1AC向Portal服务器主动发送报文时使用的目的端口号:50200Portal认证共享密钥:[email protected]
Portal接入模板
名称:portal1绑定的模板:Porta服务器模板abc
MAC接入模板
名称:mac1
免认证规则模板
名称:default_free_rule免认证资源:DNS服务器的地址(172.16.1.2)
认证模板
·名称:p1
绑定的模板和认证方案:
Portal接入模板portal1MAC接入模板mac1RADIUS服务器模板radius_huaweiRADIUS认证方案radius_huawei免认证规则模板default_free_rule
VAP模板
名称:guest
转发模式:隧道转发业务VLAN:VLAN pool绑定模板:SSID模板guest、安全模板wlan-security、认证模板p1
名称:employee
转发模式:隧道转发业务VLAN:VLAN pool绑定模板:SSID模板employee、安全模板wlan-security、认证模板p1
ACL
编号:3001规则:允许访问客户问题处理系统(IP地址为172.16.3.1)操作步骤
前置条件:已完成wlan网络基础配置
1. 配置RADIUS服务器模板、RADIUS认证方案和RADIUS计费方案
# 配置RADIUS服务器模板。
[AC] radius-server template radius_huawei
[AC-radius-radius_huawei] radius-server authentication 172.16.1.1 1812
[AC-radius-radius_huawei] radius-server accounting 172.16.1.1 1813
[AC-radius-radius_huawei] radius-server shared-key cipher [email protected]
[AC-radius-radius_huawei] quit
# 配置RADIUS方式的认证方案。
[AC] aaa
[AC-aaa] authentication-scheme radius_huawei
[AC-aaa-authen-radius_huawei] authentication-mode radius
[AC-aaa-authen-radius_huawei] quit
[AC-aaa] quit
# 配置RADIUS方式的计费方案。
[AC-aaa] accounting-scheme scheme1
[AC-aaa-accounting-scheme1] accounting-mode radius
[AC-aaa-accounting-scheme1] accounting realtime 15
[AC-aaa-accounting-scheme1] quit
[AC-aaa] quit
说明:
计费功能并非真实意义上的计算费用,而是通过计费报文维护终端的在线信息。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能要求就越高。需要根据用户数设置实时计费间隔。
2. 配置Portal服务器模板
[AC] web-auth-server server-source all-interface //华为AC V200R021C00以及之后的版本,必须使用web-auth-server server-source或server-source命令配置设备可以接收和响应Portal服务器报文的本机网关地址,才能正常使用Portal对接功能。
[AC] web-auth-server abc
[AC-web-auth-server-abc] server-ip 172.16.1.1
[AC-web-auth-server-abc] shared-key cipher [email protected]
[AC-web-auth-server-abc] port 50200
[AC-web-auth-server-abc] url https://172.16.1.1:8445/portal
[AC-web-auth-server-abc] quit
3. 配置ACL3001,使认证通过后的用户能够访问客户问题处理系统
[AC] acl 3001
[AC-acl-adv-3001] rule 5 permit ip destination 172.16.3.0 0.0.0.255
[AC-acl-adv-3001] quit
本举例使用远端服务器授权,服务器上需要配置为认证成功后的用户授权ACL3001。
4. 配置Portal接入模板“portal1”
[AC] portal-access-profile name portal1
[AC-portal-access-profile-portal1] web-auth-server abc direct
[AC-portal-access-profile-portal1] quit
5. 配置MAC接入模板,用于MAC优先的Portal认证
[AC] mac-access-profile name mac1
[AC-mac-access-profile-mac1] quit
6. 配置免认证规则模板
[AC] free-rule-template name default_free_rule
[AC-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2 mask 24
[AC-free-rule-default_free_rule] quit
7. 配置认证模板“p1”,并启用MAC优先的Portal认证
[AC] authentication-profile name p1
[AC-authentication-profile-p1] portal-access-profile portal1
[AC-authentication-profile-p1] mac-access-profile mac1
[AC-authentication-profile-p1] free-rule-template default_free_rule
[AC-authentication-profile-p1] authentication-scheme radius_huawei
[AC-authentication-profile-p1] radius-server radius_huawei
[AC-authentication-profile-p1] quit
8. 配置WLAN业务参数
# 创建名为“wlan-security”的安全模板,并配置安全策略。
[AC] wlan
[AC-wlan-view] security-profile name wlan-security
[AC-wlan-sec-prof-wlan-security] security open
[AC-wlan-sec-prof-wlan-security] quit
# 在名为“guest”和“employee”的VAP模板,引用安全模板和认证模板。
[AC-wlan-view] vap-profile name guest
[AC-wlan-vap-prof-guest] security-profile wlan-security
[AC-wlan-vap-prof-guest] authentication-profile p1
[AC-wlan-vap-prof-guest] quit
[AC-wlan-view] vap-profile name employee
[AC-wlan-vap-prof-employee] security-profile wlan-security
[AC-wlan-vap-prof-employee] authentication-profile p1
[AC-wlan-vap-prof-employee] quit
9. 验证配置结果
STA上打开浏览器访问网络时,会自动跳转到外置Portal服务器提供的认证页面,在页面上输入正确的用户名和密码后,STA认证成功并可以访问客户问题处理系统。假设服务器配置的MAC地址有效时间为60分钟。用户断开无线网络5分钟,重新连接无线网络时,可以直接访问;用户断开无线网络65分钟,重新连接无线网络时,会被重定向到Portal认证页面。