- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
031-H3C無線控製器WiFidog Portal認證典型配置舉例(V7)
本章節下載: 031-H3C無線控製器WiFidog Portal認證典型配置舉例(V7) (259.56 KB)
H3C無線控製器WiFidog Portal認證典型配置舉例
Copyright © 2023 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
本文檔介紹了WiFidog Portal認證的典型配置舉例。
本文檔適用於使用Comware軟件版本的無線控製器和接入點產品,不嚴格與具體硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解Portal認證和WLAN接入的相關特性。
如圖3-1所示,AP和Client通過DHCP服務器獲取IP地址,WiFidog服務器同時作為Portal認證服務器和Portal Web服務器。
現要求:
· 對Client采用直接方式的Portal認證。
· 用戶可以在VLAN內的任何二層端口上訪問網絡資源,且移動接入端口時無須重複認證。
圖3-1 WiFidog Portal認證組網圖
· 為了使用戶可以在VLAN內的任何二層端口上訪問網絡資源,且移動接入端口時無須重複認證,必須開啟Portal用戶漫遊功能。
· 短時間內Portal客戶端的頻繁上下線可能會造成Portal認證失敗,需要關閉Portal客戶端ARP表項固化功能。
· 為了完成Portal認證的報文交互,需放行Portal Web服務器、DNS服務器和AC間的報文,必須配置Portal免認證規則。
· 為了使用戶正常訪問Portal Web服務器,必須在WiFidog服務器上配置端口號。
· 在AC上配置,向WiFidog服務器傳遞的參數如下:
¡ gw_address:AC的IP地址。
¡ gw_port:AC的WiFidog服務端口(H3C設備默認為80)。
¡ gw_id:AC的ID。
¡ mac:Client的MAC地址。
¡ channel_path:請求渠道(默認為h3c)。
¡ url:Client最初訪問的URL地址。
¡ ip:Client的IP地址。
不同WiFidog服務器的配置方式和配置界麵不同,請以軟件和設備的實際情況為準。
(1) 配置AC的ID
# 在WiFidog服務器上配置AC的ID,以識別AC。AC的ID可自定義,需保證編號唯一。本文以配置AC的ID為AC的nas-id為例,配置步驟略。
(2) 配置WiFidog服務器的接入密碼
# 配置步驟略。
(3) 配置WiFidog服務器的端口號
# WiFidog服務器端口號為自定義,不是固定端口號,本文以配置端口號為12001為例,配置步驟略。
(1) 配置AC的接口
# 創建VLAN 33及其對應的VLAN接口,並為該接口配置IP地址。AP將獲取該IP地址與AC建立CAPWAP隧道,Client將使用該VLAN接入無線網絡。
<AC> system-view
[AC] vlan 33
[AC-vlan33] quit
[AC] interface vlan-interface 33
[AC-Vlan-interface33] ip address 2.2.1.1 24
[AC-Vlan-interface33] quit
# 配置Switch與AC相連的GigabitEthernet1/0/2接口的屬性為Access,允許VLAN 33通過。
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-type access
[AC-GigabitEthernet1/0/2] port access vlan 33
[AC-GigabitEthernet1/0/2] quit
(2) 配置靜態路由
# 配置到WiFidog服務器的靜態路由。
[AC] ip route-static 192.168.0.0 255.255.0.0 2.2.1.100
(3) 配置domain域
# 配置domain域的認證方法為none(不進行認證)。
[AC] domain po
[AC-isp-po] authentication portal none
[AC-isp-po] authorization portal none
[AC-isp-po] accounting portal none
[AC-isp-po] quit
(4) 配置Portal服務器
# 配置Portal服務器的名稱為po,IP地址為WiFidog服務器的IP地址,密碼為WiFidog服務器的接入密碼。
[AC] portal server po
[AC-portal-server-po] ip 192.168.0.111 key simple wifitest
[AC-portal-server-po] quit
(5) 配置Portal Web服務器
# 配置Portal Web服務器的名稱為po。
[AC] portal web-server web-po
# 配置Portal Web服務器的URL為WiFidog服務器的URL,端口號為12001。
[AC-portal-websvr-web-po] url http://171.84.4.235:12001/wifidog
# 配置Portal Web服務器類型為WiFidog。
[AC-portal-websvr-web-po] server-type wifidog
# 配置設備重定向給用戶的Portal Web服務器的URL中攜帶參數channel_path,其值為請求渠道h3c。
[AC-portal-websvr-web-po] url-parameter channel_path value h3c
# 配置設備重定向給用戶的Portal Web服務器的URL中攜帶參數gw_address、gw_id和gw_port。其值分別為AC的IP地址、AC的ID和AC的WiFidog服務端口號。
[AC-portal-websvr-web-po] url-parameter gw_address value 2.2.1.1
[AC-portal-websvr-web-po] url-parameter gw_id nas-id
[AC-portal-websvr-web-po] url-parameter gw_port value 80
# 配置設備重定向給用戶的Portal Web服務器的URL中,攜帶參數ip、mac、ssid和url。其值分別為Client的IP地址、Client的MAC地址、AP的SSID和Client最初訪問的URL地址。
[AC-portal-websvr-web-po] url-parameter ip source-address
[AC-portal-websvr-web-po] url-parameter mac source-mac
[AC-portal-websvr-web-po] url-parameter ssid ssid
[AC-portal-websvr-web-po] url-parameter url original-url
[AC-portal-websvr-web-po]quit
(6) 配置Portal認證規則
# 配置Portal免認證規則:放行到web服務器,DNS服務器,AC設備的報文。
[AC] portal free-rule 1 destination ip 8.8.8.8 255.255.255.255
[AC] portal free-rule 2 destination ip 114.114.114.114 255.255.255.255
[AC] portal free-rule 3 destination ip 2.2.1.1 255.255.255.255
[AC] portal free-rule 4 destination ip 192.168.0.111 255.255.255.255
# 開啟無線客戶端合法性檢查功能。
[AC] portal host-check enable
# 開啟Portal用戶漫遊功能。
[AC] portal roaming enable
# 關閉Portal客戶端ARP表項固化功能。
[AC] undo portal refresh arp enable
(7) 配置無線服務
# 創建無線服務模板po,並進入無線服務模板視圖。
[AC] wlan service-template po
# 配置Client上線後加入到VLAN 33。
[AC-wlan-st-po] vlan 33
# 配置SSID為service。
[AC-wlan-st-po] ssid service
# 在無線服務模板po上使能直接方式的Portal認證。
[AC-wlan-st-po] portal enable method direct
# 配置接入的Portal用戶使用認證域為po。
[AC-wlan-st-po] portal domain po
# 在無線服務模板po上引用Portal Web服務器po。
[AC-wlan-st-po] portal apply web-server web-po
# 配置客戶端數據報文轉發位置為AC。(如果客戶端數據報文的缺省轉發位置與本配置相同,請跳過此步驟)
[AC–wlan-st-po] client forwarding-location ac
# 配置身份認證與密鑰管理模式為PSK模式,配置PSK密鑰為明文字符串12345678。
[AC-wlan-st-po] akm mode psk
[AC-wlan-st-po] preshared-key pass-phrase simple 12345678
# 配置加密套件為CCMP,安全信息元素為RSN。
[AC-wlan-st-po] cipher-suite ccmp
[AC-wlan-st-po] security-ie rsn
# 使能無線服務模板。
[AC-wlan-st-po] service-template enable
[AC-wlan-st-po]quit
(8) 配置AP
在大規模組網時,推薦在AP組內進行配置。
# 創建手工AP,名稱為ap1,型號為WA6622,序列號為219801A24H8199E0001C。
[AC] wlan ap ap1 model WA6622
[AC-wlan-ap-ap1] serial-id 219801A24H8199E0001C
# 創建AP組group1,設置AP名稱入組規則
[AC] wlan ap-group group1
[AC-wlan-ap-group-group1] ap ap1
# 進入AP組的Radio 1視圖,並將無線服務模板綁定到Radio 1上。
[AC-wlan-ap-group-group1] ap-model WA6622
[AC-wlan-ap-group-group1-ap-model-WA6622] radio 1
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-1] service-template po
# 開啟Radio 1的射頻功能。
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-1] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-1] quit
# 進入AP組的Radio 2視圖,並將無線服務模板綁定到Radio 2上。
[AC-wlan-ap-group-group1-ap-model-WA6622] radio 2
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-2] service-template po
# 開啟Radio 2的射頻功能。
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-2] radio enable
[AC-wlan-ap-group-group1-ap-model-WA6622-radio-2] return
(1) 配置DHCP服務
# 開啟DHCP功能。
[Switch] dhcp enable
# 創建名為33的DHCP地址池,為AP和Client分配IP地址。
[Switch] dhcp server ip-pool 33
# 網關配置為Switch的VLAN 33的IP地址,便於Client與WiFidog服務器通信。
[Switch-dhcp-pool-33] gateway-list 2.2.1.100
[Switch-dhcp-pool-33] network 2.2.1.0 mask 255.255.255.0
[Switch-dhcp-pool-33] dns-list 8.8.8.8 114.114.114.114
[Switch-dhcp-pool-33] quit
(2) 配置Switch的接口
# 創建VLAN 33及其對應接口,並為該接口配置IP地址,引用DHCP地址池33。
<Switch> system-view
[Switch] vlan 33
[Switch-vlan33] quit
[Switch] interface vlan-interface 33
[Switch-Vlan-interface33] ip address 2.2.1.100 255.255.0.0
[Switch-Vlan-interface33] dhcp server apply ip-pool 33
[Switch-Vlan-interface33] quit
# 創建VLAN 2,用於連接WiFidog服務器。
[Switch] vlan 2
[Switch-vlan2] quit
# 配置VLAN 2接口的IP地址。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.0.100 255.255.255.0
[Switch-Vlan-interface2] quit
# 配置Switch和AC相連的接口GigabitEthernet1/0/8接口的屬性為Access,並允許VLAN 33通過。
[Switch] interface gigabitethernet 1/0/8
[Switch-GigabitEthernet1/0/8] port link-type access
[Switch-GigabitEthernet1/0/8] port access vlan 33
[Switch-GigabitEthernet1/0/8] quit
# 配置Switch和AP相連的接口GigabitEthernet1/0/10接口的屬性為Access,並允許VLAN 33通過。
[Switch] interface gigabitethernet 1/0/10
[Switch-GigabitEthernet1/0/10] port link-type access
[Switch-GigabitEthernet1/0/10] port access vlan 33
# 開啟Switch和AP相連的接口GigabitEthernet1/0/10的PoE供電功能。
[Switch-GigabitEthernet1/0/10] poe enable
[Switch-GigabitEthernet1/0/10] quit
# 配置Switch與WiFidog服務器相連的GigabitEthernet1/0/5接口的屬性為Access,並允許VLAN 2通過。
[Switch] interface gigabitethernet 1/0/5
[Switch-GigabitEthernet1/0/5] port link-type access
[Switch-GigabitEthernet1/0/5] port access vlan 2
[Switch-GigabitEthernet1/0/5] quit
完成配置後,使用戶連接到SSID為service的無線服務進行Portal認證,用戶在通過認證前,發起的所有Web訪問均被重定向到Portal認證頁麵(http://192.168.0.111:12001/wifidog),在通過認證後,可訪問非受限的互聯網資源。
# 在AC上使用display portal user all 命令可以看到Portal在線用戶信息。
[AC] display portal user all
Total portal users: 1
Username: a4:c9:39:68:7d:31
AP name: ap1
Radio ID: 1
SSID: service
Portal server: N/A
State: Online
VPN instance: N/A
MAC IP VLAN Interface
a4c9-3968-7d31 2.2.1.14 33 WLAN-BSS1/0/126
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Total number of clients: 1
· AC:
#
vlan 33
#
ip route-static 192.168.0.0 16 2.2.1.100
#
interface Vlan-interface33
ip address 2.2.1.1 255.255.0.0
#
interface GigabitEthernet1/0/2
port link-type access
port access vlan 33
#
wlan service-template po
ssid service
client forwarding-location ac
akm mode psk
preshared-key pass-phrase simple 12345678
cipher-suite ccmp
security-ie rsn
vlan 33
portal enable method direct
portal domain po
portal apply web-server web-po
service-template enable
#
domain po
authentication portal none
authorization portal none
accounting portal none
#
portal host-check enable
portal free-rule 1 destination ip 8.8.8.8 255.255.255.255
portal free-rule 2 destination ip 114.114.114.114 255.255.255.255
portal free-rule 3 destination ip 2.2.1.1 255.255.255.255
portal free-rule 4 destination ip 192.168.0.111 255.255.255.255
#
portal web-server web-po
url http://192.168.0.111:12001/wifidog
server-type wifidog
url-parameter channel_path value h3c
url-parameter gw_address value 2.2.1.1
url-parameter gw_id nas-id
url-parameter gw_port value 80
url-parameter ip source-address
url-parameter mac source-mac
url-parameter ssid ssid
url-parameter url original-url
#
portal server po
ip 192.168.0.111 key cipher $c$3$IXTLQ8lWluD9vHD/OC26sera+vnHj0yEKsuT
#
wlan ap ap1 model WA6622
serial-id 219801A24H8199E0001C
#
wlan ap-group group1
ap ap1
ap-model WA6622
radio 1
radio enable
service-template po
radio 2
radio enable
service-template po
· Switch
#
dhcp enable
#
vlan 33
#
vlan 2
#
dhcp server ip-pool 33
gateway-list 2.2.1.100
network 2.2.1.100. mask 255.255.255.0
dns-list 8.8.8.8 114.114.114.114
#
interface Vlan-interface33
ip address 2.2.1.100 255.255.0.0
dhcp server apply ip-pool 33
#
interface Vlan-interface2
ip address 192.168.0.100 255.255.255.0
#
interface GigabitEthernet1/0/8
port link-type access
port access vlan 33
#
interface GigabitEthernet1/0/10
port link-type access
port access vlan 33
poe enable
#
interface GigabitEthernet1/0/5
port link-type access
port access vlan 2
#
· 《H3C 無線控製器產品 配置指導》中的“WLAN接入配置指導”。
· 《H3C 無線控製器產品 命令參考》中的“WLAN接入命令參考”。
· 《H3C 無線控製器產品 配置指導》中的“用戶接入與認證配置指導”。
· 《H3C 無線控製器產品 命令參考》中的“用戶接入與認證命令參考”。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
