「网络工程师」华为设备无线环境中的Portal认证

欢迎大家来到IT世界,在知识的湖畔探索吧!

网络拓扑如下

具体配置如下

1.基本IP地址及连通性配置

（1）配置LSW1

[LSW1]vlan batch 12 25 23

interface vlanif12

ip add 10.1.12.2 24

interface vlanif23

ip add 10.1.23.2 24

interface vlanif25

ip add 10.1.25.2 24

quit

interface gig 0/0/1

port link-type access

port default vlan 12

quit

interface gig 0/0/2

port link-type access

port default vlan 23

quit

interface gig0/0/3

port link-type access

port default vlan 25

quit

（2）配置LSW2

[LSW2]vlan batch 23 34

interface vlanif 23

ip add 10.1.23.3 24

quit

interface vlanif 34

ip add 10.1.34.3 24

quit

interface gig 0/0/1

port link-type access

port default vlan 23

quit

interface gig 0/0/2

port link-type trunk

port trunk allow-pass vlan 34 43

interface gig0/0/3

port link-type trunk

port trunk allow-pass vlan 34

port trunk pvid vlan 34

（3）配置AC1

[AC1]vlan batch 34 43

interface vlanif 34

ip add 10.1.34.254 24

quit

interface vlanif 43

ip add 10.1.43.254 24

quit

interface gig 0/0/1

port link-type trunk

port trunk allow-pass vlan 34 43

quit

（4）配置FW1

interface gig 1/0/1

ip add 10.1.12.1 24

quit

interface gig1/0/2

ip add 20.1.1.1 24

quit

（6）配置内网连通性

[FW1]ospf 1

area 0

network 10.1.12.0 0.0.0.255

[LSW1]ospf 1

area 0

network 10.1.12.0 0.0.0.255

network 10.1.23.0 0.0.0.255

network 10.1.25.0 0.0.0.255

[LSW2]ospf 1

area 0

network 10.1.23.0 0.0.0.255

network 10.1.34.0 0.0.0.255

network 10.1.43.0 0.0.0.255

[AC1]ospf 1

area 0

network 10.1.34.0 0.0.0.255

network 10.1.43.0 0.0.0.255

（7）配置访问Internet

[FW1]nat-policy

rule name out

source-zone trust

destination-zone untrust

action source-nat easy-ip

firewall zone trust

add interface g1/0/1

quit

firewall zone untrust

add interface g1/0/2

quit

security-policy

rule name out

source-zone trust

destination-zone untrust

action permit

quit

ip route-static 0.0.0.0 0.0.0.0 20.1.1.2

[LSW2]ip route-static 0.0.0.0 0.0.0.0 10.1.23.2

[LSW1]ip route-static 0.0.0.0 0.0.0.0 10.1.12.1

2.在AC1上配置DHCP功能，为接入用户分配地址

[AC1]dhcp enable

interface Vlanif 34

dhcp select interface

quit

interface Vlanif 43

dhcp select interface

quit

3.配置AP上线

（1）配置域管理模板

[AC1]wlan

regulatory-domain-profile name domain

country-code cn

（2）创建AP组并引用域管理模板

wlan

ap-group name ap-group1

regulatory-domain-profile domain

（3）配置AC源接口

[AC1]capwap source interface Vlanif 34

4.配置AP认证：导入AP，采用默认的mac认证，并将其加入AP组中

[AC1]wlan

ap auth-mode mac-auth

ap-mac 00e0-fc47-5740 ap-id 0

ap-name ap0

ap-group ap-group1

5.配置wlan业务参数

（1）配置安全模板

[AC1]wlan

security-profile name portal_authen

（2）配置ssid模板

[AC1-wlan-view]ssid-profile name portal_authen

[AC1-wlan-ssid-prof-portal_authen]ssid portal_authen

（3）配置vap模板，并引用安全模板和ssid模板

[AC1-wlan-view]vap-profile name portal_authen

forward-mode tunnel

service-vlan vlan-id 43

security-profile portal_authen

ssid-profile portal_authen

（3）配置AP组并引用VAP模板

[AC1-wlan-view]ap-group name ap-group1

vap-profile portal_authen wlan 2 radio 1

vap-profile portal_authen wlan 2 radio 0

（4）检查配置

AC1：display vap ssid portal_authen

6.配置Portal准入控制

（1）创建radius服务器模板

[AC1]radius-server template radius1

radius-server authentication 10.1.25.5 1812

radius-server accounting 10.1.25.5 1813

radius-server shared-key cipher HCIE@2022a

radius-server user-name original

quit

[AC1]radius-server authorization 10.1.25.5 shared-key cipher HCIE@2022a

（2）创建AAA认证模板

[AC1]aaa

authentication-scheme radius1

authentication-mode radius

accounting-scheme radius1

accounting-mode radius

quit

quit

（3）创建URL模板

[AC1]url-template name portal_authen

url http://10.1.25.5:8080/portal

url-parameter ssid ssid redirect-url url

quit

（4）创建web-server模板

[AC1]web-auth-server portal_authen

server-ip 10.1.25.5

port 50200

shared-key cipher HCIE@2022a

url-template portal_authen

quit

（5）允许认证前访问Agile Controller

[AC1]free-rule-template name default_free_rule

free-rule 1 destination ip 10.1.25.5 mask 25

（6）创建MAC接入模板

[AC1]mac-access-profile name mac_acc1

quit

（7）创建Portal接入模板

[AC1]portal-access-profile name portal_access_profile

web-auth-server portal_authen direct

quit

6.创建认证模板，并应用MAC和portal接入模板、认证模板、计费方案模板以及radius服务器模板

[AC1]authentication-profile name macportal_authen_profile

mac-access-profile mac_acc1

free-rule-template default_free_rule

authentication-scheme radius

accounting-scheme radius1

radius-server radius1

7.应用认证模板

[AC1]wlan

vap-profile name portal_authen

authentication-profile macportal_authen_profile

结果验证

8.配置Agile Controller

经验证PC1到AC和外部网络都是畅通的。通过在PC1上访问AC的WEB界面来模拟配置Agile Controller，具体配置如下：

（1）添加AC，实现联动

资源—设备—设备管理—增加：名称为AC1，IP地址为10.1.23.254，选择启用radius；radius认证参数中认证计费秘钥和授权秘钥都是HCIE@2022a；portal认证参数秘钥为HCIE@2022a，选中启用接入设备与portal服务器的心跳，portal服务器IP地址列表为10.1.25.5

（2）在AC1上测试联动

[AC1]test-aaa user1 HCIE@2022a radius-template radius1 pap

（3）添加认证规则：

策略—准入控制—策略元素—ssid—增加：名称为portal_authen。—确定

策略—准入控制—策略元素—动态ACL—增加：基本信息名称为Wireless_portal_authen，增加规则号为10001，目的IP地址为20.1.1.2，掩码长度为32，协议类型为all，控制类型为放行。—确定

继续增加：规则号为10100，目的IP地址为0.0.0.0，掩码长度为0，协议类型为all，控制类型为组织。—确定

策略—准入控制—认证授权—授权结果：名称为wireless_portal，动态ACL选择wireless_portal_authen。—确定

策略—准入控制—认证授权—认证规则—增加：基本信息名称为wireless_portal，用户选择用户，SSID选择portal_authen，请选择允许使用的认证协议中选中全部

策略—准入控制—认证授权—授权规则—增加：基本信息名称为wireless_portal，选择用户组，SSID选择portal_authen，授权结果选择wireless_portal。—确定

（4）定制Web推送页面

配置员工账号：策略—准入控制—访客管理—访客账号策略—增加：输入名称，账号创建方式为自注册，账号名生成策略为账号，密码类型为手工输入密码，访客所属用户组为ROOT\Development，申请方式为免审批，访客通知方式为Web通知（打印）。—确定

策略—准入控制—页面定制—页面定制：选择相应模板，设置页面基本信息—下一步：根据需要设置手机端或PC端推送的认证页面和认证成功页面等。—发布

策略—准入控制—页面定制—Portal页面推送策略—增加：选择名称，选择推送页面，输入url。—确定

（5）启用MAC优先的Portal认证

系统—终端参数配置—全局参数—接入管理参数：在mac优先的Portal认证页面下勾选启用mac优先的Portal认证页面，配置MAC地址有效时间为60分钟

9.结果验证

（1）在终端上输入http://10.1.25.5:8080/portal，会弹出推送的认证页面，输入用户名和密码进行注册和认证，之后才能访问网络

（2）[AC1-]display access-user，[AC1-]display access-user user-id 号

（3）在Agile Controller上：资源—用户—radius日志：查看用户radius认证详细信息

资源—用户—用户在线管理：查看在线radius用户详细信息