如下圖所示,某大型企業網絡中存在大量無線終端(STA),其中:企業辦公樓的前台大廳部署SSID為“guest”的無線網絡,為來訪的客戶提供無線網絡接入;辦公區域部署SSID為“employee”的無線網絡,為企業員工提供無線網絡接入。
為保證網絡安全,企業需要部署一套身份認證系統,對所有通過無線接入企業網絡的人員進行準入控制,確定隻有合法使用者才能接入網絡。由于無線終端較多且流動性較大,管理者決定在位于三層網絡的AC上部署Portal認證以對使用者進行接入控制,要求
- 使用者認證成功前僅能通路公共伺服器區(例如Portal伺服器、RADIUS伺服器和DNS伺服器)。
- 使用者認證成功後能夠通路企業内部網絡(例如客戶問題處理系統)。
- 實作在一定的時間内(如:60分鐘)使用者因位置移動而反複進入、離開無線信号覆寫區域時,不需要重新輸入使用者名和密碼進行認證。
MAC優先的Portal認證組網圖
配置思路
采用如下的思路配置網絡的Portal認證:
- 配置RADIUS認證參數。
- 配置Portal伺服器模闆。
- 配置Portal接入模闆,管理Portal接入控制參數。
- 配置MAC接入模闆,用于MAC優先的Portal認證。
- 配置免認證規則模闆,實作AC放行通路DNS伺服器的封包。
- 配置ACL,實作為認證通過後的使用者能夠通路客戶問題處理系統。
- 配置認證模闆,管理NAC認證的相關配置。
資料規劃
| 配置項 | 資料 |
| RADIUS認證參數 | RADIUS認證方案名稱:radius_huawei RADIUS計費方案名稱:scheme1 RADIUS伺服器模闆名稱:radius_huawei,其中:
|
| Portal伺服器模闆 |
|
| Portal接入模闆 |
|
| MAC接入模闆 | 名稱:mac1 |
| 免認證規則模闆 |
|
| 認證模闆 | ·名稱:p1 綁定的模闆和認證方案:
|
| VAP模闆 | 名稱:guest
|
名稱:employee
| |
| ACL |
|
操作步驟
前置條件:已完成wlan網絡基礎配置
1. 配置RADIUS伺服器模闆、RADIUS認證方案和RADIUS計費方案
# 配置RADIUS伺服器模闆。
[AC] radius-server template radius_huawei
[AC-radius-radius_huawei] radius-server authentication 172.16.1.1 1812
[AC-radius-radius_huawei] radius-server accounting 172.16.1.1 1813
[AC-radius-radius_huawei] radius-server shared-key cipher Example@123
[AC-radius-radius_huawei] quit
# 配置RADIUS方式的認證方案。
[AC] aaa
[AC-aaa] authentication-scheme radius_huawei
[AC-aaa-authen-radius_huawei] authentication-mode radius
[AC-aaa-authen-radius_huawei] quit
[AC-aaa] quit
# 配置RADIUS方式的計費方案。
[AC-aaa] accounting-scheme scheme1
[AC-aaa-accounting-scheme1] accounting-mode radius
[AC-aaa-accounting-scheme1] accounting realtime 15
[AC-aaa-accounting-scheme1] quit
[AC-aaa] quit
說明:
- 計費功能并非真實意義上的計算費用,而是通過計費封包維護終端的線上資訊。
- 實時計費間隔的取值對裝置和RADIUS伺服器的性能有要求,實時計費間隔的取值越小,對裝置和RADIUS伺服器的性能要求就越高。需要根據使用者數設定實時計費間隔。
2. 配置Portal伺服器模闆
[AC] web-auth-server server-source all-interface //華為AC V200R021C00以及之後的版本,必須使用web-auth-server server-source或server-source指令配置裝置可以接收和響應Portal伺服器封包的本機網關位址,才能正常使用Portal對接功能。
[AC] web-auth-server abc
[AC-web-auth-server-abc] server-ip 172.16.1.1
[AC-web-auth-server-abc] shared-key cipher Admin@123
[AC-web-auth-server-abc] port 50200
[AC-web-auth-server-abc] url https://172.16.1.1:8445/portal
[AC-web-auth-server-abc] quit
3. 配置ACL3001,使認證通過後的使用者能夠通路客戶問題處理系統
[AC] acl 3001
[AC-acl-adv-3001] rule 5 permit ip destination 172.16.3.0 0.0.0.255
[AC-acl-adv-3001] quit
本舉例使用遠端伺服器授權,伺服器上需要配置為認證成功後的使用者授權ACL3001。
4. 配置Portal接入模闆“portal1”
[AC] portal-access-profile name portal1
[AC-portal-access-profile-portal1] web-auth-server abc direct
[AC-portal-access-profile-portal1] quit
5. 配置MAC接入模闆,用于MAC優先的Portal認證
[AC] mac-access-profile name mac1
[AC-mac-access-profile-mac1] quit
6. 配置免認證規則模闆
[AC] free-rule-template name default_free_rule
[AC-free-rule-default_free_rule] free-rule 1 destination ip 172.16.1.2 mask 24
[AC-free-rule-default_free_rule] quit
7. 配置認證模闆“p1”,并啟用MAC優先的Portal認證
[AC] authentication-profile name p1
[AC-authentication-profile-p1] portal-access-profile portal1
[AC-authentication-profile-p1] mac-access-profile mac1
[AC-authentication-profile-p1] free-rule-template default_free_rule
[AC-authentication-profile-p1] authentication-scheme radius_huawei
[AC-authentication-profile-p1] radius-server radius_huawei
[AC-authentication-profile-p1] quit
8. 配置WLAN業務參數
# 建立名為“wlan-security”的安全模闆,并配置安全政策。
[AC] wlan
[AC-wlan-view] security-profile name wlan-security
[AC-wlan-sec-prof-wlan-security] security open
[AC-wlan-sec-prof-wlan-security] quit
# 在名為“guest”和“employee”的VAP模闆,引用安全模闆和認證模闆。
[AC-wlan-view] vap-profile name guest
[AC-wlan-vap-prof-guest] security-profile wlan-security
[AC-wlan-vap-prof-guest] authentication-profile p1
[AC-wlan-vap-prof-guest] quit
[AC-wlan-view] vap-profile name employee
[AC-wlan-vap-prof-employee] security-profile wlan-security
[AC-wlan-vap-prof-employee] authentication-profile p1
[AC-wlan-vap-prof-employee] quit
9. 驗證配置結果
- STA上打開浏覽器通路網絡時,會自動跳轉到外置Portal伺服器提供的認證頁面,在頁面上輸入正确的使用者名和密碼後,STA認證成功并可以通路客戶問題處理系統。
- 假設伺服器配置的MAC位址有效時間為60分鐘。使用者斷開無線網絡5分鐘,重新連接配接無線網絡時,可以直接通路;使用者斷開無線網絡65分鐘,重新連接配接無線網絡時,會被重定向到Portal認證頁面。
![阿裡雲centos配置java開發環境[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)