1.场景描述
如下图,企业办公无线网络,要求采用Portal
认证实现对无线用户进行统一管理和认证,本案例中没有外置RADIUS
服务器,在WAC380
上使能本地Portal
功能,并配置本地账户和密码认证来达到访问控制的目的。
2.配置过程
首先配置网络互联互通(VLAN
、VLANIF
接口、线路类型、三层地址、PVID
、路由),关于这部分的配置请看前面配置实例,下面主要 在无线控制器WAC380
上做配置。
2.1配置基本网络
# 在WAC380
上创建VLAN、配置虚接口地址
<WAC380> system-view
[WAC380] vlan 4002
[WAC380-vlan4002] quit
[WAC380] interface vlan-interface 4002
[WAC380-Vlan-interface4002] ip address 192.168.253.1 24
[WAC380-Vlan-interface4002] quit
# 在WAC380
上配置DHCP
地址池,为AP
分配地址
(注:无线终端的地址在核心交换机上配置,由核心交换机提供。)
#开启DHCP服务器功能
[WAC380]dhcp enable
#配置地址池vlan4002,分配92.168.253.0/24网段
[WAC380]dhcp server ip-pool vlan4002
[WAC380-dhcp-pool-4002]network 192.168.253.0 mask 255.255.255.0
[WAC380-dhcp-pool-4002]gateway-list 192.168.253.1
[WAC380-dhcp-pool-4002]dns-list 223.5.5.5 223.6.6.6
[WAC380-dhcp-pool-4002]quit
# 配置默认路由
[WAC380]ip route-static 0.0.0.0 0 10.129.254.1
2.2配置无线服务
# 创建无线服务模板10
、配置无线网络名称SSID
为Office
、绑定业务vlan10
、使能服务模板。
[WAC380] wlan service-template 10
[WAC380-wlan-st-10] ssid Office
[WAC380-wlan-st-10] vlan 10
[WAC380-wlan-st-10] service-template enable
[WAC380-wlan-st-10] quit
# 进入AP
视图、绑定序列号,并进入Radio1
视图,在射频配置视图下,将无线服务模板10
绑定到radio 1
,使能射频接口。
[WAC380] wlan ap officeap01 model WAP722S-W2
[WAC380-wlan-ap-officeap01] serial-id 219801A1GW8999E001PP
[WAC380-wlan-ap-office01] radio 1
[WAC380-wlan-ap-officeap01-radio-1] service-template 10
[WAC380-wlan-ap-officeap01-radio-1] radio enable
[WAC380-wlan-ap-officeap01-radio-1]quit
[WAC380-wlan-ap-officeap01]quit
[WAC380]
2.3配置认证域
这里假设没有外置RADIUS
服务器,采用本地账户和密码认证的方式。
# 创建名为mydm1
的ISP
域并进入其视图,分别配置AAA
认证方法、AAA
授权方法为local,配置AAA
计费方法none,最后配置用户闲置切断时间。
[WAC380]domain mydm1
[WAC380-isp-mydm1]authentication portal ?
ldap-scheme Specify LDAP scheme
local Specify local scheme
none Specify none scheme
radius-scheme Specify RADIUS scheme
[WAC380-isp-mydm1]authentication portal local
[WAC380-isp-mydm1]authorization portal local
[WAC380-isp-mydm1]accounting portal none
[WAC380-isp-mydm1]authorization-attribute idle-cut 15 1024
[WAC380-isp-mydm1]quit
[WAC380]
2.4配置Portal认证
# 创建Portal
服务器名为myportal
,设置myportal
的URL
地址,启用漫游功能等,具体如下解释:
[WAC380]portal web-server myportal # 添加一个新的Portal Web服务器,并命名为myportal
New portal web-server added.
[WAC380-portal-websvr-myportal]url http://10.129.254.200/portal # 设置myportal的URL地址
[WAC380-portal-websvr-myportal]quit
[WAC380]
[WAC380]portal local-web-server http # 配置本地Portal Web服务器,使用HTTP协议
[WAC380-portal-local-websvr-http]default-logon-page defaultfile.zip # 设置默认的登录页面为defaultfile.zip
[WAC380-portal-local-websvr-http]quit
[WAC380]
[WAC380]portal roaming enable # 启用Portal漫游功能,允许用户在多个AP之间无缝切换
[WAC380]undo portal refresh arp enable # 禁用Portal的ARP刷新功能,可能为了避免不必要的ARP请求
[WAC380]portal host-check enable # 启用Portal的主机检查功能,用于验证用户设备的合法性
[WAC380]
[WAC380]portal free-rule 1 destination ip any udp 53 # 放行UDP 53(DNS)端口
[WAC380]portal free-rule 2 destination ip any tcp 53 # 放行TCP 53(DNS)端口
[WAC380]
2.5无线服务启用Portal
# 在无线模板上使能直接portal
认证,并引用portal web
服务器myportal
,调用portal
认证域。
[WAC380]wlan service-template 10
[WAC380-wlan-st-10]portal enable method direct
[WAC380-wlan-st-10]
[WAC380-wlan-st-10]portal apply web-server myportal
[WAC380-wlan-st-10]portal domain mydm1
[WAC380-wlan-st-10]quit
[WAC380]
2.6配置本地账户和密码
[WAC380]local-user test class network
New local user added.
[WAC380-luser-network-test]password simple test
[WAC380-luser-network-test]service-type portal # 指定服务类型为portal
[WAC380-luser-network-test]
3.测试
配置完成后,将无线终端连接到Office
网络,然后进行WEB
访问时,弹出如下窗口信息:
输入用户名和密码进行登录。
也可以在无线控制器WAC380
上使用dis portal user all
命令来查看portal
在线用户信息。