AC6605_V2R3_Portal_配置指南

AC6605 V2R3 Portal配置指南

2013-08-09

Luwj

文档说明

本文档以AC6605和AP3010DN-AGN为例，介绍了WLAN两种Portal认证场景的配置流程，供数通工程师掌握WLAN Portal认证基本配置。

目录

组网需求 (1)

网络拓扑 (2)

AC6605 V2R3内置Portal服务器 (2)

设备配置 (2)

测试结果 (4)

AC6605 V2R3外置Portal服务器 (9)

设备配置 (9)

TSM服务器配置 (11)

测试结果 (16)

组网需求

某企业部署AC连接出口网关，并通过AC6606与AP连接。通过WLAN部署，提供SSID为huawei-portal的无线网络方便用户随时随地接入。AC作为DHCP服务器为无线用户提供IP 地址并对用户进行集中控制和管理。

由于无线网络开放性的特点，存在安全风险。为了集中管理接入的用户，AC配置Portal认证功能，任何接入的用户访问Internet时，都会重定向到Portal认证的Web页面，用户输入正确的用户名和密码，即可通过认证。

网络拓扑

AC6605 V2R3内置Portal服务器

设备配置

网络配置，VLANIF 88为管理VLAN为AP分配地址，VLANIF 100为业务VLAN为终端分配地址。

[AC6605]dhcp enable

[AC6605]vlan batch 88 100

[AC6605]interface Vlanif 88

[AC6605-Vlanif88]ip address 192.168.88.1 255.255.255.0

[AC6605-Vlanif88]dhcp select interface

[AC6605]interface Vlanif 100

[AC6605-Vlanif100]ip address 192.168.100.1 255.255.255.0

[AC6605-Vlanif100]dhcp select interface

[AC6605-Vlanif100]dhcp server dns-list 218.85.152.99

配置与上行设备通信接口地址，添加一条默认路由，指向USG防火墙

[AC6605]interface Vlanif 1

[AC6605-Vlanif1]ip address 192.168.31.100 255.255.255.0

[AC6605]ip route-static 0.0.0.0 0.0.0.0 192.168.31.1

配置AC与AP相连的端口。

[AC6605]interface GigabitEthernet0/0/11

[AC6605-GigabitEthernet0/0/11]port link-type trunk

[AC6605-GigabitEthernet0/0/11]port trunk pvid vlan 88

[AC6605-GigabitEthernet0/0/11]undo port trunk allow-pass vlan 1

[AC6605-GigabitEthernet0/0/11]port trunk allow-pass vlan 88 100

创建本地用户（登录时候用到）。

[AC6605]aaa

[AC6605-aaa]local-user huawei password cipher Admin@123

配置内置Portal的Server Portal服务器IP地址。推荐指向的IP地址使用LoopBack接口地址。利用LoopBack接口状态稳定的优点，可以避免因为接口故障导致用户无法打开的问题。[AC6605]interface loopback 99

[AC6605-LoopBack99]ip address 192.168.99.1 255.255.255.0

[AC6605]portal local-server ip 192.168.100.1

配置内置Portal 的SSL策略和端口号（默认443已被AC WEB管理占用，不可用）。

[AC6605]portal local-server https ssl-policy default_policy port 2000

Info: Load web file successfully.

配置免认证规则。

[AC6605]portal free-rule 0 destination ip 218.85.152.99 mask 255.255.255.255

配置wlan-ess接口，在wlan-ess接口调用内置Portal与允许的认证域。

[AC6605]interface Wlan-Ess 1

[AC6605-Wlan-Ess1]port hybrid pvid vlan 100

[AC6605-Wlan-Ess1]port hybrid untagged vlan 100

[AC6605-Wlan-Ess1]portal local-server enable

[AC6605-Wlan-Ess1]permit-domain name default

配置AC的源接口，用于AC和AP之间建立隧道通信。

[AC6605]wlan

[AC6605-wlan-view]wlan ac source interface vlanif88

配置AP的认证方式为免认证。

[AC6605-wlan-view]ap-auth-mode no-auth

添加AP。

[AC6605-wlan-view]ap id 0 type-id 31 mac d4b1-10ac-0b00 sn 210235582910D6000354

创建名为“wmm1”的WMM模版，参数采用默认配置。

[AC6605-wlan-view]wmm-profile name wmm1 id 1

创建名为“radio1”的射频模版，绑定WMM模版“wmm1”。

[AC6605-wlan-view]radio-profile name radio1 id 1

[AC6605-wlan-radio-prof-radio1]wmm-profile id 1

创建名为“traffic1”的流量模版，参数采用默认配置。

[AC6605-wlan-view]traffic-profile name traffic1 id 1

创建名为“security1”的安全模版，认证方式为WEP认证，开放认证，不加密。[AC6605-wlan-view]security-profile name security1 id 1

创建名为“service1”的服务集，并绑定流量模版和安全模版，WLAN-ESS接口。[AC6605-wlan-view]service-set name service1 id 1

[AC6605-wlan-service-set-service1]wlan-ess 1

[AC6605-wlan-service-set-service1]ssid huawei-portal

[AC6605-wlan-service-set-service1]traffic-profile id 1

[AC6605-wlan-service-set-service1]security-profile id 1

[AC6605-wlan-service-set-service1]service-vlan 100

配置AP对应的VAP，下发WLAN服务

[AC6605-wlan-view]ap 0 radio 0

[AC6605-wlan-radio-0/0]radio-profile id 1

[AC6605-wlan-radio-0/0]service-set id 1 wlan 1

下发AP的WLAN配置

[AC6605-wlan-view]commit all

测试结果

终端搜索SSID，并连接

测试PING https://www.sodocs.net/doc/4816803944.html,

打开IE，输入https://www.sodocs.net/doc/4816803944.html,

自动跳转到认证页面

可点击右上角中文切换为中文认证页面

输入预先在AC上创建的用户进行登陆

登陆成功够，测试登陆后是否可以正常访问互联网

AC6605 V2R3外置Portal服务器

外置Portal服务器为华为TSM。

TSM服务器地址为192.168.31.209，通过https://192.168.31.209:8443进行WEB管理。

设备配置

网络配置，VLANIF 88为管理VLAN为AP分配地址，VLANIF 100为业务VLAN为终端分配地址。

[AC6605]dhcp enable

[AC6605]vlan batch 88 100

[AC6605]interface Vlanif 88

[AC6605-Vlanif88]ip address 192.168.88.1 255.255.255.0

[AC6605-Vlanif88]dhcp select interface

[AC6605]interface Vlanif 100

[AC6605-Vlanif100]ip address 192.168.100.1 255.255.255.0

[AC6605-Vlanif100]dhcp select interface

[AC6605-Vlanif100]dhcp server dns-list 218.85.152.99

配置与上行设备通信接口地址，添加一条默认路由，指向USG防火墙

[AC6605]interface Vlanif 1

[AC6605-Vlanif1]ip address 192.168.31.100 255.255.255.0

[AC6605]ip route-static 0.0.0.0 0.0.0.0 192.168.31.1

配置AC与AP的端口。

[AC6605]interface GigabitEthernet0/0/11

[AC6605-GigabitEthernet0/0/11]port link-type trunk

[AC6605-GigabitEthernet0/0/11]port trunk pvid vlan 88

[AC6605-GigabitEthernet0/0/11]undo port trunk allow-pass vlan 1

[AC6605-GigabitEthernet0/0/11]port trunk allow-pass vlan 88 100

配置RADIUS服务器模版。

[AC6605]radius-server template portal

[AC6605-radius-portal]radius-server authentication 192.168.31.209 1812

[AC6605-radius-portal]radius-server accounting 192.168.31.209 1813

[AC6605-radius-portal]radius-server shared-key simple huawei123

配置RADIUS授权服务器。

[AC6605]radius-server authorization 192.168.31.209 shared-key simple huawei123 配置认证方案和计费方案。

[AC6605] aaa

[AC6605-aaa]authentication-scheme portal

[AC6605-aaa-authen-portal] authentication-mode radius

[AC6605-aaa]accounting-scheme portal

[AC6605-aaa-accounting-portal] accounting-mode none

配置域。

[AC6605-aaa]domain portal

[AC6605-aaa-domain-portal]radius-server portal

[AC6605-aaa-domain-portal]authentication-scheme portal

[AC6605-aaa-domain-portal]accounting-scheme portal

配置Portal认证服务器。

[AC6605]web-auth-server portal

[AC6605-web-auth-server-portal]server-ip 192.168.31.209

[AC6605-web-auth-server-portal]port 50100

[AC6605-web-auth-server-portal]shared-key simple password

[AC6605-web-auth-server-portal]url https://192.168.31.209:8443/newwebauth

在接口下绑定Portal认证服务器。

[AC6605]interface vlanif 100

[AC6605-Vlanif100]web-auth-server portal direct

配置免认证规则。

[AC6605]portal free-rule 0 destination ip 192.168.31.209 mask 255.255.255.255 [AC6605]portal free-rule 1 destination ip 218.85.152.99 mask 255.255.255.255

建立wlan-ess接口和调用Portal认证服务器与认证域。

[AC6605]interface Wlan-Ess 1

[AC6605-Wlan-Ess1] port hybrid pvid vlan 100

[AC6605-Wlan-Ess1] port hybrid untagged vlan 100

[AC6605-Wlan-Ess1] web-authentication first-mac

[AC6605-Wlan-Ess1] permit-domain name portal

建立ACL，用户认证通过后下发给用户的ACL，可针对用户做不同的访问限制。

[AC6605]acl 3000

[AC6605-acl-adv-3000]rule permit ip

配置AC的源接口，用于AC和AP之间建立隧道通信。

[AC6605]wlan

[AC6605-wlan-view]wlan ac source interface vlanif88

配置AP的认证方式为免认证。

[AC6605-wlan-view]ap-auth-mode no-auth

添加AP。

[AC6605-wlan-view]ap id 0 type-id 31 mac d4b1-10ac-0b00 sn 210235582910D6000354 创建名为“wmm1”的WMM模版，参数采用默认配置。

[AC6605-wlan-view]wmm-profile name wmm1 id 1

创建名为“radio1”的射频模版，绑定WMM模版“wmm1”。

[AC6605-wlan-view]radio-profile name radio1 id 1

[AC6605-wlan-radio-prof-radio1]wmm-profile id 1

创建名为“traffic1”的流量模版，参数采用默认配置。

[AC6605-wlan-view]traffic-profile name traffic1 id 1

创建名为“security1”的安全模版，认证凡是为WEP认证，开放认证，不加密。[AC6605-wlan-view]security-profile name security1 id 1

创建名为“service1”的服务集，并绑定流量模版和安全模版，WLAN-ESS接口。[AC6605-wlan-view]service-set name service1 id 1

[AC6605-wlan-service-set-service1]wlan-ess 1

[AC6605-wlan-service-set-service1]ssid huawei-portal

[AC6605-wlan-service-set-service1]traffic-profile id 1

[AC6605-wlan-service-set-service1]security-profile id 1

[AC6605-wlan-service-set-service1]service-vlan 100

配置AP对应的VAP，下发WLAN服务

[AC6605-wlan-view]ap 0 radio 0

[AC6605-wlan-radio-0/0]radio-profile id 1

[AC6605-wlan-radio-0/0]service-set id 1 wlan 1

下发AP的WLAN配置

[AC6605-wlan-view]commit all

TSM服务器配置

接入控制– RADIUS服务器- 添加RADIUS服务器

接入控制- Portal网关- 添加Portal网关

添加后域

修改后域的授权策略

建立一个“policy”策略

下发一个ACL，针对认证通过后的用户做访问限制

接入控制–授权规则模版–添加一个授权模版名为”ac6605-portal”在Portal网关访问授权规则选择刚才创建好的后域

对创建好的授权规则模板”ac6605-portal”分配

添加整个TSM部门包括子部门

部门管理–部门用户管理- 创建用户，终端认证时候用到的用户

需要勾选”Web”选项，否则默认建立的用户只能用于TSM Agent代理的登陆

测试结果

测试PING https://www.sodocs.net/doc/4816803944.html,

打开IE。输入https://www.sodocs.net/doc/4816803944.html,

自动跳转到认证页面

输入TSM服务器建立好的用户进行登陆

登陆成功后，测试登陆后是否可以正常访问互联网