最近總接到這樣的咨詢電話��,客戶已經部署了一套華三的無線設備(包括控制器和 AP) �,目前需要做 portal 認證(微信認證) ����,不知道是否可以單獨購買信銳的控制器來滿足認證的需求呢����?
一����、部署網絡拓撲
1��、在測試之前的拓撲中���,測試一直無法彈出 portal 頁面����,原因是當華三的控制器開啟認證后無線用戶與 NAC 控制器之間無法通信�,只有單獨在放通無線終端的 IP 地址后才可以重定向到我們的認證頁面(此時是已經放通了控制器 IP 的)
2��、最后修改網絡架構為全網 vlan1 使用華三的 IMC 協議對接��;
二����、NAC portal 配置截圖
1���、基礎網絡配置
設備以單臂模式部署在客戶網絡中��,h3c 無線控制器和 portal 設備在同一局域網����,華三的無線控制器做集中轉發����,通過 portal 的微信連 WiFi 功能認證��。
2����、配置認證服務器
除 portal 服務器地址外其他參數默認即可��,內置 radius 服務器的密鑰固定為 123456��。
3�、配置 web 認證策略
協議這里需要注意����,默認華三的控制器依然采用的是 CMCC 的 portal2.0 協議����,配置時需要與華三工程師確認修改為 IMC 協議(也可以采用 portal2.0�,也測試過可以通過認證)確保我司 portal 服務器與華三的控制器的端口正常通信����。
三�����、華三配置截圖
1��、web 頁面認證配置步驟(此處與深信服 portal 服務器與 H3C 對接文檔中的截圖類似�����,只是地址不相同而已)
首先新建 radius 認證服務器
配置 AAA:點擊認證->AAA���,填寫域名����,并且應用
點擊認證��,按如下的配置進行配置�,最后點擊應用
點擊認證->portal 認證->新建
選端口名稱選擇之前配置好的 vlan 口 ���,portal 服務器選擇新建 portal 服務器��,認證方式選擇 Direct��,認證域選擇剛才配好的認證域����,填寫新建 portal 服務器信息(服務器 ip 為 portal的 ip)點擊確定
需要注意的是還需要放通固定的一些地址段(如下圖)
1�、portal 服務器的 IP 地址
2����、華三控制器的通信 IP 地址
3���、網關地址���、以及整個認證網段(這樣表示華三無線進行免認證�����,只是重定向 url 即可)
4��、DNS 地址放通
四����、 華三后臺調試命令說明
1����、 接口配置
interface Vlan-interface1
ip address 192.168.0.17 255.255.0.0
portal server WAC method direct
portal domain WAC
2����、指向 URL 配置及對接協議
指向:portal server NAC ip 192.168.0.18 key cipher
$c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525
server-type imc
3�、通免認證的白名單地址
認證網段為 192.168.0.0/16 的網段
白名單:portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255
白名單:portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.0
4�����、RADIUS 認證配置
192.168.0.18 是我司 portal 服務器
radius scheme WAC
server-type extended
primary authentication 192.168.0.18
key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==
user-name-format without-domain
retry stop-accounting 10
5��、域設置配置
domain WAC
authentication portal radius-scheme WAC
authorization portal radius-scheme WAC
access-limit disable
accounting optional
state active
idle-cut enable 15 10000
self-service-url disable
說明:如果不配置 “accounting optional”這條命令就會出現當用戶 portal 認證通過后被設備踢出�,網上查出描述如下
五��、測試后效果
1���、認證通過后的系統狀態截圖
六����、排查問題過程
1���、portal 頁面無法彈出
配置完后終端無法彈出 portal 頁面����,通過抓包確認終端未有任何數據包到 NAC�����,說明華三的無線控制器并沒有重定向 url 成功����;
2���、認證成功后的用戶被踢下����,需要馬上重新認證(反復認證)
a) 我們 NAC 已經認證通過了�����,見 radius accept 包
b) 華三主動發起了踢人動作
從華三設備的 2000 端口(portal 協議通信端口)發到 NAC 的 50100 端口(注銷消息接受端口)
注意:最好是用命令后臺配置����,如果只在頁面配置可能會出現功能不生效的問題�。
