常见的网络组网环境中,上网行为管理AC(下称AC)接入网络的主干路对内网所有有线终端做上网认证,网络控制器(下称NAC)旁挂在网络主干路上做无线网络的认证。同时需要所有有线用户及无线用户均使用同一套账号密码系统进行认证。
需求描述:实现内网所有用户有线无线统一使用同一套账号密码进行认证。
针对以上需求点,主要有以下两种方案:
1、AC作为radius服务器为NAC提供radius服务
特点:NAC可以通过企业级认证或者开放式+WEB认证对接AC,AC仅作为认证服务器使用。
2、AC作为portal服务器和radius服务器为NAC提供portal服务
特点:NAC需要配置开放式+WEB认证,添加第三方portal服务器的方式对接AC。此时AC为无线用户提供portal页面和认证服务。
1、上网行为管理AC上开启radius服务,AC设备上【接入管理】-【接入认证】-【联动对接设置】-【Radius认证服务器】中启用radius服务,配置端口和密钥。端口使用1812端口,密钥自定义。
2、上网行为管理AC上启用portal服务,【接入管理】-【接入认证】-【联动对接设置】-【控制器对接】-【第三方控制器】新增第三方控制器,协议使用“CMCC1.0”协议,控制器IP填写NAC的通信IP,IP地址字段选择从URL参数获取,填写staip,点击提交。
1、NAC上创建portal服务器。【认证配置】-【认证授权】-【外部服务器】中新增一个portal服务器,认证URL为http://ACIP + AC上的对接URL,(例如AC的ip为192.200.246.99,AC上的对接URL如上图所示,为/cid/8294/portal.html,那么认证URL则为http://192.200.246.99/cid/8294/portal.html),协议选择深信服portal服务器,其他保持默认。
2、NAC上创建外部radius服务器,在【认证授权】-【外部服务器】中创建外部radius服务器,名称任意,IP地址为AC的IP地址,共享密钥保持和AC上设置的一致,采用协议使用PAP。
3、NAC上新建无线网络信号,【认证类型】中认证方式选择“开放式+WEB认证”,认证方式选择“第三方Portal认证”,主portal服务器选择刚创建好的AC portal服务器。认证前角色选择仅放通DNS流量的角色。(可以点击“帮我创建认证前角色”自动创建一个角色,角色名称可以随便设置)。
4、账号认证中选择刚创建好的AC radius服务器
其他vlan设置或权限设定根据组网需求设置即可。
1、AC11.8以上版本才开始支持Portal服务和radius服务。
2、AC作为radius服务器,需要保证NAC到AC的udp 1812端口能正常通信。AC作为 portal服务器时,需要保证NAC到AC的udp 50100,1812端口,TCP 80端口,和AC到NAC的udp 1812端口能正常通信。