网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.10.0-3.12.0
网络控制器NAC 文档 功能配置 认证配置 信锐控制器portal对接华为
{{sendMatomoQuery("网络控制器NAC","信锐控制器portal对接华为")}}

信锐控制器portal对接华为

更新时间:2023-12-07

1功能简介

信锐无线控制器对接 华为控制器设备做 portal 对接,需要在无线控制器(NAC)上配置对接 portal 客户端的相关信息以及生成认证 URL 并设置参数。本文档中我司控制器设备(NAC)同时做Portal服务器和认证服务器。

2配置步骤

首先保证无线控制器(NAC)与华为控制器互联网络能够通信,其次在无线控制器上【应用中心】->【认证中心】下找到【认证服务】->【Portal服务】用来启动对接外部客户端的Portal服务器以及配置对接客户端的相关参数。

2.1Portal服务器配置

1)第一步:在【认证配置】->【认证服务】->【portal服务】->【服务器参数】配置Portal服务的“协议端口”、“服务通信IP”、“认证页面端口”等参数。

2)第二步:在【认证配置】->【认证服务】->【portal服务】->【WEB认证策略】配置WEB认证策略,且保证参数配置一致。

3)第三步:配置认证类型为“账号认证”。

4)第四步:配置账号认证服务器。

若控制器仅做Portal服务器,不必开启本地认证功能;若控制器同时做portal服务器和认证服务器,则需要开启本地认证功能。若使用本地有用户作为认证服务器则配置如下:

5)第五步:其余配置保持默认即可,最后点击提交。

2.2添加radius客户端

在【认证服务】-【RADIUS服务】中添加raidus客户端,配置上华为控制器的通信IP,共享密钥NAC及华为控制器配置一致即可。

2.3华为配置

2.3.1华为控制器配置

1)第一步:新建portal服务器。

在【安全管理】-【AAA】-【外置Portal 服务】 标签页,新建一个外置portal服务器;填写如下信息,其它默认,如图3.1。

服务器名称

IP地址:填写portal服务器的IP,并点击

共享密钥:与信锐NAC上配置的Portal客户上一致

URL:与信锐NAC上配置的Portal客户上一致

URL选项:勾选重定向URL、SSID、用户IP地址、用户MAC,这四个选项

外置portal

图3.1

2)第二步:配置Radius服务器模板。

在【安全管理】-【AAA】-【Radius设置】 标签页,新建Radius模板,填写如下,其它默认,如图3.2

模板名称

密钥:与信锐控制器上内置radius的密钥一致

确认密钥:与信锐控制器上内置radius的密钥一致

用户名:选择不包含域名

模式:主备模式

TIM截图20170912133333

图3.2

3)第三步:配置认证模板。

在【安全管理】-【AAA】-【认证模板】 标签页中点击认证模板列表,在右方点击新建。新建一个名字为Radius的认证模板。

TIM截图20170912133604

点开认证模板列表中的Radius前面的加号,展开查看各种认证的模板。这里我们需要配置Portal认证。所以需要建立并关联以下几个模板:portal模板、mac接入模板、免认证规则模板、radius模板、认证方案模板

3.1)portal模板

点击Portal认证模板,在右边点击新建。

模板名称:Sundrayportal(名称随意,简单易懂即可)

Porta认证:外置portal服务器

主服务器:(选择我们之前建立的portal服务器)

备服务器:(有则填没有就不填)

认证方式:二层认证

TIM截图20170912133658

3.2)mac接入模板

点击MAC接入模板,在右边点击新建。

模板名称:SundrayMAC(名称随意,简单易懂即可)

认证用户名形式:MAC地址

MAC地址格式:没有分隔符

设置密码:(直接留空即可)

TIM截图20170912133714

3.3)免认证规则模板

点击免认证规则模板,在右边点击新建。

模板名称:SundrayMRZ(名称随意,简单易懂即可)

控制方式:免认证规则

在免认证规则列表中新建规则,放通DNS服务器和NAC的地址以及其他需要放通的地址。

规则编号:该规则的优先级(设定后不能修改)

源IP:选择免认证

目的IP:填写需要放通的IP地址以及掩码(如果需要放通的是某个特定IP掩码需要写为32位的掩码)

TIM截图20170912133726TIM截图20170912134204

3.4)radius模板

点击RADIUS模板,在右边下拉菜单选择第二步新建的radius服务器模板即可。

TIM截图20170912133747

3.5)认证方案模板

点击认证方案模板,在右边点击新建。

模板名称:SundrayRZ(名称随意,简单易懂即可)

第一认证模式:选择RADIUS认证(其他的不需要设置)

TIM截图20170912133801

2.3.2配置SSID

 上面认证的对接就已经配置完成了,接下来需要做的就是将认证模式添加到相应的SSID上,设备直接在AP组上调用相应的模板就可以放出信号。

首先在【AP配置】—【模板管理】—【无线业务】,里面建立一下模板。

1)新建安全模板

点击【业务模板】—【安全模板】,新建一个安全模板。

模板名称:MDT_TEST(名称随意,可以与SSID名称一致)

安全策略:OPEN(由于需要使用portal认证,所以安全策略选择开放)

yewu1

2)新建SSID模板

点击【业务模板】—【SSID模板】,新建一个SSID模板。

模板名称:MDT_TEST(名称随意,可以与SSID名称一致)

SSID名称:MDT_TEST(此处设置SSID的名字)

其他的参数默认即可,如果需要可进行适当修改。

yewu2

3)新建VAP模板

点击【业务模板】—【VAP】模板,新建一个VAP模板。

模板名称:MDT_TEST(名称随意,可以与SSID名称一致)

业务VLAN ID:1(设置对应的VLAN ID)

其他参数默认

yewu3

点开新建的VAP模板——MDT_TEST模板左边的加号关联其他的模板。

主要关联之前设置的安全模板、SSID模板、认证模板

VAP引用1

VAP引用2VAP引用4

4)将AP组与业务模板关联释放SSID

在【AP配置】-【AP组配置】—【AP 组】里面选择对应的AP组,

AP信号发射

进入到组设置里后点击VAP配置,选择右边变得添加按钮添加第四部里面新建的业务模板。

AP信号发射2

AP信号发射3

至此处对接配置就已经完成。

3注意事项

1)若连接SSID要主动弹出WEB认证界面,则必须保证控制器可以上网。

2)在对接无线控制器(NAC)时,必须在全局下方通无线控制器(NAC)的IP地址。

3)控制器参数配置两端必须保持一致,否则会导致Portal服务对接失败。

4)华为无线控制器AC-6508,版本:V200R021C00SPC100

按照上述步骤配置好后会出现依旧无法认证成功的情况,具体体现为输入账号点击登录无反应。咨询华为400,说是版本限制,在加上如下命令后即可认证成功。

web-auth-server server-source all-interface