更新时间:2023-12-07
1功能简介
信锐无线控制器对接 华为控制器设备做 portal 对接,需要在无线控制器(NAC)上配置对接 portal 客户端的相关信息以及生成认证 URL 并设置参数。本文档中我司控制器设备(NAC)同时做Portal服务器和认证服务器。
2配置步骤
首先保证无线控制器(NAC)与华为控制器互联网络能够通信,其次在无线控制器上【应用中心】->【认证中心】下找到【认证服务】->【Portal服务】用来启动对接外部客户端的Portal服务器以及配置对接客户端的相关参数。
2.1Portal服务器配置
1)第一步:在【认证配置】->【认证服务】->【portal服务】->【服务器参数】配置Portal服务的“协议端口”、“服务通信IP”、“认证页面端口”等参数。
2)第二步:在【认证配置】->【认证服务】->【portal服务】->【WEB认证策略】配置WEB认证策略,且保证参数配置一致。
3)第三步:配置认证类型为“账号认证”。
4)第四步:配置账号认证服务器。
若控制器仅做Portal服务器,不必开启本地认证功能;若控制器同时做portal服务器和认证服务器,则需要开启本地认证功能。若使用本地有用户作为认证服务器则配置如下:
5)第五步:其余配置保持默认即可,最后点击提交。
2.2添加radius客户端
在【认证服务】-【RADIUS服务】中添加raidus客户端,配置上华为控制器的通信IP,共享密钥NAC及华为控制器配置一致即可。
2.3华为配置
2.3.1华为控制器配置
1)第一步:新建portal服务器。
在【安全管理】-【AAA】-【外置Portal 服务】 标签页,新建一个外置portal服务器;填写如下信息,其它默认,如图3.1。
服务器名称
IP地址:填写portal服务器的IP,并点击
共享密钥:与信锐NAC上配置的Portal客户上一致
URL:与信锐NAC上配置的Portal客户上一致
URL选项:勾选重定向URL、SSID、用户IP地址、用户MAC,这四个选项
图3.1
2)第二步:配置Radius服务器模板。
在【安全管理】-【AAA】-【Radius设置】 标签页,新建Radius模板,填写如下,其它默认,如图3.2
模板名称
密钥:与信锐控制器上内置radius的密钥一致
确认密钥:与信锐控制器上内置radius的密钥一致
用户名:选择不包含域名
模式:主备模式
图3.2
3)第三步:配置认证模板。
在【安全管理】-【AAA】-【认证模板】 标签页中点击认证模板列表,在右方点击新建。新建一个名字为Radius的认证模板。
点开认证模板列表中的Radius前面的加号,展开查看各种认证的模板。这里我们需要配置Portal认证。所以需要建立并关联以下几个模板:portal模板、mac接入模板、免认证规则模板、radius模板、认证方案模板
3.1)portal模板
点击Portal认证模板,在右边点击新建。
模板名称:Sundrayportal(名称随意,简单易懂即可)
Porta认证:外置portal服务器
主服务器:(选择我们之前建立的portal服务器)
备服务器:(有则填没有就不填)
认证方式:二层认证
3.2)mac接入模板
点击MAC接入模板,在右边点击新建。
模板名称:SundrayMAC(名称随意,简单易懂即可)
认证用户名形式:MAC地址
MAC地址格式:没有分隔符
设置密码:(直接留空即可)
3.3)免认证规则模板
点击免认证规则模板,在右边点击新建。
模板名称:SundrayMRZ(名称随意,简单易懂即可)
控制方式:免认证规则
在免认证规则列表中新建规则,放通DNS服务器和NAC的地址以及其他需要放通的地址。
规则编号:该规则的优先级(设定后不能修改)
源IP:选择免认证
目的IP:填写需要放通的IP地址以及掩码(如果需要放通的是某个特定IP掩码需要写为32位的掩码)
3.4)radius模板
点击RADIUS模板,在右边下拉菜单选择第二步新建的radius服务器模板即可。
3.5)认证方案模板
点击认证方案模板,在右边点击新建。
模板名称:SundrayRZ(名称随意,简单易懂即可)
第一认证模式:选择RADIUS认证(其他的不需要设置)
2.3.2配置SSID
上面认证的对接就已经配置完成了,接下来需要做的就是将认证模式添加到相应的SSID上,设备直接在AP组上调用相应的模板就可以放出信号。
首先在【AP配置】—【模板管理】—【无线业务】,里面建立一下模板。
1)新建安全模板
点击【业务模板】—【安全模板】,新建一个安全模板。
模板名称:MDT_TEST(名称随意,可以与SSID名称一致)
安全策略:OPEN(由于需要使用portal认证,所以安全策略选择开放)
2)新建SSID模板
点击【业务模板】—【SSID模板】,新建一个SSID模板。
模板名称:MDT_TEST(名称随意,可以与SSID名称一致)
SSID名称:MDT_TEST(此处设置SSID的名字)
其他的参数默认即可,如果需要可进行适当修改。
3)新建VAP模板
点击【业务模板】—【VAP】模板,新建一个VAP模板。
模板名称:MDT_TEST(名称随意,可以与SSID名称一致)
业务VLAN ID:1(设置对应的VLAN ID)
其他参数默认
点开新建的VAP模板——MDT_TEST模板左边的加号关联其他的模板。
主要关联之前设置的安全模板、SSID模板、认证模板
4)将AP组与业务模板关联释放SSID
在【AP配置】-【AP组配置】—【AP 组】里面选择对应的AP组,
进入到组设置里后点击VAP配置,选择右边变得添加按钮添加第四部里面新建的业务模板。
至此处对接配置就已经完成。
3注意事项
1)若连接SSID要主动弹出WEB认证界面,则必须保证控制器可以上网。
2)在对接无线控制器(NAC)时,必须在全局下方通无线控制器(NAC)的IP地址。
3)控制器参数配置两端必须保持一致,否则会导致Portal服务对接失败。
4)华为无线控制器AC-6508,版本:V200R021C00SPC100
按照上述步骤配置好后会出现依旧无法认证成功的情况,具体体现为输入账号点击登录无反应。咨询华为400,说是版本限制,在加上如下命令后即可认证成功。
web-auth-server server-source all-interface