信锐控制器对接锐捷控制器设备做 portal 对接,需要在控制器(NAC)上配置对接 portal 客户端的相关信息以及生成认证 URL 并设置参数。本文档中我司控制器设备(NAC)做Portal服务器及认证服务器。
首先保证控制器(NAC)与锐捷控制器互联网络能够通信,其次在控制器上【认证配置】->【认证服务】->【Portal服务】启动对接外部客户端的Portal服务器以及配置对接客户端的相关参数,再到【认证服务】->【RADIUS服务】下配置radius客户端。
1)第一步:配置Portal服务的“协议端口”、“服务通信IP”、“认证页面端口”等参数。
2)第二步:配置WEB认证策略,且保证参数配置一致。
3)第三步:配置认证类型为“账号认证”。
4)第四步:配置账号认证方式:
• 开启本地认证
• 配置服务器选择本地用户
5)第五步:其余配置保持默认即可,最后点击提交。
在【认证服务】-【RADIUS服务】中添加raidus客户端,配置上锐捷控制器的通信IP,共享密钥NAC及锐捷控制器配置一致即可。
2.3.1Web界面配置
1)第一步:创建SSID。
2)第二步:配置Portal服务相关参数。
服务器IP地址 填写 wac配置的portal服务器通信IP
重定向主页 填写 wac中web认证策略生成的url地址
要勾选开启认证 -->> 勾选刚才配置的无线网络
3)第二步:配置高级设置。
2.3.2CLI配置
附:以下内容均为“锐捷WLAN产品实施一本通”中配置步骤。
1)第一步:配置Portal服务器模板。
Ruijie(config)#web-auth template eportalv2 v2 (配置模板)
Ruijie(config.tmplt.CMCC)#ip 192.168.100.100 (配置portal服务器ip地址)
Ruijie(config.tmplt.CMCC)# url http://192.168.100.100/?url_id=1668357 (配置portal重定向页面)
2)第二步:开启AAA认证。
Ruijie(config)#aaa new-model (开启AAA功能)
Ruijie(config)#radius-server host 192.168.100.100 acct-port 1813 auth-port 1812 key ruijie (配置radius服务器,包括ip、计费端口、认证端口、key,要求与服务器端保持一致)
3)第三步:配置AAA认证。并关联Radius服务器
Ruijie(config)#aaa group server radius eportalv2 (配置AAA认证组)
Ruijie(config-gs-radius)#server 192.168.100.100 (添加radius服务器,注意计费端口和认证端口,为配置情况下,计费端口为1813,认证端口为1812)
4)第四步:配置WEB认证/计费的方法列表,与对应的AAA认证组名关联
Ruijie(config)#aaa accounting network eportalv2 start-stop group eportalv2 (配置计费方法列表)
Ruijie(config)#aaa authentication web-auth eportalv2 group eportalv2 (配置认证方法列表)
5)第五步:配置MAB认证/计费的方法列表,与对应的AAA认证组名关联
Ruijie(config)#aaa accounting network MAB start-stop group eportalv2 (配置计费方法列表)
Ruijie(config)#aaa authentication dot1x MAB group eportalv2 (配置认证方法列表)
6)第六步:在WLAN上应用Web认证
Ruijie(config)# wlansec 101
Ruijie(config-wlansec)#web-auth portal eportalv2 (wlan接口下指定portal模板)
Ruijie(config-wlansec)#web-auth accounting v2 eportalv2 (wlan接口下指定计费方法列表)
Ruijie(config-wlansec)#web-auth authentication v2 eportalv2 (wlan接口下指定认证方法列表)
Ruijie(config-wlansec)#webauth (开启web认证功能)
Ruijie(config-wlansec)#dot1x authentication MAB (wlan接口下指定认证方法列表)
Ruijie(config-wlansec)# dot1x accounting MAB (wlan接口下指定计费方法列表)
Ruijie(config-wlansec)#dot1x-mab (开启MAB认证功能)
1)第一步:终端首次认证。
Sta接入wlan,弹出认证页面,输入用户名密码,完成认证;
2)第二步:终端非首次认证
漫游:终端在漫游时间内,再次接入,直接免认证上线;(不发radius报文到radius服务器)
非漫游:终端在非漫游时间内,再次接入,发送radius报文到radius服务器;若radius服务器返回radius accept报文,则终端免认证上线;若radius服务器返回radius reject报文,则终端弹出认证页面,需要再次认证,才能认证成功上线;
1)无线控制器(NAC)的协议类型必须是Ruijie
2)Ruijie CLI配置Portal服务器模板时无需配置fmt,默认情况下为Ruijie格式。
3)MAB认证为1X认证的一种,因此此处配置认证方法列表,使用关键字“dot1x”;由于web认证和mab认证的服务器为同一个,因此配置计费/认证方法列表时,使用的AAA认证组和WEB认证所使用的AAA组相同。
4)wlan接口下指定的认证/计费方法列表只对该wlan生效,也可在全局下认证/计费方法列表,当wlan接口下未配置时,则使用全局配置的认证/计费方法列表。