对控制器有线认证主要适用于对经过控制器的有线用户做认证,实现对有线用户的流量和上网行为统一管控的场景,比如:
1、控制器对内网有线用户做统一认证和管理
2、同时存在信锐无线设备和友商无线设备,需要信锐无线控制器对友商设备的无线做认证
控制器做有线认证时,有线用户的流量必须要经过控制器,才能由控制器控制用户上网流量是否可放通。若控制器旁挂时,也需要通过网关、路由等让用户所有上网流量必须在控制器绕一圈出去上网。
Web认证效果:终端接入有线网络后,访问认证网站跳转认证页面,认证完后可正常上网。
IP认证效果:终端接入有线网络后可以正常上网,在线用户中可看到用户信息。
2.1.1网络拓扑
控制器eth2做有线认证,对有线终端进行认证。
2.1.2NAC上配置
1.【认证配置】->【认证服务】->【portal服务】->【web认证策略】新增web认证策略。
认证类型选择账号认证
账号认证服务器选择配置好的认证服务器
权限设定选择认证通过后分配的用户角色
2)认证接口配置
在控制器的对应接口上开启有线认证,【认证配置】->【有线认证】->【控制器有线认证】选择区域1,绑定好需要认证的接口。
【认证配置】->【有线认证】->【控制器有线认证】->【认证策略】中新增有线用户认证策略,配置有线认证接口区域和需要进行认证的终端IP地址。
认证类型中选择配置好的认证策略
排除网关地址免认证
2.2.1网络拓扑
控制器eth2做有线认证,对有线终端进行认证。
2.2.2NAC配置
认证接口配置,在控制器的对应接口上开启有线认证,【认证配置】->【有线认证】->【控制器有线认证】选择区域1,绑定好需要认证的接口
【认证配置】->【控制器有线认证】->【认证策略】中新增有线用户认证策略,配置有线认证接口区域和需要进行认证的终端IP地址。
认证类型选择IP认证
选择有线用户分配角色
排除网关地址免认证
2.3.1网络拓扑
控制器eth2做有线认证,对有线终端进行认证,第三方portal服务器IP:192.200.246.109。
2.3.2NAC上配置
【认证配置】->【认证授权】->【外部服务器】上新增portal服务器,url参数和服务器保持一致
【认证配置】->【认证授权】->【外部服务器】上新增radius服务器做认证
【认证配置】->【有线认证】->【控制器有线认证】->【接口区域】选择认证接口eth2
【认证配置】->【有线认证】->【控制器有线认证】新增有线认证策略应用接口区域
认证类型选择web认证,方式选择使用外部portal服务器认证,portal服务器选择新增的portal服务器,认证前角色选择一个只允许dns的安全角色。
账号认证服务器选择创建的radius服务器
选择认证后的正常用户角色
排除网关地址免认证
1、终端的网关需要添加至免认证排除地址中。
2、测试 web 认证时,需要终端获取的 IP 地址段能正常访问 dns,终端在 dns 回报后才能正 常跳转认证界面。
3、对接第三方 portal 服务器做认证时,在认证前需要放通 dns、portal 和 radius 服务器 IP 地址。