配置MAC优先的Portal认证示例（Web）

操作步骤

1. 配置周边设备
   # 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchA
   [SwitchA] vlan batch 100 101
   [SwitchA] interface gigabitethernet 0/0/1
   [SwitchA-GigabitEthernet0/0/1] port link-type trunk
   [SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
   [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
   [SwitchA-GigabitEthernet0/0/1] port-isolate enable
   [SwitchA-GigabitEthernet0/0/1] quit
   [SwitchA] interface gigabitethernet 0/0/2
   [SwitchA-GigabitEthernet0/0/2] port link-type trunk
   [SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
   [SwitchA-GigabitEthernet0/0/2] quit
   

   # 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，创建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳为Router的缺省路由。

   <HUAWEI> system-view
   [HUAWEI] sysname SwitchB
   [SwitchB] vlan batch 100 to 104
   [SwitchB] interface gigabitethernet 0/0/1
   [SwitchB-GigabitEthernet0/0/1] port link-type trunk
   [SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
   [SwitchB-GigabitEthernet0/0/1] quit
   [SwitchB] interface gigabitethernet 0/0/2
   [SwitchB-GigabitEthernet0/0/2] port link-type trunk
   [SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
   [SwitchB-GigabitEthernet0/0/2] quit
   [SwitchB] interface gigabitethernet 0/0/3
   [SwitchB-GigabitEthernet0/0/3] port link-type trunk
   [SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
   [SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
   [SwitchB-GigabitEthernet0/0/3] quit
   [SwitchB] interface gigabitethernet 0/0/4
   [SwitchB-GigabitEthernet0/0/4] port link-type trunk
   [SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
   [SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
   [SwitchB-GigabitEthernet0/0/4] quit
   [SwitchB] interface vlanif 102
   [SwitchB-Vlanif102] ip address 10.23.102.1 24
   [SwitchB-Vlanif102] quit
   [SwitchB] interface vlanif 103
   [SwitchB-Vlanif103] ip address 10.23.103.2 24
   [SwitchB-Vlanif103] quit
   [SwitchB] interface vlanif 104
   [SwitchB-Vlanif104] ip address 10.23.104.1 24
   [SwitchB-Vlanif104] quit
   [SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
   

   # 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

   <Huawei> system-view
   [Huawei] sysname Router
   [Router] interface gigabitethernet 0/0/1
   [Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
   [Router-GigabitEthernet0/0/1] quit
   [Router] ip route-static 10.23.101.0 24 10.23.104.1
   

2. 配置DHCP服务器为STA分配IP地址
   # 在SwitchB上配置VLANIF101接口为STA提供IP地址。

   DNS服务器地址请根据实际需要配置。常用配置方法如下：

   • 接口地址池场景，需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。
   • 全局地址池场景，需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。

   [SwitchB] dhcp enable
   [SwitchB] interface vlanif 101
   [SwitchB-Vlanif101] ip address 10.23.101.1 24
   [SwitchB-Vlanif101] dhcp select interface
   [SwitchB-Vlanif101] quit

3. 配置AC系统参数
   1. 配置AC基本参数。

      # 单击“配置 > 配置向导 > AC”，进入“AC基本配置”页面。

      # “所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。

      
      
      

      # 单击页面下方的“下一步”，进入“端口配置”页面。

   2. 配置端口。
      # 选择接口“GigabitEthernet0/0/1”，展开“批量修改”，选择“接口类型”为“Trunk”，将“GigabitEthernet0/0/1”加入VLAN100（管理VLAN）和VLAN102。

      如果AC直接连接AP，需要在AC直连AP的接口上配置缺省VLAN为管理VLAN100。

      
      
      

      # 单击“应用”，在弹出的提示对话框中单击“确定”，完成配置。

      # 单击“下一步”，进入“网络互联配置”页面。

   3. 配置网络互联。

      # 单击“接口配置”下的“新建”，进入“新建接口配置”页面。

      # 配置接口VLANIF100的IP地址为10.23.100.1/24，“DHCP状态”为“ON”，“DHCP类型”为“接口地址池”。

      DNS服务器地址请根据实际需要配置。
      
      
      

      # 单击“确定”，完成VLANIF100接口地址池的配置。

      # 以同样的方式配置虚拟接口VLANIF102的IP地址为10.23.102.2/24。

      # 单击“静态路由表”下的“新建”，进入“新建静态路由表”页面。

      # 配置“目的IP地址”为“10.23.103.0”，“子网掩码”为“24(255.255.255.0)”，“下一跳”为“10.23.102.1”。
      
      

      # 单击“确定”，完成静态路由表的配置。

      # 单击“下一步”。

      # 单击“下一步”，进入“AC源地址”页面。

   4. 配置AC源地址。

      # “AC源地址”选择“VLANIF”，单击选择按钮，选择“Vlanif100”。
      
      

      # 单击“下一步”，进入“配置确认”页面。

   5. 配置确认。

      # 确认配置，单击“完成并继续AP上线配置”。

4. 配置AP上线
   1. 配置AP上线。

      # 单击“批量导入”，进入“批量导入”页面。单击，下载批量添加AP模板文件到本地。

      
      
      
      # 在AP模板文件中填写AP信息，示例如下。如需添加多个AP，可以参照该示例在AP模板文件中填写多条AP信息。

      • AP MAC地址：60de-4476-e360
      • AP SN：210235419610CB002287
      • AP名称：area_1
      • AP组：ap-group1

      • 当选择“AP认证方式”为“MAC认证”时，AP MAC地址为必填项，AP SN可不填。
      • 当选择“AP认证方式”为“SN认证”时，AP SN为必填项，AP MAC地址可不填。

      建议使用网络规划工具WLAN Planner将规划好的射频ID、AP信道、频宽、功率导出成.csv格式的表格，将表格中的这些信息填写到AP文件模板中，经度和纬度请根据实际情况配置。

      # 单击“导入AP文件”后的，选择填写后的模板文件，单击“导入”。

      # 导入完成后，页面显示导入结果信息，单击“确定”，完成添加。

      # 单击“下一步”，进入“AP分组”页面。

      # AP模板文件中已添加AP组信息，直接单击“下一步”，进入“配置确认”页面。

   2. 配置确认。

      # 确认配置，单击“完成并继续无线业务配置”。

5. 配置WLAN业务
   1. # 单击“新建”，进入“基本信息”页面。
   2. # 配置SSID名称、转发模式、业务VLAN ID等信息。
      
      
   3. # 单击“下一步”，进入“安全认证”页面。
   4. # 配置“安全配置”为Portal认证，勾选“MAC优先外置Portal”，并配置外置Portal服务器和外置Radius服务器的相关参数。
      
      
   5. # 单击“下一步”，进入“接入控制”页面。
   6. # 选择“绑定AP组”为“ap-group1”。
   7. # 单击“完成”。
6. 配置MAC地址格式
   1. # 依次单击“配置 > AP配置 > AP组配置 > VAP配置”，单击“VAP配置”前的，单击名为“wlan-net”的VAP模板前的，单击认证模板前的，单击名为“wlan-net”的“MAC接入模板”，进入MAC接入模板参数配置页面。
   2. # 配置MAC认证的“认证用户名形式”为“MAC地址”，“MAC地址格式”为“有分隔符“-””。

      
      
      

   3. # 单击“应用”，系统弹出“提示”对话框，单击“确定”，完成配置。
7. 配置深澜Srun4000服务器计费管理系统

   在配置之前，需要在安装服务器的Linux系统下添加出口网关为10.23.103.1，目的网段为10.23.100.1/24的路由。

   1. 登录深澜Srun4000服务器计费管理系统。

      # 在浏览器中输入计费管理系统的访问地址，地址格式为http://serverip:8081，其中serverip是深澜Srun4000服务器的IP地址。

      # 在登录页面中，输入用户名和密码进行登录。缺省情况下，计费管理系统的用户名为admin，密码为admin。

   2. 添加AC设备，使深澜Srun4000可以和AC联动。

      # 依次选择“向导&调试 > IPOE向导”，单击“添加AC设备”，进入“添加设备”页面。

      # 设置“设备名称”为“AC6605”，“NAS IP”为AC的IP地址“10.23.102.2”，“我们的IP”为深澜Srun4000服务器的IP地址“10.23.103.1”，“NAS类型”为“华为 AC”，“DM端口”为控制用户离线端口“3799”，“RADIUS密钥”为“huawei@123”，“Portal协议”为“华三，华为（h3c v1.2）”，“Portal密钥”为“Huawei123”，其余参数使用缺省配置即可。
      
      

      # 单击“保存”，在弹出的对话框中单击“确定”，进入“设备管理”页面。在深澜Srun4000服务器上添加的每个设备对应的url是不同的，设备添加后在这个页面中可以看到Portal重定向的信息，根据此信息在AC上配置相应的url。
      
      

   3. 添加RADIUS信任。

      # 在“IPOE向导”页面单击“添加RADIUS信任”，进入“Radius信任设置”页面。

      # 单击页面右上角的“生成”，系统弹出当前配置文件将被清空并生成新配置文件的对话框，单击“确定”，系统弹出重启radiusd服务的对话框，再单击“确定”。

   4. 重启radiusd服务。

      此处介绍通过putty软件以SSH方式登录深澜Srun4000服务器后台。

      # 在putty软件界面输入深澜Srun4000服务器的IP地址，选择协议类型为SSH。

      
      
      
      # 单击“Open”，在登录界面以安装Srun4000服务器的Linux系统的root用户登录Srun4000服务器后台。

      login as:root
      root@10.23.103.1's password:
      

      # 执行命令killall radiusd，停止radiusd进程，监护进程会自动重启radiusd服务。

      [root@CentOS ~]# killall radiusd
      

8. 配置深澜Srun4000服务器用户后台管理系统
   1. 登录深澜Srun4000服务器用户后台管理系统。

      # 在浏览器中输入用户后台管理系统的访问地址，地址格式为https://serverip:8080，其中serverip是深澜Srun4000服务器的IP地址。

      # 在登录页面中，输入用户名和密码进行登录。缺省情况下，用户后台管理系统的用户名为srun，密码为123456。

   2. 添加控制策略。

      # 依次选择“策略管理 > 控制策略”，单击“添加”，进入控制策略配置页面。

      # 设置“控制策略”为“huawei”，“是否MAC认证(无感知认证)”为“是”，“MAC认证有效期(无感知认证有效时间)”为“1”，其余参数使用缺省配置即可，单击“保存”。
      
      

   3. 添加计费策略。

      # 依次选择“策略管理 > 计费策略”，单击“添加”，进入计费策略配置页面。

      # 设置“计费策略”为“huawei”，并设置“计费模式”，其余参数使用缺省配置即可，单击“保存”。AC与深澜Srun4000对接实现MAC优先的Portal认证时，计费方案为可选配置，所以本例中可以配置为不计费，即费率为“0”。

      
      
      

      AC上的计费方案为可选配置。

   4. 添加产品策略。

      # 依次选择“策略管理 > 产品策略”，单击“添加”，进入产品策略配置页面。

      # 配置“产品名称”为“huawei”，“计费模式”选择“huawei”，“控制策略”选择“huawei”，其余参数使用缺省配置即可，单击“保存”。
      
      

   5. 创建组织结构。

      # 依次选择“系统设置 > 权限管理 > 组织结构”，进入组织结构配置页面。

      # 单击根目录右侧的，将新建的节点命名为“huawei”，单击“保存更改的数据”，在弹出的对话框中单击“确定”。

      
      
      

   6. 添加接入用户。

      # 依次选择“用户管理 > 添加用户”，进入用户配置页面。

      # 配置“账号”为“huawei”，“密码”为“huawei123”，选择组“huawei”，选择“产品”为“huawei”，其余参数使用缺省配置即可，单击“保存”。

      
      
      

9. 检查配置结果

   • 完成配置后，STA可以搜索到SSID为wlan-net的无线网络。

   • STA关联到无线网络上后，能够被分配相应的IP地址。
   • STA上打开浏览器访问网络时，会自动跳转到外置Portal服务器提供的认证页面，在页面上输入正确的用户名和密码后，STA认证成功并可以正常访问网络。
   • 认证通过后，在AC上选择“监控 > 用户”，可以看到员工的在线信息。
   • 服务器配置的MAC地址有效时间为60分钟。用户认证通过后超过60分钟，重新连接无线网络时，会被重定向到Portal认证页面。