AC双链路备份环境的无线Portal接入
无线网络采用AC双链路备份,提高网络的可靠性。
需求分析
由于所有员工通过无线网络办公,故考虑采用Agile Controller-Campus的Portal准入控制方案,通过在AC上配置ACL规则实现对用户的访问权限控制。
- AC采用双链路备份方式部署,AC1与AC2之间通过HSB链路进行主备配置,保障WLAN业务可靠性。
- 用户数据流采用直接转发方式,避免大量用户数据影响AC的性能,保障网络可靠性。
VLAN规划
VLAN ID |
用途 |
|---|---|
100 |
AP的管理VLAN |
101 |
员工的业务VLAN |
102 |
访客的业务VLAN |
103 |
汇聚交换机和核心交换机之间的通信VLAN |
104 |
核心交换机与服务器间通信的VLAN |
105 |
两台AC的备份VLAN |
网络数据规划
项目 |
编号 |
接口号 |
所属VLAN |
IP地址 |
说明 |
|
|---|---|---|---|---|---|---|
接入交换机S2750EI |
(1) |
GE0/0/1 |
100 101 |
- |
连接AP |
|
(2) |
GE0/0/2 |
100 101 102 |
- |
连接汇聚交换机S5720HI |
||
(3) |
GE0/0/3 |
100 102 |
- |
连接AP |
||
汇聚交换机SS5720HI |
(4) |
GE0/0/1 |
100 101 102 |
VLANIF100:172.18.10.3/16 VLANIF101:172.19.10.1/16 VLANIF102:172.20.10.1/16 |
连接接入交换机S2750EI VLANIF100是AP网关 VLANIF101是员工网关 VLANIF102是访客网关 |
|
(5) |
GE0/0/2 |
100 105 |
- |
连接AC1 |
||
(6) |
GE0/0/3 |
100 105 |
- |
连接AC2 |
||
(7) |
GE0/0/4 |
103 |
VLANIF103:172.21.10.1/24 |
连接核心交换机S7700 |
||
AC1 |
(8) |
GE0/0/1 |
100 105 |
VLANIF100:172.18.10.1/24 VLANIF105:10.10.11.1/24 |
连接S5720HI |
|
AC2 |
(9) |
GE0/0/1 |
100 105 |
VLANIF100:172.18.10.2/24 VLANIF105:10.10.11.2/24 |
连接S5720HI |
|
核心交换机S7700 |
(10) |
GE1/0/1 |
103 |
172.21.10.2/24 |
连接S5720HI |
|
(11) |
GE1/0/2 |
104 |
172.22.10.1 |
服务器区网关 |
||
服务器 |
SM+SC1(RADIUS服务器+Portal服务器) |
172.22.10.2 |
- |
|||
SC2(RADIUS服务器+Portal服务器) |
172.22.10.3 |
- |
||||
DNS服务器 |
172.22.10.4 |
- |
||||
公司内网服务器 |
172.22.10.5 |
- |
||||
业务数据规划
项目 |
数据 |
说明 |
|---|---|---|
AC |
员工认证后域ACL编号:3001 SSID:employee |
在Agile Controller-Campus中设置授权规则和授权结果时需要用到。 |
访客认证后域ACL编号:3002 SSID:guest |
在Agile Controller-Campus中设置授权规则和授权结果时需要用到。 |
|
认证服务器:
|
|
|
计费服务器:
|
||
授权服务器:
|
||
Portal服务器:
|
- |
|
Agile Controller-Campus |
认证端口:1812 |
- |
计费端口:1813 |
- |
|
RADIUS共享密钥:Admin@123 |
必须与AC上配置的一致 |
|
Portal服务器接收报文的端口:50200 |
- |
|
Portal共享密钥:Admin@123 |
必须与AC上配置的Portal认证共享密钥一致 |
|
部门:员工
部门:Guest
|
Agile Controller-Campus中已经创建部门“员工”,并且已经创建了员工帐号tony和访客帐号susan。 |
|
认证前域 |
SM+SC1(RADIUS服务器+Portal服务器)、SC2(RADIUS服务器+Portal服务器)、DNS服务器 |
- |
员工认证后域 |
公司内网服务器和Internet |
- |
访客认证后域 |
Internet |
- |
配置思路
- 配置接入交换机、汇聚交换机和AC,保证网络互通。
- 在AC上配置RADIUS服务器认证、计费和授权模板,并配置Portal服务器地址,以便AC能够与RADIUS服务器和Portal服务器联动。
- 配置AC的双链路备份,保证WLAN业务可靠性。
- 在业务管理器中添加AC,并配置参数,保证Agile Controller-Campus能与AC正常联动。
- 增加授权结果和授权规则,对员工认证成功后授予访问控制权限。
操作步骤
- 【设备】配置接入交换机S2750EI,保证网络互通。
<HUAWEI> system-view [HUAWEI] sysname S2700 [S2700] vlan batch 100 101 102 //创建VLAN100、VLAN101和VLAN102 [S2700] interface gigabitethernet 0/0/1 //连接AP0的接口 [S2700-GigabitEthernet0/0/1] port link-type trunk //修改接口gigabitethernet0/0/1的链路类型为trunk [S2700-GigabitEthernet0/0/1] port trunk pvid vlan 100 //设置接口gigabitethernet0/0/1的缺省VLAN为VLAN100 [S2700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102 //把接口gigabitethernet0/0/1加入VLAN100、VLAN101和VLAN102 [S2700-GigabitEthernet0/0/1] quit [S2700] interface gigabitethernet 0/0/2 //连接汇聚交换机的接口 [S2700-GigabitEthernet0/0/2] port link-type trunk //修改接口gigabitethernet0/0/2的链路类型为trunk [S2700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101 102 //把接口gigabitethernet0/0/2加入VLAN100、VLAN101和VLAN102 [S2700-GigabitEthernet0/0/2] quit [S2700] interface gigabitethernet 0/0/3 //连接AP1的接口 [S2700-GigabitEthernet0/0/3] port link-type trunk //修改接口gigabitethernet0/0/3的链路类型为trunk [S2700-GigabitEthernet0/0/3] port trunk pvid vlan 100 //设置接口gigabitethernet0/0/3的缺省VLAN为VLAN100 [S2700-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 101 102 //把接口gigabitethernet0/0/3加入VLAN100、VLAN101和VLAN102 [S2700-GigabitEthernet0/0/3] quit [S2700] quit <S2700> save //保存配置
- 【设备】配置汇聚交换机S5720HI,保证网络互通。
<HUAWEI> system-view [HUAWEI] sysname S5700 [S5700] vlan batch 100 101 102 105 //创建VLAN100、VLAN101、VLAN102和VLAN105 [S5700] interface vlanif 100 //进入VLANIF100接口视图 [S5700-Vlanif100] ip address 172.18.10.3 16 //为VLANIF100接口配置IP地址,作为AP网关 [S5700-Vlanif100] dhcp select interface [S5700-Vlanif100] dhcp server excluded-ip-address 172.18.10.1 172.18.10.2 //在DHCP地址池中去掉已经被占用的IP地址 [S5700-Vlanif100] quit [S5700] interface vlanif 101 //进入VLANIF101接口视图 [S5700-Vlanif101] ip address 172.19.10.1 16 //为VLANIF101接口配置IP地址,作为员工网关 [S5700-Vlanif101] dhcp select interface [S5700-Vlanif101] dhcp server dns-list 172.22.10.4 //配置DNS服务器地址 [S5700-Vlanif101] quit [S5700] interface vlanif 102 //进入VLANIF102接口视图 [S5700-Vlanif102] ip address 172.20.10.1 16 //为VLANIF102接口配置IP地址,作为访客网关 [S5700-Vlanif102] dhcp select interface [S5700-Vlanif102] dhcp server dns-list 172.22.10.4 //配置DNS服务器地址 [S5700-Vlanif102] quit [S5700] interface gigabitethernet 0/0/1 //连接接入交换机的接口 [S5700-GigabitEthernet0/0/1] port link-type trunk //修改接口gigabitethernet0/0/1的链路类型为trunk [S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101 102 //把接口gigabitethernet0/0/1加入VLAN100、VLAN101和VLAN102 [S5700-GigabitEthernet0/0/1] quit [S5700] interface gigabitethernet 0/0/2 //连接AC1的接口 [S5700-GigabitEthernet0/0/2] port link-type trunk //修改接口gigabitethernet0/0/2的链路类型为trunk [S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 105 //把接口gigabitethernet0/0/2加入VLAN100和VLAN105 [S5700-GigabitEthernet0/0/2] quit [S5700] interface gigabitethernet 0/0/3 //连接AC2的接口 [S5700-GigabitEthernet0/0/3] port link-type trunk //修改接口gigabitethernet0/0/3的链路类型为trunk [S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 105 //把接口gigabitethernet0/0/3加入VLAN100和VLAN105 [S5700-GigabitEthernet0/0/3] quit [S5700] interface gigabitethernet 0/0/4 //连接核心交换机的接口 [S5700-GigabitEthernet0/0/3] port link-type trunk //修改接口gigabitethernet0/0/4的链路类型为trunk [S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 103 //把接口gigabitethernet0/0/4加入VLAN103 [S5700-GigabitEthernet0/0/3] quit [S5700] ip route-static 172.22.10.0 255.255.255.0 172.21.10.2 [S5700] quit <S5700> save //保存配置
- 【设备】配置核心交换机S7700,保证网络互通。
<HUAWEI> system-view [HUAWEI] sysname S7700 [S7700] vlan batch 103 104 //批量创建VLAN103、VLAN104 [S7700] interface gigabitethernet 1/0/1 //连接汇聚交换机的接口 [S7700-GigabitEthernet1/0/1] port link-type trunk [S7700-GigabitEthernet1/0/1] port trunk allow-pass vlan 103 [S7700-GigabitEthernet1/0/1] quit [S7700] interface vlanif 103 [S7700-Vlanif103] ip address 172.21.10.2 255.255.255.0 [S7700-Vlanif103] quit [S7700] interface gigabitethernet 1/0/2 //连接服务器区的接口 [S7700-GigabitEthernet1/0/2] port link-type access [S7700-GigabitEthernet1/0/2] port default vlan 104 //配置接口gigabitethernet1/0/2的缺省VLAN为VLAN104 [S7700-GigabitEthernet1/0/2] quit [S7700] interface vlanif 104 [S7700-Vlanif104] ip address 172.22.10.1 255.255.255.0 //配置服务器区网关地址 [S7700-Vlanif104] quit [S7700] ip route-static 172.19.0.0 255.255.0.0 172.21.10.1 //配置到员工网段的路由 [S7700] ip route-static 172.20.0.0 255.255.0.0 172.21.10.1 //配置到访客网段的路由 [S7700] quit <S7700> save //保存配置
- 【设备】配置AC,保证网络互通。
# 在AC1上配置网络互通,AC1连接汇聚交换机S5720HI的接口GE0/0/1加入VLAN100和VLAN105。
<AC6605> system-view [AC6605] sysname AC1 [AC1] vlan batch 100 105 [AC1] interface gigabitethernet 0/0/1 [AC1-GigabitEthernet0/0/1] port link-type trunk [AC1-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 105 [AC1-GigabitEthernet0/0/1] quit
# 配置AC1上的IP地址,用于和其它网元进行通信。
[AC1] interface vlanif 105 [AC1-Vlanif105] ip address 10.10.11.1 24 //用于和AC2之间通信和备份数据传输 [AC1-Vlanif105] quit [AC1] interface vlanif 100 [AC1-Vlanif100] ip address 172.18.10.1 24 //用于管理AP,以及和服务器通信 [AC1-Vlanif100] quit
# 配置AC1的缺省路由,报文默认转发到路由网关。
[AC1] ip route-static 0.0.0.0 0 172.18.10.3# 在AC2上配置网络互通,AC2连接汇聚交换机S5720HI的接口GE0/0/1加入VLAN100和VLAN105。
<AC6605> system-view [AC6605] sysname AC2 [AC2] vlan batch 100 105 [AC2] interface gigabitethernet 0/0/1 [AC2-GigabitEthernet0/0/1] port link-type trunk [AC2-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 105 [AC2-GigabitEthernet0/0/1] quit
# 配置AC2上的IP地址,用于和其它网元进行通信。
[AC2] interface vlanif 105 [AC2-Vlanif105] ip address 10.10.11.2 24 //用于和AC1之间通信和备份数据传输 [AC2-Vlanif105] quit [AC2] interface vlanif 100 [AC2-Vlanif100] ip address 172.18.10.2 24 //用于管理AP,以及和服务器通信 [AC2-Vlanif100] quit
# 配置AC2的缺省路由,报文默认转发到路由网关。
[AC2] ip route-static 0.0.0.0 0 172.18.10.3 - 【设备】配置AP上线。
# 创建AP组,用于将相同配置的AP都加入同一AP组中。
[AC1] wlan [AC1-wlan-view] ap-group name ap_group [AC1-wlan-ap-group-ap_group] quit
# 创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。
[AC1-wlan-view] regulatory-domain-profile name domain1 [AC1-wlan-regulatory-domain-prof-domain1] country-code cn [AC1-wlan-regulatory-domain-prof-domain1] quit [AC1-wlan-view] ap-group name ap_group [AC1-wlan-ap-group-ap_group] regulatory-domain-profile domain1 Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC1-wlan-ap-group-ap_group] quit [AC1-wlan-view] quit
# 配置AC的源接口。
[AC1] capwap source interface vlanif 100# 在AC上离线导入AP,并将AP加入AP组中。假设AP的类型为AP6010DN-AGN,AP_0的MAC地址为60de-4476-e360,AP_1的MAC地址为60de-4476-e380。
[AC1] wlan [AC1-wlan-view] ap auth-mode mac-auth [AC1-wlan-view] ap-id 0 ap-mac 60de-4476-e360 [AC1-wlan-ap-0] ap-name ap_0 [AC1-wlan-ap-0] ap-group ap_group Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC1-wlan-ap-0] quit [AC1-wlan-view] ap-id 1 ap-mac 60de-4476-e380 [AC1-wlan-ap-1] ap-name ap_1 [AC1-wlan-ap-1] ap-group ap_group Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y [AC1-wlan-ap-1] quit [AC1-wlan-view] quit
# 将AP上电后,当执行命令display ap all查看到AP的“State”字段为“nor”时,表示AP正常上线。
[AC1] display ap all Total AP information: nor : normal [2] ------------------------------------------------------------------------------------- ID MAC Name Group IP Type State STA Uptime ------------------------------------------------------------------------------------- 0 60de-4476-e360 ap_0 ap_group 172.18.10.254 AP6010DN-AGN nor 0 20S 1 60de-4476-e380 ap_1 ap_group 172.18.10.253 AP6010DN-AGN nor 0 10S ------------------------------------------------------------------------------------- Total: 2
AC2的配置和AC1完全相同,请参见AC1配置,不再赘述。
- 【设备】配置AC与RADIUS服务器和Portal服务器的对接参数,以便AC能够与RADIUS服务器和Portal服务器联动。
# 配置AC1的RADIUS服务器认证、计费和授权模板。
[AC1] radius-server template radius_template [AC1-radius-radius_template] radius-server authentication 172.22.10.2 1812 weight 80 //配置RADIUS主认证服务器,权重值高于备认证服务器,认证端口1812 [AC1-radius-radius_template] radius-server authentication 172.22.10.3 1812 weight 40 //配置RADIUS备认证服务器,权重值低于主认证服务器,认证端口1812 [AC1-radius-radius_template] radius-server accounting 172.22.10.2 1813 weight 80 //配置RADIUS主计费服务器,权重值高于备计费服务器,以便获取终端用户的上下线信息,计费端口1813 [AC1-radius-radius_template] radius-server accounting 172.22.10.3 1813 weight 40 //配置RADIUS备计费服务器,权重值低于主计费服务器,以便获取终端用户的上下线信息,计费端口1813 [AC1-radius-radius_template] radius-server shared-key cipher Admin@123 //配置RADIUS服务器预共享密钥 [AC1-radius-radius_template] radius-server user-name original //设备向RADIUS服务器发送的用户名为用户原始输入的用户名 [AC1-radius-radius_template] quit [AC1] radius-server source ip-address 172.18.10.1 //配置AC使用172.18.10.1和RADIUS服务器通信。 [AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123 //配置主RADIUS授权服务器的地址,共享密钥为Admin@123,必须与认证密钥和计费密钥一致。配置授权服务器以便RADIUS服务器向AC下发授权规则 [AC1] radius-server authorization 172.22.10.3 shared-key cipher Admin@123 //配置备RADIUS授权服务器的地址,共享密钥为Admin@123,必须与认证密钥和计费密钥一致。配置授权服务器以便RADIUS服务器向AC下发授权规则 配置了授权服务器后,接入控制设备才能处理Agile Controller-Campus [AC1] aaa [AC1-aaa] authentication-scheme auth_scheme [AC1-aaa-authen-auth_scheme] authentication-mode radius //AC与Agile Controller-Campus联动,业务控制器作为RADIUS服务器,认证方案必须配置为RADIUS [AC1-aaa-authen-auth_scheme] quit [AC1-aaa] accounting-scheme acco_scheme [AC1-aaa-accounting-acco_scheme] accounting-mode radius //配置计费方案为RADIUS方式。为了方便RADIUS服务器维护帐号的状态信息,例如上下线信息,强制帐号下线,计费模式必须配置为radius [AC1-aaa-accounting-acco_scheme] accounting realtime 15 //配置实时计费周期为15分钟,计费周期需要按照下表根据实际用户数进行配置,本例以用户数2000来配置 [AC1-aaa-accounting-acco_scheme] quit [AC1-aaa] quit
配置实时计费是为了认证控制设备与Agile Controller-Campus之间定期发送计费报文,确保在线状态信息一致。实时计费间隔的取值对设备和RADIUS服务器的性能有要求,实时计费间隔的取值越小,对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。
# 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test,用户密码Admin_123)。
[AC1] test-aaa test Admin_123 radius-template radius_template pap Info: Account test succeed.
# 配置AC2的RADIUS服务器认证、计费和授权模板。AC2的RADIUS配置和AC1完全相同,请参见AC1配置,不再赘述。其中AC2在RADIUS服务器模板下配置源地址时,注意使用AC2的源地址172.18.10.2。
# 配置AC1的Portal认证。
配置主Portal认证页面URL地址,当用户未认证访问网络时,AC将用户的访问地址重定向到主Portal服务器。
为了推送更安全和快速,建议采用域名方式,但需要提前在DNS服务器配置域名与服务器IP地址的映射关系。
[AC1] url-template name huawei1 [AC1-url-template-huawei1] url http://access1.example.com:8080/portal //access1.example.com为主Portal服务器的主机名
配置URL中携带的参数字段名称,和认证服务器保持一致。
[AC1-url-template-huawei1] url-parameter ssid ssid redirect-url url //第一个ssid指在URL中携带SSID这个字段,第二个指携带SSID字段时所用的参数名称。例如,配置ssid ssid之后,在重定向给用户的URL中,会带有ssid=guest(ssid为参数名称,guest为用户关联的SSID名称) //第二个ssid只是代表传递的参数名称,请不要替换成实际的用户SSID名称 [AC1-url-template-huawei1] quit
配置备Portal认证页面URL地址,当主Portal服务器不可用时,AC将用户的访问地址重定向到备Portal服务器。
[AC1] url-template name huawei2 [AC1-url-template-huawei2] url http://access2.example.com:8080/portal //access2.example.com为备Portal服务器的主机名 [AC1-url-template-huawei2] url-parameter ssid ssid redirect-url url [AC1-url-template-huawei2] quit
配置设备上处理Portal协议报文的端口号,默认为2000,如果修改此端口的值,在Agile Controller-Campus上添加AC设备时,也需要配置成修改后的端口号。
[AC1] web-auth-server listening-port 2000配置主Portal服务器模板,包括:Portal服务器IP地址、Portal服务器端口等。
Portal服务器接收报文的端口号为50200,AC上默认的发送报文的端口号为50100,必须手动修改为50200,以便与Portal服务器适配。
[AC1] web-auth-server source-ip 172.18.10.1 //配置设备和Portal服务器通信的IP地址 [AC1] web-auth-server portal_huawei1 [AC1-web-auth-server-portal_huawei1] server-ip 172.22.10.2 //配置主Portal服务器的IP地址 [AC1-web-auth-server-portal_huawei1] port 50200 //配置向Portal服务器主动发送报文时使用的目的端口号为50200
配置与Portal服务器通信的共享密钥,和Portal服务器保持一致。
[AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123 //配置与Portal服务器通信的共享密钥 [AC1-web-auth-server-portal_huawei1] url-template huawei1 //Portal服务器模板绑定URL模板
使能Portal服务器探测功能。
设备会对该Portal服务器模板下配置的所有Portal服务器进行探测。 如果对某一Portal服务器探测失败次数超过最大次数,会将该Portal服务器的状态由Up改变为Down。如果状态为Up的Portal服务器数目小于或等于设置的最小值(critical-num),设备将会做出相应的动作,如:告警、上报日志、Portal逃生等,使管理员能够实时掌握网络中Portal服务器的状态。探测周期interval不能小于15s,建议配置为100s。如果要启用Portal逃生,必须使能Portal服务器探测功能。
[AC1-web-auth-server-portal_huawei1] server-detect interval 100 max-times 5 critical-num 0 action log配置备Portal服务器模板,包括:备Portal服务器IP地址、Portal服务器端口、共享密钥等。
[AC1] web-auth-server portal_huawei2 [AC1-web-auth-server-portal_huawei2] server-ip 172.22.10.3 //配置备Portal服务器的IP地址 [AC1-web-auth-server-portal_huawei2] port 50200 [AC1-web-auth-server-portal_huawei2] shared-key cipher Admin@123 [AC1-web-auth-server-portal_huawei2] url-template huawei2 [AC1-web-auth-server-portal_huawei2] server-detect interval 100 max-times 5 critical-num 0 action log [AC1-web-auth-server-portal_huawei2] quit
# 使能Portal认证静默功能,认证用户在60秒内认证失败的次数超过设定值,则在设置的一定时间内,丢弃认证用户的报文,防止用户频繁认证对系统造成冲击。
[AC1] portal quiet-period [AC1] portal quiet-times 5 //配置Portal认证用户被静默前60秒内允许认证失败的次数 [AC1] portal timer quiet-period 240 //配置Portal认证静默周期为240秒
# 创建Portal接入模板,并在模板下绑定Portal服务器模板。
[AC1] portal-access-profile name acc_portal //创建Portal接入模板 [AC1-portal-access-profile-acc_portal] web-auth-server portal_huawei1 portal_huawei2 direct //配置Portal接入模板使用的主Portal服务器和备Portal服务器模板,用户终端和AC之间为二层组网,配置为direct方式,如果为三层组网,则需要配置layer3方式 [AC1-portal-access-profile-acc_portal] quit
# 配置用户认证前和认证后的访问规则。
[AC1] free-rule-template name default_free_rule [AC1-free-rule-default_free_rule] free-rule 1 destination ip 172.22.10.4 mask 255.255.255.255 //配置portal认证的免认证规则,确保终端用户认证前能访问DNS服务器 [AC1-free-rule-default_free_rule] quit
[AC1] acl 3001 //配置员工认证后域,可访问内网及Internet [AC1-acl-adv-3001] rule 5 permit ip [AC1-acl-adv-3001] quit [AC1] acl 3002 //配置访客认证后域,可访问Internet [AC1-acl-adv-3002] rule 5 deny ip destination 172.22.10.5 0 //172.22.10.5为公司服务器资源,不允许访客访问 [AC1-acl-adv-3002] rule 10 permit ip [AC1-acl-adv-3002] quit
# 配置认证模板。[AC1] authentication-profile name auth_portal [AC1-authentication-profile-auth_portal] portal-access-profile acc_portal [AC1-authentication-profile-auth_portal] authentication-scheme auth_scheme [AC1-authentication-profile-auth_portal] accounting-scheme acco_scheme [AC1-authentication-profile-auth_portal] radius-server radius_template [AC1-authentication-profile-auth_portal] free-rule-template default_free_rule [AC1-authentication-profile-auth_portal] quit
# 在AC1上配置终端类型感知功能,将DHCP报文中包含终端类型信息的Option字段,发送给认证服务器,认证服务器可以根据终端类型,推送合适的Portal认证页面。
[AC1] dhcp snooping enable [AC1] device-sensor dhcp option 12 55 60
# 配置AC2的Portal认证,配置和AC1完全相同,请参见AC1配置,不再赘述。其中AC2在Portal服务器模板下配置源地址时,注意使用AC2的源地址172.18.10.2。
- 【设备】配置AC,完成WLAN业务参数配置。
# 创建名为“security_portal”的安全模板,并配置安全策略。
[AC1] wlan [AC1-wlan-view] security-profile name security_portal [AC1-wlan-sec-prof-security_portal] quit
# 创建名为“wlan-ssid-employee”和“wlan-ssid-guest”的SSID模板,并配置SSID名称分别为“employee”和“guest”。
[AC1-wlan-view] ssid-profile name wlan-ssid-employee [AC1-wlan-ssid-prof-wlan-ssid-employee] ssid employee Warning: This action may cause service interruption. Continue?[Y/N]y [AC1-wlan-ssid-prof-wlan-ssid-employee] quit [AC1-wlan-view] ssid-profile name wlan-ssid-guest [AC1-wlan-ssid-prof-wlan-ssid-guest] ssid guest Warning: This action may cause service interruption. Continue?[Y/N]y [AC1-wlan-ssid-prof-wlan-ssid-guest] quit
# 创建名为“wlan-vap-employee”和“wlan-vap-guest”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板和认证模板。
[AC1-wlan-view] vap-profile name wlan-vap-employee [AC1-wlan-vap-prof-wlan-vap-employee] forward-mode direct-forward //配置员工为直接转发 [AC1-wlan-vap-prof-wlan-vap-employee] service-vlan vlan-id 101 [AC1-wlan-vap-prof-wlan-vap-employee] security-profile security_portal [AC1-wlan-vap-prof-wlan-vap-employee] ssid-profile wlan-ssid-employee [AC1-wlan-vap-prof-wlan-vap-employee] authentication-profile auth_portal //绑定认证模板 [AC1-wlan-vap-prof-wlan-vap-employee] quit [AC1-wlan-view] vap-profile name wlan-vap-guest [AC1-wlan-vap-prof-wlan-vap-guest] forward-mode direct-forward //配置访客为直接转发 [AC1-wlan-vap-prof-wlan-vap-guest] service-vlan vlan-id 102 [AC1-wlan-vap-prof-wlan-vap-guest] security-profile security_portal [AC1-wlan-vap-prof-wlan-vap-guest] ssid-profile wlan-ssid-guest [AC1-wlan-vap-prof-wlan-vap-guest] authentication-profile auth_portal [AC1-wlan-vap-prof-wlan-vap-guest] quit
# 配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板的配置。
[AC1-wlan-view] ap-group name ap_group [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 0 //AP的2.4G射频为员工提供服务 [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-employee wlan 1 radio 1 //AP的5G射频为员工提供服务 [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 0 //AP的2.4G射频为访客提供服务 [AC1-wlan-ap-group-ap_group] vap-profile wlan-vap-guest wlan 2 radio 1 //AP的5G射频为访客提供服务 [AC1-wlan-ap-group-ap_group] quit
# 配置AC2的WLAN业务参数,配置和AC1完全相同,请参见AC1配置,不再赘述。
- 【设备】在AC1上配置双链路的双机热备份。
# 配置备份AC2的IP地址,AC1的优先级,用于双链路备份。
[AC1] wlan [AC1-wlan-view] ac protect enable Warning: This operation maybe cause ap reset or client down, continue?[Y/N]:y [AC1-wlan-view] ac protect protect-ac 172.18.10.2 priority 2 Warning: Operation successful. It will take effect after AP reset.
# 在AC1上重启AP,下发双链路备份配置信息至AP。
[AC1-wlan-view] ap-reset all Warning: Reset AP(s), continue?[Y/N]:y [AC1-wlan-view] quit
# 在AC1上创建HSB主备服务0,并配置其主备通道IP地址和端口号,配置HSB主备服务报文的重传次数和发送间隔。
[AC1] hsb-service 0 [AC1-hsb-service-0] service-ip-port local-ip 10.10.11.1 peer-ip 10.10.11.2 local-data-port 10241 peer-data-port 10241 [AC1-hsb-service-0] service-keep-alive detect retransmit 3 interval 6 [AC1-hsb-service-0] quit
# 配置NAC业务绑定HSB主备服务。
[AC1] hsb-service-type access-user hsb-service 0# 配置WLAN业务绑定HSB主备服务。
[AC1] hsb-service-type ap hsb-service 0 - 【设备】在AC2上配置双链路的双机热备份。
# 配置主用AC1的IP地址,AC2的优先级,用于双链路备份。
[AC2] wlan [AC2-wlan-view] ac protect enable Warning: This operation maybe cause ap reset or client down, continue?[Y/N]:y [AC2-wlan-view] ac protect protect-ac 172.18.10.1 priority 5 Warning: Operation successful. It will take effect after AP reset. [AC2-wlan-view] quit
# 在AC2上创建HSB主备服务0,并配置其主备通道IP地址和端口号,配置HSB主备服务报文的重传次数和发送间隔。
[AC2] hsb-service 0 [AC2-hsb-service-0] service-ip-port local-ip 10.10.11.2 peer-ip 10.10.11.1 local-data-port 10241 peer-data-port 10241 [AC2-hsb-service-0] service-keep-alive detect retransmit 3 interval 6 [AC2-hsb-service-0] quit
# 配置NAC业务绑定HSB主备服务。
[AC2] hsb-service-type access-user hsb-service 0# 配置WLAN业务绑定HSB主备服务。
[AC2] hsb-service-type ap hsb-service 0 - 【设备】检查双链路配置结果。
# 完成上述配置以后,在AC1和AC2上分别执行display ac protect命令,可以查看到双链路备份的配置信息。
[AC1] display ac protect ------------------------------------------------------------ Protect state : enable Protect AC : 172.18.10.2 Priority : 2 Protect restore : enable Coldbackup kickoff station: disable ------------------------------------------------------------[AC2] display ac protect ------------------------------------------------------------ Protect state : enable Protect AC : 172.18.10.1 Priority : 5 Protect restore : enable Coldbackup kickoff station: disable ------------------------------------------------------------# 在AC1和AC2上执行display hsb-service 0 命令,查看主备服务的建立情况。可以看到Service State字段的显示为Connected,说明主备服务通道已经成功建立。
[AC1] display hsb-service 0 Hot Standby Service Information: ---------------------------------------------------------- Local IP Address : 10.10.11.1 Peer IP Address : 10.10.11.2 Source Port : 10241 Destination Port : 10241 Keep Alive Times : 2 Keep Alive Interval : 1 Service State : Connected Service Batch Modules : ----------------------------------------------------------
[AC2] display hsb-service 0 Hot Standby Service Information: ---------------------------------------------------------- Local IP Address : 10.10.11.2 Peer IP Address : 10.10.11.1 Source Port : 10241 Destination Port : 10241 Keep Alive Times : 2 Keep Alive Interval : 1 Service State : Connected Service Batch Modules : ----------------------------------------------------------
- 【Agile Controller-Campus】在业务管理器中添加AC设备,以便Agile Controller-Campus能与AC正常联动。
- 设置AC设备的参数。
参数
取值
说明
名称
AC
-
IP地址
172.18.10.1
AC1上该接口必须与业务控制器互通。
备设备IP地址
172.18.10.2
AC2上该接口必须与业务控制器互通。
认证计费密钥
Admin@123
[AC1-radius-radius_template] radius-server shared-key cipher Admin@123
授权密钥
Admin@123
[AC1] radius-server authorization 172.22.10.2 shared-key cipher Admin@123
实时计费周期
15
[AC1-aaa-accounting-acco_scheme] accounting realtime 15
启用Portal
选中
-
端口
2000
AC上与Portal服务器通信的端口,请保持默认值。
Portal密钥
Admin@123
[AC1-web-auth-server-portal_huawei1] shared-key cipher Admin@123
接入终端IPv4地址列表
172.19.10.1/16;172.20.10.1/16
请将要通过Portal认证上线的终端IP地址全部加入终端IP地址列表。Portal服务器收到终端用户提交的帐号和密码后,会根据终端的IP地址进行查找负责处理上线请求的接入控制设备,然后在目标接入控制设备上线。如果接入控制设备中的IP地址池不包含终端IP地址,则Portal服务器无法找到合适的接入控制设备为终端放开访问权限,导致终端上线失败。
启用接入设备与Portal服务器的心跳
选中
只有启用“接入设备与Portal服务器的心跳”,并且将Portal服务器的地址加入到“Portal服务器IP地址列表”,Portal服务器才会向接入设备发送心跳报文和向接入设备同步用户信息。设备才能周期检测到Portal服务器的心跳报文,从而判断Portal服务器的状态,并和Portal服务器之间同步用户信息。与设备上Portal服务器视图下配置的server-detect和user-sync命令对应。
Portal服务器IP地址列表
172.22.10.2;172.22.10.3
- 设置AC设备的参数。
- 【Agile Controller-Campus】将SSID添加到Agile Controller-Campus中,以便通过SSID对用户进行授权。
- 单击“增加”,分别添加员工和访客SSID。
添加的SSID必须与AC上配置的SSID一致。
- 单击“增加”,分别添加员工和访客SSID。
- 【Agile Controller-Campus】配置授权结果和授权规则,对员工和访客认证成功后授予不同的访问权限。
- 选择,分别添加员工和访客授权ACL。
ACL编号与认证控制设备配置一致。
- 选择,关联授权结果,指定员工和访客认证通过后允许访问的资源。
- 修改缺省授权规则,将缺省授权规则的授权结果改为拒绝接入。
选择,单击“缺省授权规则”右侧的
,将“授权结果”改为“拒绝接入”。
- 选择,分别添加员工和访客授权ACL。
,将
验证
- 选择。
- 在“高级”页签中勾选“使用TLS”的相关选项。
- 单击“确定”。
验证项目 |
预期结果 |
|---|---|
员工认证 |
|
访客认证 |
|
AC1下电 |
业务自动切换到AC2,员工和访客认证不受影响,终端用户无感知。 |
总结与建议
配置过程中有三个共享密钥(RADIUS认证和计费密钥、Portal密钥)设备侧与Agile Controller-Campus侧必须要配置一致。计费周期也必须配置一致。
设置授权规则时,规则的匹配顺序是按照从高到低(规则前的数字从小到大)的顺序匹配的,如果用户的授权条件已经在某一条规则命中,就不会再去匹配后面的规则了。所以建议对于条件配置的越精细的规则,优先级设置的高一些,对于条件配置的比较模糊的规则,优先级设置的低一些。
- 在AC上配置RADIUS计费是为了Agile Controller-Campus能通过计费报文获取在线用户详细信息,并不是通常意义上的计费,Agile Controller-Campus目前还不支持通常所说的计费功能,如果需要计费,需要第三方的计费服务器来完成。
