配置外置Portal认证示例（命令行）

WLAN产品对接配置专题

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置外置Portal认证示例（命令行）

外置Portal认证简介

Portal认证是网络接入控制方案（NAC）中的一种，Portal认证通常也称为Web认证。用户上网时，必须在门户网站进行认证，只有认证通过后才可以使用网络资源。Portal认证支持Portal2.0、HTTP和HTTPS协议认证，在AC与Aruba ClearPass对接场景中，Portal认证是采用基于HTTPS和HTTP协议认证方式。

AC和Aruba ClearPass对接时，Portal认证支持HTTPS和HTTP认证方式，本举例以HTTPS认证方式为例，HTTP认证方式的配置与之类似。

对于设备侧配置，如果您只需查阅外置Portal认证相关的配置方法，请直接参见在AC上配置外置Portal认证。

如果您只需查阅Aruba ClearPass服务器侧的配置方法，请直接参见配置Aruba ClearPass。

举例适用的产品和版本

表3-25 举例适用的产品和版本

产品	版本
华为AC	V200R007C20
Aruba Clearpass	6.5.0.31375

业务需求

某企业为了提高WLAN网络的安全性，采用HTTPS或者HTTP协议类型的外置Portal认证方式，实现对用户的接入控制。

组网需求

AC组网方式：旁挂二层组网。
DHCP部署方式：AC作为DHCP服务器为AP分配IP地址，汇聚交换机SwitchB作为DHCP服务器为STA分配IP地址。
业务数据转发方式：直接转发。
认证方式：外置Portal认证。
安全策略：开放认证。

图3-9 配置外置Portal认证示例组网图

数据规划

表3-26 AC数据规划

配置项	数据
管理VLAN	VLAN100
业务VLAN	VLAN101
DHCP服务器	AC作为DHCP服务器为AP分配IP地址，汇聚交换机SwitchB作为DHCP服务器为STA分配IP地址
AP的IP地址池	10.23.100.2～10.23.100.254/24
STA的IP地址池	10.23.101.2～10.23.101.254/24
AC的源接口IP地址池	VLANIF100：10.23.100.1/24
AC与服务器通信的IP地址	10.23.102.2
AC与用户通信的IP地址	10.0.0.1
AP组	名称：ap-group1 引用模板：VAP模板wlan-net、域管理模板default
域管理模板	名称：default 国家码：中国
SSID模板	名称：wlan-net SSID名称：wlan-net
安全模板	名称：wlan-net 安全策略：开放认证
Portal认证参数	Portal认证方案名称：wlan-net Portal服务器模板名称：wlan-net，其中： IP地址：10.23.103.1 Portal认证时所使用的协议：HTTP URL地址：https://10.23.103.1/guest/huawei.php
Portal接入模板	名称：wlan-net 绑定的模板：Portal服务器模板wlan-net
认证模板	名称：wlan-net 引用模板和认证方案：Portal接入模板wlan-net、free-rule模板default、认证方案wlan-net
VAP模板	名称：wlan-net 转发模式：直接转发业务VLAN：VLAN101 引用模板：SSID模板wlan-net、安全模板wlan-net、认证模板wlan-net

表3-27 Aruba ClearPass数据规划

配置项	数据
设备模板	Huawei
用户账号	账号：test@huawei.com 密码：470541。Aruba ClearPass随机生成（密码可以随机生成，也可以固定设置）
设备名称	AC6605
设备IP地址	10.23.102.2/32
RADIUS共享密钥	huawei@123
认证协议	PAP CHAP

配置思路

配置网络互通。
配置AC和SwitchB分别给AP和STA分配IP地址。
配置AP上线。
配置WLAN业务参数。
配置Portal认证方式。
配置Aruba ClearPass服务器。

配置注意事项

建议在与AP直连的设备接口上配置端口隔离，如果不配置端口隔离，尤其是业务数据转发方式采用直接转发时，可能会在VLAN内形成大量不必要的广播报文，导致网络阻塞，影响用户体验。
AC侧配置的RADIUS共享密钥需要和服务器侧保持一致。

操作步骤

配置网络互通

# 配置接入交换机SwitchA的接口GE0/0/1和GE0/0/2加入VLAN100和VLAN101。

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 100 101
[SwitchA] interface gigabitethernet 0/0/1
[SwitchA-GigabitEthernet0/0/1] port link-type trunk
[SwitchA-GigabitEthernet0/0/1] port trunk pvid vlan 100
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/1] port-isolate enable
[SwitchA-GigabitEthernet0/0/1] quit
[SwitchA] interface gigabitethernet 0/0/2
[SwitchA-GigabitEthernet0/0/2] port link-type trunk
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 101
[SwitchA-GigabitEthernet0/0/2] quit

# 配置汇聚交换机SwitchB的接口GE0/0/1加入VLAN100和VLAN101，GE0/0/2加入VLAN100和VLAN102，GE0/0/3加入VLAN103，GE0/0/4加入VLAN104，创建VLANIF102、VLANIF103和VLANIF104接口，并配置下一跳为Router的缺省路由。

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] vlan batch 100 to 104
[SwitchB] interface gigabitethernet 0/0/1
[SwitchB-GigabitEthernet0/0/1] port link-type trunk
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 101
[SwitchB-GigabitEthernet0/0/1] quit
[SwitchB] interface gigabitethernet 0/0/2
[SwitchB-GigabitEthernet0/0/2] port link-type trunk
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 100 102
[SwitchB-GigabitEthernet0/0/2] quit
[SwitchB] interface gigabitethernet 0/0/3
[SwitchB-GigabitEthernet0/0/3] port link-type trunk
[SwitchB-GigabitEthernet0/0/3] port trunk pvid vlan 103
[SwitchB-GigabitEthernet0/0/3] port trunk allow-pass vlan 103
[SwitchB-GigabitEthernet0/0/3] quit
[SwitchB] interface gigabitethernet 0/0/4
[SwitchB-GigabitEthernet0/0/4] port link-type trunk
[SwitchB-GigabitEthernet0/0/4] port trunk pvid vlan 104
[SwitchB-GigabitEthernet0/0/4] port trunk allow-pass vlan 104
[SwitchB-GigabitEthernet0/0/4] quit
[SwitchB] interface vlanif 102
[SwitchB-Vlanif102] ip address 10.23.102.1 24
[SwitchB-Vlanif102] quit
[SwitchB] interface vlanif 103
[SwitchB-Vlanif103] ip address 10.23.103.2 24
[SwitchB-Vlanif103] quit
[SwitchB] interface vlanif 104
[SwitchB-Vlanif104] ip address 10.23.104.1 24
[SwitchB-Vlanif104] quit
[SwitchB] ip route-static 0.0.0.0 0.0.0.0 10.23.104.2

# 配置AC的接口GE0/0/1加入VLAN100和VLAN102，创建VLANIF102接口，并配置指向RADIUS服务器的静态路由。

<AC6605> system-view
[AC6605] sysname AC
[AC] vlan batch 100 101 102
[AC] interface gigabitethernet 0/0/1
[AC-GigabitEthernet0/0/1] port link-type trunk
[AC-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 102
[AC-GigabitEthernet0/0/1] quit
[AC] interface vlanif 102
[AC-Vlanif102] ip address 10.23.102.2 24
[AC-Vlanif102] quit
[AC] ip route-static 10.23.103.0 24 10.23.102.1

# 配置Router的接口GE0/0/1的IP地址，并配置指向STA网段的静态路由。

<Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] ip address 10.23.104.2 24
[Router-GigabitEthernet0/0/1] quit
[Router] ip route-static 10.23.101.0 24 10.23.104.1

配置AC作为DHCP服务器为AP分配IP地址，SwitchB作为DHCP服务器为STA分配IP地址
# 在AC上配置VLANIF100接口为AP提供IP地址。
```
[AC] dhcp enable
[AC] interface vlanif 100
[AC-Vlanif100] ip address 10.23.100.1 24
[AC-Vlanif100] dhcp select interface
[AC-Vlanif100] quit
```
# 在SwitchB上配置VLANIF101接口为STA提供IP地址。
DNS服务器地址请根据实际需要配置。常用配置方法如下：

接口地址池场景，需要在VLANIF接口视图下执行命令dhcp server dns-list ip-address &<1-8>。

全局地址池场景，需要在IP地址池视图下执行命令dns-list ip-address &<1-8>。
```
[SwitchB] dhcp enable
[SwitchB] interface vlanif 101
[SwitchB-Vlanif101] ip address 10.23.101.1 24
[SwitchB-Vlanif101] dhcp select interface
[SwitchB-Vlanif101] quit
```
# 配置指向10.0.0.1的静态路由。
```
[SwitchB] ip route-static 10.0.0.1 32 10.23.102.2
```

配置AP上线

# 创建AP组，用于将相同配置的AP都加入同一AP组中。

[AC] wlan
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] quit

# 创建域管理模板，在域管理模板下配置AC的国家码并在AP组下引用域管理模板。

[AC-wlan-view] regulatory-domain-profile name default
[AC-wlan-regulate-domain-default] country-code cn
[AC-wlan-regulate-domain-default] quit
[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] regulatory-domain-profile default
Warning: Modifying the country code will clear channel, power and antenna gain configurations of the radio and reset the AP. Continu
e?[Y/N]:y 
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

# 配置AC的源接口。

[AC] capwap source interface vlanif 100

# 在AC上离线导入AP，并将AP加入AP组“ap-group1”中。假设AP的MAC地址为60de-4476-e360，并且根据AP的部署位置为AP配置名称，便于从名称上就能够了解AP的部署位置。例如MAC地址为60de-4476-e360的AP部署在1号区域，命名此AP为area_1。

ap auth-mode命令缺省情况下为MAC认证，如果之前没有修改其缺省配置，可以不用执行ap auth-mode mac-auth。

举例中使用的AP为AP5030DN，具有射频0和射频1两个射频。AP5030DN的射频0为2.4GHz射频，射频1为5GHz射频。

[AC] wlan
[AC-wlan-view] ap auth-mode mac-auth
[AC-wlan-view] ap-id 0 ap-mac 60de-4476-e360
[AC-wlan-ap-0] ap-name area_1
[AC-wlan-ap-0] ap-group ap-group1
Warning: This operation may cause AP reset. If the country code changes, it will clear channel, power and antenna gain configuration
s of the radio, Whether to continue? [Y/N]:y 
[AC-wlan-ap-0] quit

# 将AP上电后，当执行命令display ap all查看到AP的“State”字段为“nor”时，表示AP正常上线。

[AC-wlan-view] display ap all
Total AP information:
nor  : normal          [1]
-------------------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP            Type            State STA Uptime   ExtraInfo
-------------------------------------------------------------------------------------------------
0    60de-4476-e360 area_1 ap-group1 10.23.100.254 AP5030DN        nor   0   10S      -
-------------------------------------------------------------------------------------------------
Total: 1

在AC上配置外置Portal认证

配置RADIUS认证参数

# 配置RADIUS服务器模板。

[AC] radius-server template wlan-net
[AC-radius-wlan-net] radius-server authentication 10.23.103.1 1812 source ip-address 10.23.102.2
[AC-radius-wlan-net] radius-server shared-key cipher huawei@123
[AC-radius-wlan-net] quit

# 创建认证方案并配置认证方式为RADIUS。

[AC] aaa
[AC-aaa] authentication-scheme wlan-net
[AC-aaa-authen-wlan-net] authentication-mode radius
[AC-aaa-authen-wlan-net] quit
[AC-aaa] quit

# 配置RADIUS属性NAS-Identifier的属性值。

ClearPass服务器设置的NAS-Identifier属性的值必须与AC上配置的一致。如果设备上不配置该属性，ClearPass服务器上NAS-Identifier属性的值应设置为AC的名称。

[AC] radius-server template wlan-net
[AC-radius-wlan-net] radius-attribute set NAS-Identifier huaweiac
[AC-radius-wlan-net] quit

配置PKI证书

# 加载证书和私钥文件。

已申请获取到CA证书rootca.pem、本地证书及对应私钥文件localcert.p12，并已将这些都上传到设备的存储介质中。如果申请到多个CA证书，请执行相同的操作加载到设备内存中。

[AC] pki realm abc
[AC-pki-realm-abc] quit 
[AC] pki import-certificate ca realm abc pem filename rootca.pem
[AC] pki import-certificate local realm abc pkcs12 filename localcert.p12
[AC] pki import rsa-key-pair key1 pkcs12 localcert.p12 password Huawei@123

# 配置SSL策略“sslserver”并加载数字证书。

[AC] ssl policy sslserver type server
[AC-ssl-policy-sslserver] pki-realm abc
[AC-ssl-policy-sslserver] version tls1.0 tls1.1 tls1.2
[AC-ssl-policy-sslserver] ciphersuite rsa_aes_128_sha256 rsa_aes_256_sha256
[AC-ssl-policy-sslserver] quit
[AC] http secure-server ssl-policy sslserver
[AC] http secure-server enable

# 查看SSL策略的配置信息，其中CA与本地证书的状态必须为loaded。

[AC] display ssl policy sslserver
------------------------------------------------------------------------------
  Policy name                            :   sslserver                             
  Policy ID                              :   2                                
  Policy type                            :   Server                            
  Cipher suite                           :   rsa_aes_128_sha256 rsa_aes_256_sha256 
  PKI realm                              :   abc
  Version                                :   tls1.0 tls1.1 tls1.2  
  Cache number                           :   32                                
  Time out(second)                       :   3600                              
  Server certificate load status         :   loaded                            
  CA certificate chain load status       :   loaded                            
  SSL renegotiation status               :   enable
  Bind number                            :   1                                 
  SSL connection number                  :   0                                 
  ------------------------------------------------------------------------------

配置Portal服务器模板

请确保AC上Portal服务器地址、URL地址配置正确，并且和Portal服务器保持一致。

其中，配置Clearpass Portal页面的URL，其格式如：https://10.23.103.1/guest/huawei.php?_browser=1，可参见5.b获取。

[AC] portal https-redirect enable
[AC] portal web-authen-server https ssl-policy sslserver port 8443          //用来解析用户发送的HTTPS认证请求，发送认证信息给服务器。
[AC] interface loopback 0
[AC-LoopBack0] ip address 10.0.0.1 32           //此IP地址用于AC与用户通信，用户将账号和密码信息发送到AC的这个地址。
[AC-LoopBack0] quit
[AC] free-rule-template name default
[AC-free-rule-default] free-rule 0 destination ip 10.0.0.1 mask 255.255.255.255
[AC-free-rule-default] quit
[AC] web-auth-server wlan-net
[AC-web-auth-server-wlan-net] server-ip 10.23.103.1
[AC-web-auth-server-wlan-net] url https://10.23.103.1/guest/huawei.php
[AC-web-auth-server-wlan-net] source-ip 10.23.102.2
[AC-web-auth-server-wlan-net] protocol http
[AC-web-auth-server-wlan-net] quit

配置Portal接入模板“wlan-net”，并配置Portal认证为三层Portal认证

[AC] portal-access-profile name wlan-net
[AC-portal-access-profile-wlan-net] web-auth-server wlan-net layer3
[AC-portal-access-profile-wlan-net] quit

配置认证模板“wlan-net”

[AC] authentication-profile name wlan-net
[AC-authentication-profile-wlan-net] portal-access-profile wlan-net
[AC-authentication-profile-wlan-net] authentication-scheme wlan-net
[AC-authentication-profile-wlan-net] free-rule-template default
[AC-authentication-profile-wlan-net] radius-server wlan-net
[AC-authentication-profile-wlan-net] quit

配置WLAN业务参数

# 创建名为“wlan-net”的安全模板，并配置安全策略为open方式的开放认证。缺省情况下，安全策略为open方式的开放认证。

[AC] wlan
[AC-wlan-view] security-profile name wlan-net
[AC-wlan-sec-prof-wlan-net] quit

# 创建名为“wlan-net”的SSID模板，并配置SSID名称为“wlan-net”。

[AC-wlan-view] ssid-profile name wlan-net
[AC-wlan-ssid-prof-wlan-net] ssid wlan-net
[AC-wlan-ssid-prof-wlan-net] quit

# 创建名为“wlan-net”的VAP模板，配置业务数据转发模式为直接转发、业务VLAN，并且引用安全模板、认证模板和SSID模板。

[AC-wlan-view] vap-profile name wlan-net
[AC-wlan-vap-prof-wlan-net] forward-mode direct-forward
[AC-wlan-vap-prof-wlan-net] service-vlan vlan-id 101
[AC-wlan-vap-prof-wlan-net] security-profile wlan-net
[AC-wlan-vap-prof-wlan-net] ssid-profile wlan-net
[AC-wlan-vap-prof-wlan-net] authentication-profile wlan-net
[AC-wlan-vap-prof-wlan-net] quit

# 配置AP组引用VAP模板，AP上射频0和射频1都使用VAP模板“wlan-net”的配置。

[AC-wlan-view] ap-group name ap-group1
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 0
[AC-wlan-ap-group-ap-group1] vap-profile wlan-net wlan 1 radio 1
[AC-wlan-ap-group-ap-group1] quit
[AC-wlan-view] quit

配置Aruba Clearpass
1. 登录Aruba ClearPass服务器。
  # 在浏览器中输入Aruba ClearPass的访问地址，地址格式为https://Aruba ClearPass IP，其中Aruba ClearPass IP是Aruba ClearPass服务器的IP地址。
  
  # 选择“ClearPass Guest访客管理”。
  
  # 在登录页面中，输入用户名和密码进行登录。
2. 配置认证界面
  # 依次选择“配置 > Pages > 网页登录”，在右侧操作区域单击“制定一个网络登录界面”。
  
  # 配置“名字”为“huawei”，“页面名称”为“huawei”，“供应商设置”选择“自定义设置”，“提交URL”与AC上认证地址配置一致，配置为“https://10.0.0.1:8443/login”，“用户名字段”和“密码字段”分别配置为“username”和“password”。其他选项使用默认配置。
  
  # 单击“保存更改”。
  
  # 单击“测试”，记录弹出页面的URL地址，例如https://10.23.103.1/guest/huawei.php?_browser=1。
3. 添加访客账号
  # 依次选择“访客 > 创建账户”，配置“Guest`s Name”为“test@huawei.com”，“Company Name”为“huawei”，“Email Address”为“test@huawei.com”，记录生成的密码，勾选“Terms of Use”。
  
  # 单击“Create”。
4. 添加AC设备，使Aruba Clearpass可以和AC联动
  # 在登录界面选择“ClearPass Policy Manager”，并输入用户名和密码登录。
  
  # 依次选择“配置 > 网络 > 设备”，在右侧操作区域单击“添加设备”，配置“名称”为“AC6605”，“IP或子网地址”为“10.23.102.2”，“RADIUS共享密钥”和“认证”为“huawei@123”，“供应商名称”选择“Huawei”，单击“Add”。
5. 添加Guest access服务
  # 依次选择“配置 > 此处开始”，在右侧的菜单中选择“Guest Access - Web Login”。
  
  # “General”页面中，“Name Prefix”配置为“huawei”。
  
  # “Service Rule”页面中，“Page name”选择“huawei”。
  
  # 单击“Add Service”。
6. 配置服务“Radius”。
  # 依次选择“配置 > 服务”，在右侧操作区域单击“添加服务”。
  
  # 在“服务”页签，选择类型为“802.1X Wireless – Identity Only”，配置名称为“Radius”；在“服务规则”页签下点击“Click to add”，选择“类型”为“Radius:IETF”，“名称”为“NAS-Identifier”，“运算符”为“EQUALS”，设置“值”为“huaweiac”。
  
  ClearPass服务器设置的NAS-Identifier属性的值必须与AC上配置的一致。如果设备上不配置该属性，ClearPass服务器上NAS-Identifier属性的值应设置为AC的名称。
  
  # 在“认证”页签，添加认证方法“[CHAP]”和“[PAP]”，添加认证源“[Guest User Repository][Local SQL DB]”和“[Local User Repository][Local SQL DB]”。
  
  # 其它页签使用缺省配置即可，单击“保存”。

在AC上测试用户是否能够通过RADIUS认证

[AC] test-aaa test@huawei.com 470541 radius-template wlan-net
Info: Account test succeed.

检查配置结果
- 完成配置后，用户可通过无线终端搜索到SSID为wlan-net的无线网络。
- STA关联到无线网络上后，能够被分配相应的IP地址。
- STA上打开浏览器访问网络时，会自动跳转到外置Portal服务器提供的认证页面，在页面上输入正确的用户名和密码后，STA认证成功并可以正常访问网络。
- 无线用户接入后，在AC上执行命令display access-user access-type，可以看到用户的在线信息。
```
[AC] display access-user access-type portal 
------------------------------------------------------------------------------
UserID Username                IP address       MAC            Status          
------------------------------------------------------------------------------
460    huawei                  10.23.101.254    8000-6e74-e78a Success 
------------------------------------------------------------------------------
Total: 1, printed: 1
```

配置文件

SwitchA的配置文件

#
sysname SwitchA
#
vlan batch 100 to 101
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk pvid vlan 100
 port trunk allow-pass vlan 100 to 101
 port-isolate enable group 1
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 to 101
#
return

SwitchB的配置文件

#
sysname SwitchB
#
vlan batch 100 to 104
#
dhcp enable
#
interface Vlanif101
 ip address 10.23.101.1 255.255.255.0
 dhcp select interface
#
interface Vlanif102
 ip address 10.23.102.1 255.255.255.0
#
interface Vlanif103
 ip address 10.23.103.2 255.255.255.0
#
interface Vlanif104
 ip address 10.23.104.1 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 to 101
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 100 102
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk pvid vlan 103
 port trunk allow-pass vlan 103
#
interface GigabitEthernet0/0/4
 port link-type trunk
 port trunk pvid vlan 104
 port trunk allow-pass vlan 104
#
ip route-static 0.0.0.0 0.0.0.0 10.23.104.2
ip route-static 10.0.0.1 255.255.255.255 10.23.102.2
#
return

Router的配置文件

#
sysname Router
#
interface GigabitEthernet0/0/1
 ip address 10.23.104.2 255.255.255.0
#
ip route-static 10.23.101.0 255.255.255.0 10.23.104.1
#
return

AC的配置文件

#
 sysname AC
#
 http secure-server ssl-policy sslserver
 http server enable 
#
portal https-redirect enable
#
vlan batch 100 102
#
authentication-profile name wlan-net
 portal-access-profile wlan-net
 free-rule-template default
 authentication-scheme wlan-net
 radius-server wlan-net
#
portal web-authen-server https ssl-policy sslserver
#
dhcp enable
#
radius-server template wlan-net
 radius-server shared-key cipher %^%#Oc6_BMCw#9gZ2@SMVtk!PAC6>Ou*eLW/"qLp+f#$%^%#
 radius-server authentication 10.23.103.1 1812 source ip-address 10.23.102.2 weight 80
 radius-attribute set NAS-Identifier huaweiac
#
pki realm abc                                                                   
 pki import-certificate ca realm abc pem filename rootca.pem
 pki import-certificate local realm abc pkcs12 filename localcert.p12
 pki import rsa-key-pair key1 pkcs12 localcert.p12 password Huawei@123
#                                                                               
ssl policy sslserver type server                                                
 pki-realm abc                                                                  
 version tls1.0 tls1.1 tls1.2                                                   
 ciphersuite rsa_aes_128_sha256 rsa_aes_256_sha256                              
#                                                     free-rule-template name default
 free-rule 0 destination ip 10.0.0.1 mask 255.255.255.255
#
web-auth-server wlan-net
 server-ip 10.23.103.1
 url https://10.23.103.1/guest/huawei.php
 source-ip 10.23.102.2
 protocol http
#
portal-access-profile name wlan-net
 web-auth-server wlan-net layer3
#
aaa
 authentication-scheme wlan-net
  authentication-mode radius
#
interface Vlanif100
 ip address 10.23.100.1 255.255.255.0
 dhcp select interface
#
interface Vlanif102
 ip address 10.23.102.2 255.255.255.0

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 100 102
#
interface LoopBack0
 ip address 10.0.0.1 255.255.255.255  
#
ip route-static 10.23.103.0 255.255.255.0 10.23.102.1
#
capwap source interface vlanif100
#
wlan
 security-profile name wlan-net
 ssid-profile name wlan-net
  ssid wlan-net
 vap-profile name wlan-net
  service-vlan vlan-id 101
  ssid-profile wlan-net
  security-profile wlan-net
  authentication-profile wlan-net
 regulatory-domain-profile name default
 ap-group name ap-group1
  radio 0
   vap-profile wlan-net wlan 1
  radio 1
   vap-profile wlan-net wlan 1
 ap-id 0 ap-mac 60de-4476-e360
 ap-id 0 type-id 35 ap-mac 60de-4476-e360 ap-sn 210235554710CB000042
  ap-name area_1
  ap-group ap-group1
#
return

翻译

English

下载文档

更新时间：2020-12-17

文档编号：EDOC1000113778

浏览量：175308

下载量：10080

平均得分:

本文档适用于这些产品