华为AC配置OpenPortal Portal协议WEB认证WIFI认证系统Portal认证示例 1/3
配置外置Portal认证示例组网需求如图1所示,某公共区域部署AC连接出口网关Router、RADIUS服务器和Portal服务器,并通过接入交换机SwitchA与AP连接。通过WLAN部署,提供SSID为test的无线网络方便用户随时随地接入。网关作为DHCP服务器为无线用户提供10.10.10.0/24网段的IP地址,AC上对用户进行集中控制和管理。由于无线网络开放性的特点,存在安全风险。为了用户可以方便的关联到WLAN网络,AC使用缺省的安全策略,即不认证和不加密。为了集中管理接入的用户,仅对付费的用户授权访问Internet,AC配置Portal认证功能,任何接入的用户访问Internet时,都会重定向到Portal认证的Web页面,已付费用户输入得到的用户名和密码,即可得到授权正常使用网络,同时RADIUS服务器开始对用户计费。对于未付费用户,需要付费后,使用得到的用户名和密码完成Portal认证。一般Portal认证的Web页面包含支付功能,未付费用户可以在Web页面购买使用WLAN网络的时间,快捷的完成支付,得到授权使用WLAN网络。图1 配置无线Portal认证组网图 http://127.0.0.1:7890/pages/DZD0918A/04/DZD0918A/04/resources/dc/images/fig_dc_cfg_wlan_sec_002701.png说明:本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,建议在SwitchA连接AP的接口GE0/0/1上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。# 配置SwitchA连接AP的接口GE0/0/1加入VLAN100(管理VLAN),SwitchA连接AC的接口GE0/0/2加入VLAN100。<Quidway> system-view sysnameSwitchA vlanbatch 100 interfacegigabitethernet 0/0/1port link-type trunkport trunk pvid vlan 100port trunk allow-pass vlan 100port-isolate enablequit interfacegigabitethernet 0/0/2port link-type trunkport trunk allow-pass vlan 100quit# 配置AC连接SwitchA的接口GE0/0/1加入VLAN100。<AC6605> system-view sysnameAC vlan batch100 interface gigabitethernet0/0/1port link-type trunkport trunk allow-pass vlan 100quit2. 配置AC与上层网络设备互通# 配置VLANIF101(业务VLAN)、VLANIF102、VLANIF103和VLANIF104。 vlan batch101 102 103 104 interfacevlanif 101 ipaddress 10.10.10.1 24 quit interfacevlanif 102 ipaddress 11.1.1.2 24 quit interfacevlanif 103 ipaddress 12.1.1.2 24 quit interfacevlanif 104 ipaddress 13.1.1.2 24 quit# 配置AC连接Router的接口GE0/0/2加入VLAN102。 interface gigabitethernet0/0/2port link-type trunkport trunk allow-pass vlan 102quit# 配置AC连接RADIUS服务器的接口GE0/0/3加入VLAN103。 interface gigabitethernet0/0/3port link-type trunkport trunk allow-pass vlan 103quit# 配置AC连接Portal服务器的接口GE0/0/4加入VLAN104。 interface gigabitethernet0/0/4port link-type trunkport trunk allow-pass vlan 104quit# 配置AC的缺省路由。 iproute-static 0.0.0.0 0.0.0.0 11.1.1.13. 配置AC给AP分配IP地址,Router给STA分配IP地址。# 配置AC通过接口地址池为AP分配IP地址。 dhcp enable interfacevlanif 100 ipaddress 192.168.10.1 24 dhcpselect interface quit# 配置AC作为DHCP中继并使能DHCP中继探测用户表项功能。 dhcp relaydetect enable interfacevlanif 101 dhcpselect relay dhcprelay server-ip 11.1.1.1 quit# 配置Router作为DHCP服务器为STA分配IP地址。<Huawei> system-view sysnameRouter dhcpenable ip poolsta gateway-list10.10.10.1 network10.10.10.0 mask 24 quit vlanbatch 102 interfacevlanif 102 ipaddress 11.1.1.1 24 dhcpselect global quit interfacegigabitethernet 2/0/0port link-type trunkport trunk allow-pass vlan 102quit iproute-static 10.10.10.0 24 11.1.1.24.
页:
[1]