由浅入深玩转华为WLAN—12安全认证配置(5)Portal认证,外置Protal服务器TSM对接(网页认证)
简介
这也是安全认证的最后一种方式了,就是AC与外边Protal服务器对接的认证,这里采用的是华为TSM(目前最新的已经改为policy center了),也支持第三方认证服务器,这里只是简单演示下,更多策略的控制跟应用,可以参考手册说明。
拓扑(省略)
拓扑其实很简单的,跟平常的无线拓扑一样,可以参考之前的文章即可,这里主要讲解AC上面的Protal定义,以及测试。
AC初始化
[Huawei-AC6605]dhcp enable
[Huawei-AC6605]vlan batch 88 100
[Huawei-AC6605]interface Vlanif 88
[Huawei-AC6605-Vlanif88]ip address 192.168.88.1 255.255.255.0
[Huawei-AC6605-Vlanif88]dhcp select interface
[Huawei-AC6605]interface Vlanif 100
[Huawei-AC6605-Vlanif100]ip address 192.168.100.1 255.255.255.0
[Huawei-AC6605-Vlanif100]dhcp select interface
[Huawei-AC6605-Vlanif100]dhcp server dns-list 218.85.152.99
[Huawei-AC6605]interface Vlanif 1
[Huawei-AC6605-Vlanif1]ip address 192.168.31.100 255.255.255.0
配置AC与AP相连的端口
[Huawei-AC6605]interface GigabitEthernet0/0/11
[Huawei-AC6605-GigabitEthernet0/0/11]port link-type trunk
[Huawei-AC6605-GigabitEthernet0/0/11]port trunk pvid vlan 88
[Huawei-AC6605-GigabitEthernet0/0/11]undo port trunk allow-pass vlan 1
[Huawei-AC6605-GigabitEthernet0/0/11]port trunk allow-pass vlan 88 100
配置RADIUS服务器模版
[Huawei-AC6605]radius-server template portal
[Huawei-AC6605-radius-portal]radius-server authentication 192.168.31.209 1812
[Huawei-AC6605-radius-portal]radius-server accounting 192.168.31.209 1813
[Huawei-AC6605-radius-portal]radius-server shared-key simple huawei123
配置RADIUS授权服务器
[Huawei-AC6605]radius-server authorization 192.168.31.209 shared-key simple huawei123
配置认证方案和计费方案
[Huawei-AC6605] aaa
[Huawei-AC6605-aaa]authentication-scheme portal
[Huawei-AC6605-aaa-authen-portal] authentication-mode radius
[Huawei-AC6605-aaa]accounting-scheme portal
[Huawei-AC6605-aaa-accounting-portal] accounting-mode none
配置域
[Huawei-AC6605-aaa]domain portal
[Huawei-AC6605-aaa-domain-portal]radius-server portal
[Huawei-AC6605-aaa-domain-portal]authentication-scheme portal
[Huawei-AC6605-aaa-domain-portal]accounting-scheme portal
配置Portal认证服务器
[Huawei-AC6605]web-auth-server portal
[Huawei-AC6605-web-auth-server-portal]server-ip 192.168.31.209
[Huawei-AC6605-web-auth-server-portal]port 50100
[Huawei-AC6605-web-auth-server-portal]shared-key simple password
[Huawei-AC6605-web-auth-server-portal]url https://192.168.31.209:8443/newwebauth
在接口下绑定Portal认证服务器
[Huawei-AC6605]interface vlanif 100
[Huawei-AC6605-Vlanif100]web-auth-server portal direct
配置免认证规则
[Huawei-AC6605]portal free-rule 0 destination ip 192.168.31.209 mask 255.255.255.255
[Huawei-AC6605]portal free-rule 1 destination ip 218.85.152.99 mask 255.255.255.255
建立wlan-ess接口和调用Portal认证服务器与认证域
[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1] port hybrid pvid vlan 100
[Huawei-AC6605-Wlan-Ess1] port hybrid untagged vlan 100
[Huawei-AC6605-Wlan-Ess1] web-authentication first-mac
[Huawei-AC6605-Wlan-Ess1] permit-domain name portal
配置wlan-ess接口,在wlan-ess接口调用内置Portal与允许的认证域
[Huawei-AC6605]interface Wlan-Ess 1
[Huawei-AC6605-Wlan-Ess1]port hybrid pvid vlan 100
[Huawei-AC6605-Wlan-Ess1]port hybrid untagged vlan 100
[Huawei-AC6605-Wlan-Ess1]portal local-server enable
[Huawei-AC6605-Wlan-Ess1]permit-domain name default
配置AC的源接口,用于AC和AP之间建立隧道通信。
[Huawei-AC6605]wlan
[Huawei-AC6605-wlan-view]wlan ac source interface vlanif88
配置AP的认证方式为免认证
[Huawei-AC6605-wlan-view]ap-auth-mode no-auth
添加AP
[Huawei-AC6605-wlan-view]ap id 0 type-id 31 mac d4b1-10ac-0b00 sn 210235582910D6000354
创建名为“wmm1”的WMM模版,参数采用默认配置
[Huawei-AC6605-wlan-view]wmm-profile name wmm1 id 1
创建名为“radio1”的射频模版,绑定WMM模版“wmm1”
[Huawei-AC6605-wlan-view]radio-profile name radio1 id 1
[Huawei-AC6605-wlan-radio-prof-radio1]wmm-profile id 1
创建名为“traffic1”的流量模版,参数采用默认配置
[Huawei-AC6605-wlan-view]traffic-profile name traffic1 id 1
创建名为“security1”的安全模版,认证方式为WEP认证,开放认证,不加密
[Huawei-AC6605-wlan-view]security-profile name security1 id 1
创建名为“service1”的服务集,并绑定流量模版和安全模版,WLAN-ESS接口
[Huawei-AC6605-wlan-view]service-set name service1 id 1
[Huawei-AC6605-wlan-service-set-service1]wlan-ess 1
[Huawei-AC6605-wlan-service-set-service1]ssid huawei-portal
[Huawei-AC6605-wlan-service-set-service1]traffic-profile id 1
[Huawei-AC6605-wlan-service-set-service1]security-profile id 1
[Huawei-AC6605-wlan-service-set-service1]service-vlan 100
配置AP对应的VAP,下发WLAN服务
[Huawei-AC6605-wlan-view]ap 0 radio 0
[Huawei-AC6605-wlan-radio-0/0]radio-profile id 1
[Huawei-AC6605-wlan-radio-0/0]service-set id 1 wlan 1
下发AP的WLAN配置
[Huawei-AC6605-wlan-view]commit all
TSM服务器配置
接入控制 – RADIUS服务器 – 添加RADIUS服务器
接入控制 – Portal网关 – 添加Portal网关
添加后域
修改后域的授权策略
建立一个“policy”策略
下发一个ACL,针对认证通过后的用户做访问限制
接入控制 – 授权规则模版 – 添加一个授权模版名为”ac6605-portal”
在Portal网关访问授权规则选择刚才创建好的后域
对创建好的授权规则模板”ac6605-portal”分配给部门
添加整个TSM部门包括子部门
部门管理 – 部门用户管理 – 创建用户,终端认证时候用到的用户
需要勾选”Web”选项,否则默认建立的用户只能用于TSM Agent代理的登陆
测试结果
终端搜索SSID,并连接。
测试PING www.qq.com
打开IE,输入www.qq.com
自动跳转到认证页面
输入已经在TSM服务器创建好的用户进行登陆
登陆成功后,测试登陆后是否可以正常访问互联网
如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路Blog(其他平台同名),版权归网络之路Blog所有,原创不易,侵权必究,觉得有帮助的,关注、转发、点赞支持下!~。
由浅入深玩转华为WLAN—12安全认证配置(5)Portal认证,外置Protal服务器TSM对接(网页认证)相关推荐
- 由浅入深玩转华为WLAN—11 安全认证配置(4)AC内置Portal认证(网页认证)
简介 之前介绍了4种安全认证方式了,这次介绍另外一种比较常用的,华为 H3C称为Protal认证,也就是平常讲的网页认证,它的思路就是可以直接通过open的方式连接到AP上,然后在打开任意网站的时候, ...
- 由浅入深玩转华为WLAN—10安全认证配置(3)无线dot1 PEAP认证,基于微软IAS服务器
简介 在之前里面介绍过open.WPA以及MAC地址认证的方式,这次介绍无线里面常用的另外一种认证就是dot1x ,这里对于IAS的安装不会做过多介绍,主要讲解下怎么配置IAS里面的认证方式,以及AC ...
- 由浅入深玩转华为WLAN—13 华为胖AP的常见配置
简介 华为的胖AP从配置上面来说与AC真的没啥区别,只是一个是AC最后下发业务给瘦AP,而胖AP的话则是在射频口调用,让无线客户端能够搜索的到该SSID.另外胖AP的话,它是独自运行的,不需要AC来进 ...
- 由浅入深玩转华为WLAN—23 Traffic-filter(ACL)在WLAN无线场景的应用
简介 Traffic-Filter(ACL)在WLAN应用场景比较适合 在一个企业网络架构中,无线提供多种业务转发,包括给访客Guest的,以及内部员工的,我们希望访客只能访问internet,而内部 ...
- 由浅入深玩转华为WLAN—-4 DHCP Option 43配置方法
简介 在配置Option 43之前,需要保证: 1. AP与DHCP服务器之间路由可达,即AP可以获取到IP地址. 2. AP与AC之间路由可达,保证AP获取到AC地址后,能够与AC交互信息,建立CA ...
- 由浅入深玩转华为WLAN—20 漫游系列(7)不同AC之间二层漫游【二层上线+直连式+直接转发模式】
说明 之前介绍过在AC间漫游的新概念以及一些处理过程,对比AC内漫游相对从配置角度来说不是非常大,只是转发的过程有点小变化,这个可以参考之前介绍的转发过程即可. 二层漫游的数据包转发过程(该图中直接转 ...
- 由浅入深玩转华为WLAN—16 漫游系列(3)同一AC内AP之间二层漫游【二层上线+旁挂+直接转发组网方式以及漫游后业务不同故障解决方案讲解】
简介 上一篇已经把整个网络的网络初始化已经完毕,从接入交换机的VLAN划分以及接口类型配置,到核心交换机的初始化,VLANIF创建跟DHCP与路由,出口路由器的路由 NAT等,这些初始化的目的主要是为 ...
- 由浅入深玩转华为WLAN——2 三层组网AP上线
一.实验目标 理解无线三层组网的特点 掌握三层组网AP上线的配置 掌握修改AP认证方法的命令 二.实验拓扑 三.实验配置 1.基础配置 AC基础配置如下 # vlan batch 101 to 102 ...
- 由浅入深玩转华为WLAN—25 高可用性系列(1)双击热备概述
简介 在无线接入网络中,一台AC能管理几百台AP.如果AC发生故障,则AC关联的所有AP的业务都会中断,所以AC的可靠性对于网络的高可用性十分重要. 在无线接入网络中,一台AC能管理几百台AP.如果A ...
- 由浅入深玩转华为WLAN—19 漫游系列(6)不同AC之间AP漫游的概述以及二三层漫游处理过程
HAC(Home AC):一个无线终端首次与漫游组内的某个AC进行关联,该AC即为它的HAC,如图所示,AC_1即为STA的HAC. HAP(Home AP):一个无线终端首次与漫游组内的某个AP进行 ...
最新文章
- 1091. Acute Stroke (30)
- android layout 点击,Tips_Android点击事件(Down、Move、Up)的分发_重写Layout响应拖动事件...
- VTK:Utilities之CheckVTKVersion
- 机器学习-分类之AdaBoost原理及实战
- 模板:拓展kmp(Z函数)
- springboot 缓存ehcache的简单使用
- 论文浅尝 | 用于视觉推理的显式知识集成
- 【代码升级】【iCore3 双核心板】例程二十八:FSMC实验——读写FPGA
- go语言 panic
- 【Java TCP/IP Socket】 — close()/shutdownOutput()/shutdownInput() 分析
- [转载] arrayproxy转numpy_Python numpy.ptp() 使用实例
- 【优化算法】天牛须搜索优化粒子群算法【含Matlab源码 1256期】
- android q beta3更新功能,Android Q Beta 3更新内容:拥抱5G和可折叠设备
- 英诚医院内部网络规划与设计
- face++ 行驶证OCR识别
- jetson nano 3(Archiconda安装)
- 13个最狂帅炫酷的前沿科技研究项目
- 什么是PaaS? 平台即服务的解释
- 第6周作业2-IF语句大显身手之成绩判断(网络131黄宇倩)
- 【数据结构与算法】之深入解析RSA加密算法的实现原理