cjh Portal认证,终端与业务控制器之间存在NAT该如何处理?
Portal认证,终端与业务控制器之间存在NAT该如何处理?
问题
如果终端与业务控制器之间存在NAT(Network Address Translation ),业务控制器可能无法获取终端的真实IP地址,会导致业务控制器无法根据终端IP地址找到接入控制设备,进而导致终端Portal认证失败。Portal认证,终端与业务控制器之间存在NAT该如何处理?
背景信息
根据NAT业务的部署位置可以分成如下几种情况。
场景一:NAT业务部署在AP与AC之间。
场景二:NAT业务部署在AC。
场景三:业务控制器和AC之间经过两次NAT。
在启用NAT的场景下,业务控制器需要获取终端的真实IP地址、MAC地址(MAC优先的Portal认证)才能下发正确的ACL。在场景一和场景二,终端与AP是直接连通的,AP可以正常获取终端的IP地址和MAC地址然后发给AC。AC可通过携带参数方式把终端地址发给业务控制器。业务控制器与AC之间能够直接通信,故参数无须携带AC的IP地址。
对于场景三,业务控制器与AC之间存在两次NAT,业务控制器无法获取AC的IP地址。除了终端真实IP地址和MAC地址以外,还需要携带AC的真实IP地址。
在配置AC携带参数时,在AC侧的参数名称允许重命名为其他名字,而业务控制器接收参数的名称却是固定的。故在AC配置携带参数需要以业务控制器支持的参数名称为准。
操作步骤
(1)场景一和场景二:配置AC向业务控制器发送终端的真实地址。
[AC] url-template name url1 //创建URL参数模板
[AC-url-template-url1] url http://172.18.1.1:8080/portal
[AC-url-template-url1] url-parameter user-ipaddress userip //场景一和场景二只需要携带终端用户的真实IP地址
[AC-url-template-url1] quit
[AC] web-auth-server portal1
[AC-web-auth-server-portal1] server-ip 172.18.1.1 //Portal服务器IP地址
[AC-web-auth-server-portal1] port 50200 //Portal服务器端口
[AC-web-auth-server-portal1] shared-key cipher Admin@123 //Portal服务器密钥
[AC-web-auth-server-portal1] url-template url1 //通过URL参数模板发送参数
[AC-web-auth-server-portal1] quit
[AC] interface vlanif 100
[AC-Vlanif100] web-auth-server portal1 direct
举例如下:在认证前访问Internet,终端Web浏览器将会看到http://172.18.1.1:8080/portal?userip=10.0.0.1。问号表示后面的字符串是形如(parameter1=value1¶meter2=value2&...¶meter_n=value_n)格式的URL参数和参数值,多个参数之间使用&分隔。
其中10.0.0.1就是终端IP地址,AC以URL参数的形式附加在认证URL末尾提交给业务控制器。业务控制器就会收到终端的真实IP地址。业务控制器就能给AC下发终端的授权信息。
(2)场景三:配置AC向业务控制器发送终端和AC的真实地址。
[AC] url-template name url1
[AC-url-template-url1] url http://172.18.1.1:8080/portal
[AC-url-template-url1] url-parameter user-ipaddress userip ac-ip acip //场景三需要同时携带终端用户和AC的真实IP地址
[AC-url-template-url1] quit
[AC] web-auth-server portal1
[AC-web-auth-server-portal1] server-ip 172.18.1.1
[AC-web-auth-server-portal1] port 50200
[AC-web-auth-server-portal1] shared-key cipher Admin@123
[AC-web-auth-server-portal1] url-template url1
[AC-web-auth-server-portal1] quit
[AC] interface vlanif 100
[AC-Vlanif100] web-auth-server portal1 direct
举例如下:在认证前访问Internet,终端Web浏览器将会看到http://172.18.1.1:8080/portal?userip=10.0.0.1&acip=172.18.1.254。其中10.0.0.1就是终端IP地址,172.18.1.254就是AC的IP地址。收到这两个地址后,业务控制器就能给AC下发终端的授权信息。
MAC优先的Portal认证需要在RADIUS服务器保存终端的MAC地址。终端的MAC地址只能通过RADIUS报文携带,无法通过URL参数来携带。故管理员无法通过URL参数user-mac缓存到RADIUS服务器来实现MAC优先的Portal认证。
(3)在业务管理器配置AC的联动参数时,终端IP地址池依旧输入终端的真实IP地址,而非转换后的IP地址池。
Huawei Agile Controller(列表、list、全)华为AClist、敏捷控制器list
http://www.zh-cjh.com/wenzhangguilei/3224.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » Portal认证,终端与业务控制器之间存在NAT该如何处理?
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm