与H3C WX5004对接使用无线Portal接入

与H3C WX5004对接使用无线Portal接入

某企业开始推行规范化的计算机管理制度，在接入网络之前必须通过身份认证，并且不同部门的终端用户只允许访问本部门相关的服务器资源。

举例产品和版本

组网需求

某金融企业在业界处于领先地位，出于保护竞争力的需要，需要部署一套身份认证系统，对所有接入企业网络的员工进行准入控制，确保只有合法用户才能接入网络。

企业分为业务和后勤保障两个部门。员工人数大约100人，全部使用Microsoft Windows便携机办公，这些便携机通过无线网络接入网络。

根据企业的计算机使用管理条例规定：

在身份认证之前，除了基础网络设施（DNS服务器、DHCP服务器），不允许访问其他网络资源，避免身份不明的终端用户接入网络。

业务部的员工不允许访问后勤保障系统，后勤保障部的员工也不允许访问金融业务系统。

需求分析

解决问题要围绕“认证+授权”来开展。

    为了方便终端主机接入网络，对终端接入控制采用Portal准入控制方案，不需要在终端上安装客户端，使用操作系统自带的Web浏览器进行身份认证。

    AC采用H3C WX5004，以旁路的方式部署在汇聚交换机S9700旁边。H3C WX5004只支持H3C iMC Portal服务器和CMCC Portal服务器两种外置的Portal服务器。Agile Controller-Campus作为H3C WX5004外置Portal服务器的情况下，只能以CMCC Portal服务器的方式与H3C WX5004对接。

    华为Portal协议规范和CMCC Portal协议规范之间的差别在于两者的报文头是不同的。为了确保Agile Controller-Campus与H3C WX5004对接成功，在Agile Controller-Campus添加H3C WX5004时，Portal协议类型请选择CMCC Portal协议。

    Agile Controller-Campus作为Portal服务器与设备对接，会向设备发送报文协商Portal服务器侧使用的端口是50100还是50200。收到协商报文后华为交换机/AC会回复报文进行响应。H3C WX5004不识别这种报文无法作出响应，会导致两者端口协商失败。在H3C WX5004添加Portal服务器时，Agile Controller-Campus侧的端口需要输入两者都支持的50100而非50200，否则会对接失败。

    为了保证所有用户的流量都到AC进行统一控制，AP和AC之间的报文转发建议采用隧道转发（又称集中转发）模式。

    要保证网络互相隔离，请参考如下建议规划VLAN。

        为了能够在网络上隔离业务部和后勤保障部，需要分别为业务部和后勤保障部划分VLAN101和VLAN102。

        为AP规划管理VLAN100。

        接入交换机的GE0/0/1、GE0/0/2和GE0/0/3接口都需要透传AP的管理VLAN100的数据。

        汇聚交换机S9700的GE1/0/1接口需要透传AP的管理VLAN100的数据；GE1/0/2接口需要透传AP的管理VALN100和用户的业务VLAN101、VLAN102的数据；GE1/0/3接口需要透传业务VLAN101、VLAN102的数据。

        AC的GE1/0/1接口需要透传AP的管理VLAN100和业务VALN101、VLAN102的数据。

    企业内部网络可分成2个区域：认证前域（员工认证前允许访问的网络资源）和认证后域（企业内部的受保护的网络资源）。认证前域由AC上通过portal free-rule命令放行，认证后域由AC配置的ACL来控制。

    终端用户在没有进行身份认证之前只允许访问AC上由portal free-rule命令放行的网络资源。

    管理员在AC配置ACL控制业务部和后勤保障部的终端用户在通过认证后允许访问的网络资源。管理员在Agile Controller-Campus增加了授权结果，在员工身份认证通过之后由业务控制器向AC下发部门对应的ACL编号，实现不同的部门拥有不同的访问权限。

VLAN规划

配置思路

    配置接入交换机、汇聚交换机和AC，保证网络互通。

    在AC上配置RADIUS服务器认证、计费和授权模板，以便RADIUS服务器（业务控制器）能够根据员工的身份认证结果和策略检查结果向AC下发ACL ID。

    在业务管理器中添加AC，并配置参数，保证Agile Controller-Campus能与AC正常联动。

    增加授权结果和授权规则，对员工不同的认证状态下发不同的ACL ID。

前提条件

管理员需要在核心路由器上配置DHCP中继，以保证终端能够跨网段从DHCP服务器自动获取IP地址。

操作步骤

（1）【设备】配置接入交换机S5700，保证网络互通。

<HUAWEI> system-view

[HUAWEI] sysname S5700

[S5700] vlan batch 100   //创建VLAN100（AP的管理VLAN）

[S5700] interface gigabitethernet 0/0/1  //连接业务部AP的接口

[S5700-GigabitEthernet0/0/1] port link-type trunk  //修改接口gigabitethernet0/0/1的链路类型为trunk

[S5700-GigabitEthernet0/0/1] port trunk pvid vlan 100  //设置接口gigabitethernet0/0/1的缺省VLAN为VLAN100

[S5700-GigabitEthernet0/0/1] port trunk allow-pass vlan 100  //把接口gigabitethernet0/0/1加入VLAN100（所有的数据都封装在隧道中传输）

[S5700-GigabitEthernet0/0/1] quit

[S5700] interface gigabitethernet 0/0/2  //连接后勤保障部AP的接口

[S5700-GigabitEthernet0/0/2] port link-type trunk

[S5700-GigabitEthernet0/0/2] port trunk pvid vlan 100

[S5700-GigabitEthernet0/0/2] port trunk allow-pass vlan 100

[S5700-GigabitEthernet0/0/2] quit

[S5700] interface gigabitethernet 0/0/3  //连接汇聚交换机S9700的接口

[S5700-GigabitEthernet0/0/3] port link-type trunk

[S5700-GigabitEthernet0/0/3] port trunk pvid vlan 100

[S5700-GigabitEthernet0/0/3] port trunk allow-pass vlan 100

[S5700-GigabitEthernet0/0/3] quit

[S5700] quit

<S5700> save  //保存配置

（2）【设备】配置汇聚交换机S9700，保证网络互通。

<HUAWEI> system-view

[HUAWEI] sysname S9700

[S9700] vlan batch 100 101 102 103   //批量创建VLAN100（AP的管理VLAN）、VLAN101（业务部员工的业务VLAN）、VLAN102（后勤保障部员工的业务VLAN）和VLAN103

[S9700] interface gigabitethernet 1/0/1  //连接接入交换机S5700的接口

[S9700-GigabitEthernet1/0/1] port link-type trunk  //修改接口gigabitethernet0/0/1的链路类型为trunk

[S9700-GigabitEthernet1/0/1] port trunk allow-pass vlan 100  //把接口gigabitethernet0/0/1加入VLAN100（所有的数据都封装在隧道中传输）

[S9700-GigabitEthernet1/0/1] quit

[S9700] interface gigabitethernet 1/0/2  //连接AC的接口

[S9700-GigabitEthernet1/0/2] port link-type trunk

[S9700-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 101 102  //把接口gigabitethernet0/0/2加入VLAN100、VLAN101、VLAN102

[S9700-GigabitEthernet1/0/2] quit

[S9700] interface gigabitethernet 1/0/3  //连接核心路由器的接口

[S9700-GigabitEthernet1/0/3] port link-type trunk

[S9700-GigabitEthernet1/0/3] port trunk allow-pass vlan 101 102 103  //把接口gigabitethernet0/0/3加入VLAN101、VLAN102和VLAN103

[S9700-GigabitEthernet1/0/3] quit

[S9700] interface vlanif 103

[S9700-Vlanif103] ip address 172.18.10.2 255.255.255.0

[S9700-Vlanif103] quit

[S9700] quit

<S9700> save  //保存配置

（3）【设备】配置AC，保证网络互通的前提下，配置RADIUS服务器认证、计费、授权模板和认证后域，以便AC能够与RADIUS服务器联动控制便携机接入网络。

<AC> system-view

[AC] sysname WX5004

[WX5004] vlan 100 to 104  //批量创建VLAN100（AP的管理VLAN）、VLAN101（业务部员工的业务VLAN）、VLAN102（后勤保障部员工的业务VLAN）、VLAN104（DHCP服务器，为AP分配IP地址）

[WX5004] interface vlan-interface 100

[WX5004-Vlan-interface100] ip address 172.19.10.2 255.255.255.0  //配置AC的IP地址

[WX5004-Vlan-interface100] quit

[WX5004] interface vlan-interface 101

[WX5004-Vlan-interface101] ip address 172.19.11.2 255.255.255.0  //业务部的网关

[WX5004-Vlan-interface101] quit

[WX5004] interface vlan-interface 102

[WX5004-Vlan-interface102] ip address 172.19.12.2 255.255.255.0  //后勤保障部的网关

[WX5004-Vlan-interface102] quit

[WX5004] interface vlan-interface 104

[WX5004-Vlan-interface104] ip address 172.19.14.2 255.255.255.0  //为AP分配IP地址的接口

[WX5004-Vlan-interface104] quit

[WX5004] dhcp server ip-pool vlan104

[WX5004-dhcp-pool-vlan104] network 172.19.14.0 mask 255.255.255.0  //为AP分配IP地址

[WX5004-dhcp-pool-vlan104] gateway-list 172.19.14.2

[WX5004-dhcp-pool-vlan104] quit

[WX5004] ip route-static 0.0.0.0 0 172.18.10.1  //配置AC和服务器通信的缺省路由，报文默认转发到核心路由器。

[WX5004] radius scheme scheme1

[WX5004-radius-scheme1] server-type extended  //Agile Controller-Campus作为AC的外部Portal服务器，服务器类型设置为extended。

[WX5004-radius-scheme1] primary authentication 172.18.1.1 1812  //设置Agile Controller-Campus作为认证服务器

[WX5004-radius-scheme1] primary accounting 172.18.1.1 1813  //设置Agile Controller-Campus作为计费服务器

[WX5004-radius-scheme1] key authentication cipher Admin@123  //设置认证密钥和计费密钥为Admin@123，在业务管理器增加设备时，在业务管理器输入的认证计费密钥必须与此密钥保持一致，否则RADIUS服务器会丢弃AC发来的RADIUS报文，导致终端用户无法接入网络。

[WX5004-radius-scheme1] key accounting cipher Admin@123  //业务管理器的计费业务并非真实意义上的计费，配置计费的目的在于通过配置计费从RADIUS服务器与接入控制设备交互的计费报文获取终端用户的上线时间和下线时间，在需要时通过发送计费报文强制终端用户下线，最终目的是RADIUS计费来实现RADIUS在线用户管理功能。

[WX5004-radius-scheme1] user-name-format without-domain  //设备向RADIUS服务器发送的用户名为用户原始输入的用户名，用户名之后不需要附带域名。

[WX5004-radius-scheme1] nas-ip 172.19.10.2  //配置AC的源地址，使用源地址和RADIUS服务器通信。在业务管理器中添加设备后，业务管理器作为RADIUS服务器会校验AC发来报文的源地址，是否与业务管理器中添加设备时输入的设备地址一致。如果两者不一致，RADIUS服务器可能会丢弃AC发来的RADIUS报文，进而导致终端用户身份认证失败。为了避免这种问题发生，请务必配置AC的源地址。

[WX5004-radius-scheme1] timer realtime-accounting 6  //终端用户大概100人，实时计费周期需要设置为6min。

[WX5004-radius-scheme1] quit

timer realtime-accounting命令用来配置实时计费周期。实时计费间隔的取值对设备和RADIUS服务器的性能有要求，实时计费间隔的取值越小，对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。

[WX5004] domain domain1  //创建一个新的域

[WX5004-isp-domain1] authentication portal radius-scheme scheme1  //把RADIUS模板应用到域

[WX5004-isp-domain1] authorization portal radius-scheme scheme1

[WX5004-isp-domain1] accounting portal radius-scheme scheme1

[WX5004-isp-domain1] quit

[WX5004] domain default enable domain1  //把新建的域配置成默认域

配置认证后域。

[WX5004] acl number 3002  //业务部的认证后域对应AC上的ACL 3002。

[WX5004-acl-adv-3002] description business

[WX5004-acl-adv-3002] rule 1 deny ip destination 172.18.4.3 0  //禁止访问后勤保障系统。

[WX5004-acl-adv-3002] rule 5 permit ip  //允许访问其他系统。

[WX5004-acl-adv-3002] quit

[WX5004] acl number 3003  //后勤保障部的认证后域对应AC上的ACL 3003。

[WX5004-acl-adv-3003] description logistics

[WX5004-acl-adv-3003] rule 1 deny ip destination 172.18.4.2 0  //禁止访问金融业务系统。

[WX5004-acl-adv-3003] rule 5 permit ip  //允许访问其他系统。

[WX5004-acl-adv-3003] quit

（4）【设备】配置WLAN业务。

[WX5004] interface wlan-ess 1  //配置ESS接口

[WX5004-WLAN-ESS1] port link-type hybrid

[WX5004-WLAN-ESS1] port hybrid vlan 101 untagged

[WX5004-WLAN-ESS1] port hybrid pvid vlan 101

[WX5004-WLAN-ESS1] quit

[WX5004] wlan enable  //启用WLAN服务

[WX5004] wlan country-code cn  配置AC的全局国家码。国家码用来标识AP射频所在的国家。不同国家码规定了不同的AP射频特性，包括AP的发送功率、支持的信道等。

//没有配置国家码的AP将会继承全局国家码，确保AP发射无线信号符合国家当地的法律法规。cn表示中国。us表示美国，ca表示加拿大。其他国家码可在Internet查到。

[WX5004] wlan service-template 10 clear

[WX5004-wlan-st-10] ssid employee  //配置ssid

[WX5004-wlan-st-10] bind wlan-ess 1  //服务集模板应用于ESS接口

[WX5004-wlan-st-10] client remote-forwarding format dot11  //配置AC集中转发模式

[WX5004-wlan-st-10] service-template enable

[WX5004] wlan ap ap1 model WA2620i-AGN id 1  //配置AP模板

[WX5004-wlan-ap-ap1] serial-id 219801A0CNC142002237  //配置AP通过序列号在AC上线

[WX5004-wlan-ap-ap1] radio 1  //AP在2.4GHz和5.8GHz两个频段同时工作

[WX5004-wlan-ap-ap1-radio-1] service-template 10  //把服务集模板应用于射频

[WX5004-wlan-ap-ap1-radio-1] radio enable

[WX5004-wlan-ap-ap1-radio-1] quit

[WX5004-wlan-ap-ap1] radio 2

[WX5004-wlan-ap-ap1-radio-2] service-template 10

[WX5004-wlan-ap-ap1-radio-2] radio enable

[WX5004-wlan-ap-ap1-radio-2] quit

[X3024E-wlan-ap-ap1] quit

[WX5004] wlan ap ap2 model WA2620i-AGN id 1

[WX5004-wlan-ap-ap2] serial-id 219801A0CNC142002238

[WX5004-wlan-ap-ap2] radio 1

[WX5004-wlan-ap-ap2-radio-1] service-template 10

[WX5004-wlan-ap-ap2-radio-1] radio enable

[WX5004-wlan-ap-ap2-radio-1] quit

[WX5004-wlan-ap-ap2] radio 2

[WX5004-wlan-ap-ap2-radio-2] service-template 10

[WX5004-wlan-ap-ap2-radio-2] radio enable

[WX5004-wlan-ap-ap2-radio-2] quit

[X3024E-wlan-ap-ap2] quit

（5）【设备】配置Portal服务器。

配置Portal服务器的对接参数。

[WX5004] portal server server1 ip 172.18.1.1 key cipher Admin@123 port 50100 server-type cmcc url http://172.18.1.1:8080/portal 

//H3C的AC无法支持端口协商功能，只支持与Portal服务器的50100端口通信。Admin@123为Portal密钥。在业务管理器增加设备时，在业务管理器输入的Portal密钥必须与此密钥保持一致，否则Portal服务器会丢弃AC发来的Portal报文，导致终端用户无法接入网络。

Agile Controller-Campus

配置认证前域，确保终端用户在认证前能够访问DHCP服务器、DNS服务器和业务管理器。

[WX5004] portal free-rule 10 destination ip 172.18.1.1 mask 32 source any  //放行SM+SC（RADIUS服务器）

[WX5004] portal free-rule 15 destination ip 172.18.1.3 mask 32 source any  //放行DNS服务器

[WX5004] portal free-rule 20 destination ip 172.18.1.4 mask 32 source any  //放行DHCP服务器

[WX5004] interface Vlan-interface101

[Sysname-Vlan-interface101] portal url-param include user-url ssid  //向Portal服务器携带url参数，方便Portal服务器根据这些URL参数作进一步处理（认证后跳转到认证前输入的URL，根据ssid推送专属的认证页面）

[Sysname-Vlan-interface101] portal server server1 method layer3  //把Portal服务器应用于接口

[Sysname-Vlan-interface101] portal domain domain1

[Sysname-Vlan-interface101] portal nas-ip 172.19.10.2

[WX5004] interface Vlan-interface102

[Sysname-Vlan-interface102] portal url-param include user-url ssid  //向Portal服务器携带url参数，方便Portal服务器根据这些URL参数作进一步处理（认证后跳转到认证前输入的URL，根据ssid推送专属的认证页面）

[Sysname-Vlan-interface102] portal server server1 method layer3  //把Portal服务器应用于接口

[Sysname-Vlan-interface102] portal domain domain1

[Sysname-Vlan-interface102] portal nas-ip 172.19.10.2

（6）【Agile Controller-Campus】配置业务管理器。

增加AC，以便业务管理器能把管理员配置的ACL ID下发到AC。

# 选择“资源 > 设备 > 设备管理”。

# 单击“增加”，设置设备的连接参数。

# 单击“确定”。

配置认证规则。

# 选择“策略 > 准入控制 > 认证授权 > 授权规则”，修改缺省认证规则或新建认证规则。

# 将AD服务器加入“数据源”。缺省认证规则只针对本地数据源，如不将AD服务器加入，AD帐号认证失败。

配置认证后域。

# 选择“策略 > 准入控制 > 认证授权 > 授权结果”，单击“增加”以便增加业务部的认证后域。

# 单击“确定”。在授权阶段ACL 3002可以为业务部的员工分配网络访问权限。

# 单击“增加”为后勤保障部增加一个认证后域。

配置授权规则，确保终端在不同认证状态获得不同的网络访问权限。

# 单击“授权规则”，然后单击“增加”新建授权规则，以便把认证后域应用于业务部。

在业务部员工通过身份认证的情况下，业务管理器把3002作为ACL ID下发到AC，为员工授予除后勤保障系统以外的访问权限。

# 单击“增加”新建授权规则，以便把认证后域应用于后勤保障部。

 在后勤保障部员工通过身份认证的情况下，业务管理器把3003作为ACL ID下发到AC，为员工授予除金融业务系统以外的访问权限。

    定制认证页面。

    # 选择“策略 > 准入控制 > 页面定制 > 页面定制”，定制本企业专属的认证页面（具体步骤略）。

    配置Portal页面推送策略。

    # 选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”。

    # 单击“增加”，设置Portal页面推送策略。

    # 单击“确定”。

（7）验证配置的正确性。

tony在便携机上开启无线热点，连接到热点为employees的无线网络。

在认证前尝试在命令行提示窗口分别ping以下IP地址。

正确的测试结果如下：

打开Web浏览器，尝试访问http://x.x.x.x（x.x.x.x为认证后域的IP地址，不一定是真实环境中的Web服务器IP地址）。Web浏览器被重定向到Portal认证页面。在认证页面输入帐号tony和密码Admin@123。

身份认证通过后，在命令行提示窗口分别ping以下IP地址。

正确的测试结果如下：

在业务管理器（“资源 > 用户 > 在线用户管理”）可看到在线用户信息。

在AC运行display portal user all可看到在线用户信息。

jim在认证前的测试结果如下：

jim在认证后的测试结果如下：

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html