|
配置外置Portal认证示例 组网需求 如图1所示,某公共区域部署AC连接出口网关Router、RADIUS服务器和Portal服务器,并通过接入交换机SwitchA与AP连接。通过WLAN部署,提供SSID为test的无线网络方便用户随时随地接入。网关作为DHCP服务器为无线用户提供10.10.10.0/24网段的IP地址,AC上对用户进行集中控制和管理。 由于无线网络开放性的特点,存在安全风险。为了用户可以方便的关联到WLAN网络,AC使用缺省的安全策略,即不认证和不加密。为了集中管理接入的用户,仅对付费的用户授权访问Internet,AC配置Portal认证功能,任何接入的用户访问Internet时,都会重定向到Portal认证的Web页面,已付费用户输入得到的用户名和密码,即可得到授权正常使用网络,同时RADIUS服务器开始对用户计费。对于未付费用户,需要付费后,使用得到的用户名和密码完成Portal认证。一般Portal认证的Web页面包含支付功能,未付费用户可以在Web页面购买使用WLAN网络的时间,快捷的完成支付,得到授权使用WLAN网络。 图1 配置无线Portal认证组网图 ![]()
说明:本示例的业务数据转发方式采用隧道转发。如果用户的数据转发方式为直接转发,建议在SwitchA连接AP的接口GE0/0/1上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。 # 配置SwitchA连接AP的接口GE0/0/1加入VLAN100(管理VLAN),SwitchA连接AC的接口GE0/0/2加入VLAN100。 <Quidway> system-view [Quidway] sysnameSwitchA [SwitchA] vlanbatch 100 [SwitchA] interfacegigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1]port link-type trunk [SwitchA-GigabitEthernet0/0/1]port trunk pvid vlan 100 [SwitchA-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 [SwitchA-GigabitEthernet0/0/1]port-isolate enable [SwitchA-GigabitEthernet0/0/1]quit [SwitchA] interfacegigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2]port link-type trunk [SwitchA-GigabitEthernet0/0/2]port trunk allow-pass vlan 100 [SwitchA-GigabitEthernet0/0/2]quit # 配置AC连接SwitchA的接口GE0/0/1加入VLAN100。 <AC6605> system-view [AC6605] sysnameAC [AC] vlan batch100 [AC] interface gigabitethernet0/0/1 [AC-GigabitEthernet0/0/1]port link-type trunk [AC-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 [AC-GigabitEthernet0/0/1]quit 2. 配置AC与上层网络设备互通 # 配置VLANIF101(业务VLAN)、VLANIF102、VLANIF103和VLANIF104。 [AC] vlan batch101 102 103 104 [AC] interfacevlanif 101 [AC-Vlanif101] ipaddress 10.10.10.1 24 [AC-Vlanif101] quit [AC] interfacevlanif 102 [AC-Vlanif102] ipaddress 11.1.1.2 24 [AC-Vlanif102] quit [AC] interfacevlanif 103 [AC-Vlanif103] ipaddress 12.1.1.2 24 [AC-Vlanif103] quit [AC] interfacevlanif 104 [AC-Vlanif104] ipaddress 13.1.1.2 24 [AC-Vlanif104] quit # 配置AC连接Router的接口GE0/0/2加入VLAN102。 [AC] interface gigabitethernet0/0/2 [AC-GigabitEthernet0/0/2]port link-type trunk [AC-GigabitEthernet0/0/2]port trunk allow-pass vlan 102 [AC-GigabitEthernet0/0/2]quit # 配置AC连接RADIUS服务器的接口GE0/0/3加入VLAN103。 [AC] interface gigabitethernet0/0/3 [AC-GigabitEthernet0/0/3]port link-type trunk [AC-GigabitEthernet0/0/3]port trunk allow-pass vlan 103 [AC-GigabitEthernet0/0/3]quit # 配置AC连接Portal服务器的接口GE0/0/4加入VLAN104。 [AC] interface gigabitethernet0/0/4 [AC-GigabitEthernet0/0/4]port link-type trunk [AC-GigabitEthernet0/0/4]port trunk allow-pass vlan 104 [AC-GigabitEthernet0/0/4]quit # 配置AC的缺省路由。 [AC] iproute-static 0.0.0.0 0.0.0.0 11.1.1.1 3. 配置AC给AP分配IP地址,Router给STA分配IP地址。 # 配置AC通过接口地址池为AP分配IP地址。 [AC] dhcp enable [AC] interfacevlanif 100 [AC-Vlanif100] ipaddress 192.168.10.1 24 [AC-Vlanif100] dhcpselect interface [AC-Vlanif100] quit # 配置AC作为DHCP中继并使能DHCP中继探测用户表项功能。 [AC] dhcp relaydetect enable [AC] interfacevlanif 101 [AC-Vlanif101] dhcpselect relay [AC-Vlanif101] dhcprelay server-ip 11.1.1.1 [AC-Vlanif101] quit # 配置Router作为DHCP服务器为STA分配IP地址。 <Huawei> system-view [Huawei] sysnameRouter [Router] dhcpenable [Router] ip poolsta [Router-ip-pool-sta] gateway-list10.10.10.1 [Router-ip-pool-sta] network10.10.10.0 mask 24 [Router-ip-pool-sta] quit [Router] vlanbatch 102 [Router] interfacevlanif 102 [Router-Vlanif102] ipaddress 11.1.1.1 24 [Router-Vlanif102] dhcpselect global [Router-Vlanif102] quit [Router] interfacegigabitethernet 2/0/0 [Router-GigabitEthernet2/0/0]port link-type trunk [Router-GigabitEthernet2/0/0]port trunk allow-pass vlan 102 [Router-GigabitEthernet2/0/0]quit [Router] iproute-static 10.10.10.0 24 11.1.1.2 4. | 
川公网安备 51010702002559号