本帖最后由 月月鸟 于 2016-4-7 15:18 编辑
图貌似粘贴不上来,可以下载我上传的压缩文件观看。 使用的设备为华为AR1220E-S路由器(本身集成了AC功能),华为AP-3010,TP-LINK路由器,TP-LINK5口交换机。 拓扑图
实现了华为AP和别的厂商无线路由器 以及PC机的上网portal认证功能 一.服务器管理页面需要的配置
图(1) 1为你对接的设备VLAN接口的IP 2,3放在后面解释 4为WEB管理页面-【接入账户管理】-【帐号列表】里面的帐号系统默认有a到e5个帐号可以自己另外添加
图(2) 1为你对接的设备VLAN接口的IP 2放在后面解释 二 创建并配置RADIUS服务器模板、AAA方案以及域。1 1.1# 创建并配置RADIUS服务器模板“rd_portal”。 radius-server template rd_portal radius-server authentication 61.136.128.121812 //填写服务器的IP地址+端口(验证用) radius-server acc 61.136.128.12 1813 //同上(记账用) radius-server shared-key cipher radius (此处密码对应 图2的红框2) quit 1.2# 创建AAA认证方案“rd_portal”并配置认证方式为RADIUS。 aaa authentication-scheme rd_portal authentication-mode radius quit accounting-scheme rd_portal accounting-mode radius quit 1.3# 创建域“hjct.com”,并在其上绑定AAA方案“rd_portal”与RADIUS服务器模板“rd_portal”。 domain hjct.com authentication-scheme rd_portal accounting-scheme rd_portal radius-server rd_portal quit quit # 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test用户密码123456)。 [ACfun]domain hjct.com (使hjct.com域成为默认域,或者在VLAN接口下敲也行“portal domain hjct.com“也行)
[ACfun] test-aaa test@hjct.com 123456 radius-template rd_portal (华为的域我还不太理解,这个还未成功我用的下面一条命名不带域成功了)[ACfun]test-aaa test@ 123456radius-template rd_portal Info: Account test succeed. 1.4# 配置无线用户采用域“hjct.com”内的认证方式。(这个非必要可以忽略,是我华为AP和华为路由器对接用的) [AC] interfacewlan-ess 1 [AC-Wlan-Ess1] permit-domainname hjct.com [AC-Wlan-Ess1] force-domainname hjct.com [AC-Wlan-Ess1] quit 2 配置Portal认证。2.1# 在服务集视图下使能STA地址学习功能。(这个非必要可以忽略,是华为AP和华为路由器对接用的) Wlan ac service-set name test learn client ip-address enable quit quit 2.2# 创建并配置名称为“abc”的Portal服务器模板。其中URL格式需根据实际使用的Portal服务器进行配置。 web-auth-server abc server-ip 61.136.128.12 port 50200 (此处密码对应图1的红框3) 2.3# 配置设备与Portal服务器信息交互的共享密钥为huawei@123,并以密文形式显示。 shared-key cipher leeson (此处密码对应图1的红框2) quit
# 配置允许接入的最大Portal认证用户数为100。(按需配置) [AC] portalmax-user 100
2.4白名单配置 (头4条为PORTAL服务器IP和DNS地址,剩下的为我测试的不需要在意) portal free-rule 0 destination ip 61.136.128.12 mask255.255.255.255 portal free-rule 10 source ip 61.136.128.12 mask255.255.255.255 portal free-rule 1 destination ip 218.104.110.114 mask255.255.255.255 portal free-rule 2 destination ip 202.103.24.68 mask255.255.255.255 portal free-rule 3 source ip 61.136.128.5 mask255.255.255.255 portal free-rule 4 source ip 61.136.128.6 mask255.255.255.255 portal free-rule 5 source ip 61.136.128.7 mask255.255.255.255 portal free-rule 6 source ip 61.136.128.8 mask255.255.255.255 portal free-rule 7 source ip 61.136.128.9 mask255.255.255.255 portal free-rule 8 source ip 61.136.128.10 mask255.255.255.255 portal free-rule 9 source ip 61.136.128.242 mask255.255.255.255 2.5# 使能Portal认证功能。 [AC] interfacevlanif 3 [AC-Vlanif101] web-auth-serverabc layer3(三层设备的命令,二层设备是direct) [AC-Vlanif101] quit
F&Q 1.认证失败 (1)Portal free的设置问题 (2)domain hjct.com 要在全局或者接口下开启 (3)VLAN下要开启认证(web-auth-server abc layer3)后才能开始认证
2.wlan相关配置无法修改。 因为相关配置已经被调用,如下图删除无线网络,修改WLAN相关配置后在配置无线网络下发给AP
3.华为AP STA上无法推送WEB认证界面 注意华为AP的业务VLAN是多少,要在AP的业务VLAN下开启web-auth-serverabc layer3 4.解决AC无法识别FIT AP的问题 在AC识别FIT AP前web-auth-server abc layer3命令要关闭 | 
川公网安备 51010702002559号