1、Radius server作用:认证、验证用户名密码信息。2.组网图本配置举例中,使用WX3024作为无线控制器,版本号为R3120P13。AC作为AP网关(vlan-interface10: server为AP分配IP地址。AC作为STA网关(vlan-interface10: Server为STA分配IP地址。交换机为AP提供POE供电。Vlan 100作为接入服务器的vlan。二、配置步骤1.AC侧配置WX3024dis cu#version 5.20, Release 3120P13sysname WX3024domain default enable portaltelnet ser
2、ver enableport-security enableportal server imc ip key cipher $c$3$itGGvsiMps7ZVVGRRI40l/6E160UchEs url .100:80/portal server-type imcportal free-rule 0 source interface GigabitEthernet1/0/1 destination anyoap management-ip slot 0password-recovery enablevlan 1vlan 10vlan 100radius scheme portalprima
3、ry authentication primary accounting key authentication cipher $c$3$t+9cWQ48XdhS2Quths+KClYMwVa9oGKtkey accounting cipher $c$3$l6V/RTZVkThp3fZVYCtqf/9Gj1cUvW1Tuser-name-format without-domainnas-ip domain portal authentication portal radius-scheme portalauthorization portal radius-scheme portalaccoun
4、ting portal radius-scheme portalaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemdhcp server ip-pool 10network mask gateway-list dhcp server ip-pool vlan1user-group systemgroup-attribute allow-guestlocal-user adminpassword cipher $c$3$NdK60B00+clPqkKk1AxAFbETbktHL
5、/4authorization-attribute level 3service-type telnetwlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54wlan service-template 1 clearssid h3c-wubind WLA
6、N-ESS 10service-template enablewlan ap-group default_groupap ap1ap ap2ap ap3interface NULL0interface Vlan-interface1ip address interface Vlan-interface10portal server imc method directportal domain portalportal nas-port-type wirelessportal nas-ip #interface Vlan-interface100interface GigabitEthernet
7、1/0/1port link-type trunkport trunk permit vlan allinterface WLAN-ESS10port access vlan 10nqa entry imclinktopologypleaseignore pingtype icmp-echo destination ip frequency 270000wlan ap ap1 model WA2612-AGN id 1serial-id 210235A35WB09C000028radio 1 service-template 1 radio enablesnmp-agentsnmp-agent
8、 local-engineid 800063A203000FE2873066snmp-agent community read publicsnmp-agent community write privatesnmp-agent sys-info version v2c v3snmp-agent target-host trap address udp-domain params securityname public v2cdhcp enablearp-snooping enablenqa schedule imclinktopologypleaseignore ping start-tim
9、e now lifetime 0user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3Return2.主要配置步骤#创建vlan,并配置vlan接口ip地址。#控制vlan#业务vlan#接入服务器vlan#管理vlan接口信息#业务vlan接口上使能portal认证,并配置接入的portal用户使用认证域imc#接入服务器vlan,及服务器下发的地址ip #配置DHCP server#业务vlan地址池#AP注册vlan地址池#使能ARP Snooping功能命令di
10、splay wlan client显示无线客户端的IP地址。命令display wlan client显示的无线客户端的IP地址首先从ARP Snooping模块获取,从ARP Snooping模块获取不到时从DHCP Snooping模块获取。从DHCP Snooping模块也获取不到时显示AC arp-snooping enable#无线服务模板#配置无线虚接口,并放通相应的业务vlan10#AP管理模板,绑定相应服务模板并使能radio#配置portal server#配置portal server,名字为imc,URL为.100/portal key:admin#配置portal免认证
11、规则,允许从GE1/0/1口接入的用户的所有报文#radius(AAA)服务器策略,服务器地址:#创建名为portal的radius方案primary authentication #创建radius方案的主认证和主计费服务器及通信密钥#配置发送给radius服务器的用户不携带isp域名#radius服务器,下发的接入nas-ip地址#创建名为portal的isp认证域#配置SNMP,必须与imc配置一致3.SW侧配置:略4.IMCv7平台配置#配置Portal服务器。登录进入iMC管理平台,选择“用户”页签,点击导航树中的接入策略管理/Portal服务管理/服务器配置菜单项,根据实际组网情况
12、调整参数,本例中使用缺省配置。#配置IP地址组。点击导航树中的Portal服务管理/ IP地址组配置菜单项,进入IP地址组配置页面,在该页面中点击按钮,进入增加IP地址组配置页面。填写IP地址组名portal-h3c;输入起始地址在该IP地址组范围内;选择业务分组,本例中使用缺省的“未分组”;选择IP地址组的类型为“普通”。#增加Portal设备。点击导航树中的Portal服务管理/菜单项,进入设备配置页面,在该页面中点击按钮,进入增加设备信息配置页面。填写设备名portal-h3c;IP地址为接入设备AC上与Portal服务器通信的NAS-IP ;密钥h3c,与接入设备AC上的配置保持一致;
13、组网方式选择”直连”;其它参数采用缺省值。# Portal设备关联IP地址组。在Portal设备配置页面中的设备信息列表中,点击AC设备的链接,进入端口组信息配置页面。在端口组信息配置页面中点击按钮,进入增加端口组信息配置页面。填写端口组名portal-h3c;选择IP地址组portal-h3c,用户接入网络时使用的IP地址必须属于所选的IP地址组;#配置接入设备。选择“资源”页签,点击导航树中的资源管理/增加设备菜单项。填写主机名或IP地址;根据实际组网情况配置登录方式,并配置SNMP参数(只读团体字public,读写团体字private)、Telnet参数(用户名admin,密码admin
14、)、SSH参数(默认)。选择“用户”页签,点击导航树中的接入策略管理/接入设备管理/接入设备配置菜单项。在接入设备列表点击按钮,进入增加接入设备配置页面。填写共享密钥h3c,与接入设备AC上的配置保持一致。在设备列表点击,进入选取设备页面,通过设备IP:,并添加为,点击。点击完成接入设备的配置。#配置服务配置管理。选择“用户”页签,点击导航树中的接入策略管理/接入服务管理菜单项。在服务列表点击,进入增加服务配置页面,填写服务名h3c-portal,其它参数采用缺省值。#配置接入用户。选择“用户”页签,点击导航树中的用户管理/增加用户菜单项。填写用户姓名: portal001和证件号码:014,
15、其他默认,并点击确认。点击,进入增加接入用户界面,填写账号名portal001和密码portal001(可另设),并选择接入服务h3c-portal,点击确定,查看接入用户列表;三、实验验证1.验证在IE浏览器输入,portal服务器会将用户请求的页面强制重定向到portal认证页面,并输入用户名和密码,即可登录访问网络;注:需要在服务器上设置回程路由,否则AC接入设备能ping通服务器地址,但是PC上web无法访问服务器。2.结果验证(1)查看客户端信息(2)认证前客户端无法ping通iMC接口(3)进行Portal认证。(4)认证通过后客户端可以ping通iMC接口-本邮件及其附件含有杭州
16、华三通信技术有限公司的保密信息,仅限于发送给上面地址中列出的个人或群组。禁止任何其他人以任何形式使用(包括但不限于全部或部分地泄露、复制、或散发)本邮件中的信息。如果您错收了本邮件,请您立即电话或邮件通知发件人并删除本邮件!This e-mail and its attachments contain confidential information from H3C, which isintended only for the person or entity whose address is listed above. Any use of theinformation contained herein in any way (including, but not limited to, total or partialdisclosure, reproduction, or dissemination) by persons other than the intendedrecipient(s) is prohibited. If you receive this e-mail in error, please notify the senderby phone or email immediately and delete it!
