- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
28-本地转发方式IPv6 Portal认证配置举例(V5)
本章节下载: 28-本地转发方式IPv6 Portal认证配置举例(V5) (843.63 KB)
本地转发方式IPv6 Portal认证典型配置举例(V5)
资料版本:6W114-20210416
Copyright © 2008-2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍本地转发方式IPv6 Portal认证的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Portal特性。
如图1所示,总部的AC与分支机构的AP跨三层关联并作为DHCPv6 server为Client分配IPv6地址;Router作为Client的网关并为AP分配IPv6地址,具体要求如下:
· 用户通过Portal认证接入无线网络;
· 用户通过Portal认证后,AC将用户规则下发到AP上,用户报文在AP上直接做转发。
图1 AC为无线客户端集中分配地址方式配置举例组网图
· 为实现AC与Portal服务器通信,需要在Switch A上配置到Portal服务器的静态路由;
· 在AC上配置DHCPv6功能,使AC统一分配、集中管理各分支机构中无线客户端的地址;
· 为了使AP能够直接转发Client报文,需要在AC的服务模板下开启本地转发功能,同时通过下发map-configuration文件来对AP进行配置实现本地转发。
· 为了保证域名正常解析,需在AC和AP上配置免认证规则,放行DNS服务器地址(本例略)。
· AC上要配置从WLAN获取用户信息的功能;
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IPv6地址,用来和AC通信。
<SwitchA> system-view
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ipv6 address 2001::50 64
[SwitchA-Vlan-interface10] quit
# 创建VLAN 20及其对应的VLAN接口,并为该接口配置IPv6地址,用来和AP通信。
[SwitchA] vlan 20
[SwitchA-vlan20] quit
[SwitchA] interface vlan 20
[SwitchA-Vlan-interface20] ipv6 address 2004::50 64
[SwitchA-Vlan-interface20] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IPv6地址,用来和Client通信。
[SwitchA] vlan 30
[SwitchA-vlan30] quit
[SwitchA] interface vlan 30
[SwitchA-Vlan-interface30] ipv6 address 2003::50 64
[SwitchA-Vlan-interface30] quit
# 创建VLAN 138及其对应的VLAN接口,并为该接口配置IPv6地址,用来和Portal服务器通信。
[SwitchA] vlan 138
[SwitchA-vlan138] quit
[SwitchA] interface vlan 138
[SwitchA-Vlan-interface138] ipv6 address 4000::1 64
[SwitchA-Vlan-interface138] quit
# 创建聚合口4。
[SwitchA] interface bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] quit
# 配置SwitchA与AC连接的接口加入聚合口4。
[SwitchA] interface ten-gigabitethernet 4/0/1
[SwitchA-Ten-GigabitEthernet4/0/1] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/1] quit
[SwitchA] interface ten-gigabitethernet 4/0/2
[SwitchA-Ten-GigabitEthernet4/0/2] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/2] quit
# 配置聚合口为Trunk口,并允许所有VLAN通过。
[SwitchA] interface bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] port link-type trunk
[SwitchA-Bridge-Aggregation4] port trunk permit vlan all
[SwitchA-Bridge-Aggregation4] quit
# 配置静态路由,用于AC与Portal服务器通信,下一跳指向与Portal服务器互通的网关。
[SwitchA] ipv6 route-static 4000:: 64 4000::2
(1) 配置AC接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IPv6地址,AC将使用该接口的IPv6地址与AP建立LWAPP隧道。
<AC> system-view
[AC] vlan 10
[AC-vlan10] quit
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ipv6 address 2001::1 64
# 取消对RA消息发布的抑制。
[AC-Vlan-interface10] undo ipv6 nd ra halt
# 设置被管理地址配置标志位为1。
[AC-Vlan-interface10] ipv6 nd autoconfig managed-address-flag
# 设置其他配置标志位为1。
[AC-Vlan-interface10] ipv6 nd autoconfig other-flag
[AC-Vlan-interface10] quit
# 创建VLAN 30及其对应的VLAN接口,并为该接口配置IPv6地址,用来作为Client接入的业务VLAN。
[AC] vlan 30
[AC-vlan30] quit
[AC] interface vlan-interface 30
[AC-Vlan-interface30] ipv6 address 2003::1 64
# 取消对RA消息发布的抑制。
[AC-Vlan-interface30] undo ipv6 nd ra halt
# 设置被管理地址配置标志位为1。
[AC-Vlan-interface30] ipv6 nd autoconfig managed-address-flag
# 设置其他配置标志位为1。
[AC-Vlan-interface30] ipv6 nd autoconfig other-flag
[AC-Vlan-interface30] quit
# 创建聚合口1。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] quit
# 将AC上两个物理口加入聚合口1。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-aggregation group 1
[AC-GigabitEthernet1/0/1] quit
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-aggregation group 1
[AC-GigabitEthernet1/0/2] quit
# 配置AC聚合口1的类型为Trunk口并允许所有VLAN通过,用来和AP、Client通信。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] port link-type trunk
[AC-Bridge-Aggregation1] port trunk permit vlan all
[AC-Bridge-Aggregation1] quit
(2) 配置DHCP服务
# 使能DHCPv6服务器功能。
[AC] ipv6 dhcp server enable
# 创建DHCPv6地址池30,用于为Client动态分配地址。
[AC] ipv6 dhcp pool 30
[AC-dhcp6-pool-30] network 2003::/64
[AC-dhcp6-pool-30] quit
[AC] interface vlan-interface 30
[AC-Vlan-interface30] ipv6 dhcp server apply pool 30
[AC-Vlan-interface30] quit
(3) 配置WLAN-ESS接口
# 创建接口WLAN-ESS 30。
[AC] interface wlan-ess 30
# 配置端口的链路类型为Access,允许VLAN 30通过。
[AC-WLAN-ESS30] port access vlan 30
[AC-WLAN-ESS30] quit
(4) 配置无线服务模板
# 创建clear类型的无线服务模板1。
[AC] wlan service-template 1 clear
# 设置当前服务模板的SSID为portal-local。
[AC-wlan-st-1] ssid portal-local
# 将WLAN-ESS30接口绑定到无线服务模板1。
[AC-wlan-st-1] bind wlan-ess 30
# 开启用户本地转发功能。
[AC-wlan-st-1] client forwarding-mode local
# 使能无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(5) 在AC下绑定无线服务模板
# 创建AP模板,名称为ap1,型号名称选择WA2620E-AGN,并配置其序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 210235A42MB108000002
[AC-wlan-ap-ap1] map-configuration apcfg.txt
# 进入radio 1射频视图。
[AC-wlan-ap-ap1] radio 1
# 将无线服务模板1绑定到AP的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(6) 配置Portal认证
# 配置Portal认证服务器地址为4000::50,并指定服务器对应的URL。
[AC] portal server pt ipv6 4000::50 key simple 123456 url http://[4000::50]:8080/portal
# 配置Portal免认证规则1,用来放行AC上配置Portal认证服务的接口能够与Portal服务器通信。
[AC] portal free-rule 1 source interface bridge-aggregation1 destination any
# 配置AC通过WLAN获取Portal用户信息。
[AC] portal host-check wlan
# 配置RADIUS方案portal。
[AC] radius scheme portal
# 配置认证、计费和授权服务器的IPv6地址为4000::50。
[AC-radius-portal] primary authentication ipv6 4000::50
[AC-radius-portal] primary accounting ipv6 4000::50
# 配置与认证、计费和授权服务器交互报文时的共享密钥为123456。
[AC-radius-portal] key authentication simple 123456
[AC-radius-portal] key accounting simple 123456
# 指定发送给RADIUS服务器的用户名不携带域名。
[AC-radius-portal] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IPv6地址为2001::1。
[AC-radius-portal] nas-ip ipv6 2001::1
[AC-radius-portal] quit
# 配置AAA认证域portal。
[AC] domain portal
# 设置ISP域的认证、授权和计费方法均为RADIUS。
[AC-isp-portal] authentication portal radius-scheme portal
[AC-isp-portal] accounting portal radius-scheme portal
[AC-isp-portal] authorization portal radius-scheme portal
[AC-isp-portal] quit
# 配置接口VLAN 30为Portal直接认证的接口。
[AC] interface vlan-interface 30
[AC-Vlan-interface30] portal server pt method direct
# 指定从接口接入的IPv6 Portal用户使用认证域为portal。
[AC-Vlan-interface30] portal domain ipv6 portal
# 配置接口发送Portal报文使用的IPv6源地址为2001::1。
[AC-Vlan-interface30] portal nas-ip ipv6 2001::1
# 开启Portal本地转发功能。
[AC-Vlan-interface30] portal forwarding-mode local
# 配置Portal用户报文的控制模式为MAC。
[AC-Vlan-interface30] portal control-mode mac
[AC-Vlan-interface30] quit
# 配置AC与AP和Portal服务器通信的静态路由下一跳为Switch A的接口VLAN 10。
[AC] ipv6 route-static :: 0 2001::50
# 配置GigabitEthernet0/0的IPv6地址,用来和AC通信。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ipv6 address 2001::3 64
[Router-GigabitEthernet0/0] quit
# 配置GigabitEthernet0/1的IPv6地址。
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet0/1] ipv6 address 2004::3 64
[Router-GigabitEthernet0/1] quit
# 使能DHCPv6服务器功能。
[Router] ipv6 dhcp server enable
# 配置DHCP地址池20,用于为AP动态分配地址。
[Router] ipv6 dhcp pool 20
[Router-dhcp6-pool-20] network 2004::/64
[Router-dhcp6-pool-20] option 52 hex 20010000000000000000000000000001
[Router-dhcp6-pool-20] quit
# 配置接口GigabitEthernet0/1工作在DHCPv6服务器模式,引用地址池20。
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet0/1] ipv6 dhcp server apply pool 20
[Router-GigabitEthernet0/1] quit
# 配置Router到公网的静态路由,下一跳指向AC交换侧的地址。
[Router] ipv6 route-static :: 0 2001::1
# 创建VLAN 20,并配置对应接口IPv6地址,用来和Router通信。
<SwitchB> system-view
[SwitchB] vlan 20
[SwitchB-vlan20] quit
[SwitchB] interface vlan-interface 20
[SwitchB-Vlan-interface20] ipv6 address 2004::2 64
[SwitchB-Vlan-interface20] quit
# 配置GigabitEthernet1/0/1的类型为Trunk,允许所有VLAN通过。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/1] quit
# 配置GigabitEthernet1/0/2接口属性,使能PoE为AP供电,类型为Trunk,允许所有VLAN通过,且PVID设置为20。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] poe enable
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/2] port trunk pvid vlan 20
[SwitchB-GigabitEthernet1/0/2] quit
# 创建VLAN 30,并配置对应接口的IPv6地址,用来和无线客户端通信。
[SwitchB] vlan 30
[SwitchB-vlan30] quit
[SwitchB] interface vlan-interface 30
[SwitchB-Vlan-interface30] ipv6 address 2003::2 64
[SwitchB-Vlan-interface30] quit
# 配置与公网设备通信的静态路由,下一跳指向与Router直连的接口。
[SwitchB] ipv6 route-static :: 0 2004::3
# 配置Portal服务器地址为4000::50,并指定服务器对应的url。
system-view
portal server pt ipv6 4000::50 key simple 123456 url http://[4000::50]:8080/portal
# 配置Portal免认证规则1,用来放行AP上开启Portal认证服务的接口能够与Portal服务器通信。
portal free-rule 1 source interface GigabitEthernet 1/0/1 destination any
# 配置移动需求的Portal参数。
portal device-id beijing-ac-01
portal url-param include nas-id param-name vlan
portal url-param include user-mac des-encrypt param-name wlanusermac
portal url-param include nas-ip param-name wlanacip
portal url-param include ap-mac param-name wlanapmac
portal url-param include user-url param-name wlanfirsturl
portal url-param include user-ip param-name wlanuserip
portal url-param include ac-name param-name wlanacname
portal url-param include ssid
portal host-check wlan
# 创建vlan 30。
vlan 30
# 创建VLAN 30对应接口,并进入接口VLAN 30视图
interface vlan 30
# 接口下指定Portal服务器并配置为直接认证方式。
portal server pt method direct
# 配置接口发送Portal报文使用的源地址为AC的地址。
portal nas-ip ipv6 2001::1
# 配置Portal用户报文的控制模式为MAC。
portal control-mode mac
# 进入到AP的物理接口GigabitEthernet1/0/1。
interface GigabitEthernet 1/0/1
# 配置接口GigabitEthernet1/0/1类型为Trunk。
port link-type trunk
# 配置接口GigabitEthernet1/0/1允许所有VLAN通过。
port trunk permit vlan all
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1 (E0303)、iMC EAD 7.1 (E0303),说明RADIUS server的基本配置。
(1) 配置Portal服务
# 配置Portal服务器。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,使用缺省配置。
图2 Portal服务器配置页面
# 配置IP地址组。
选择“用户”页签,单击导航树[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。
· 输入IP地址组名:wjh-pt;
· IPv6选择“是”;
· 输入起始地址:2003::1;
· 输入终止地址:2003::255;
· 其他采用缺省配置,单击<确定>按钮完成操作。
图3 增加IP地址组配置页面
# 增加Portal设备。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面。在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 输入设备名:wjh;
· 输入IP地址:即AC上配置的portal bas-ip地址,2001::1;
· 输入密钥:123456,与AC上配置的Portal server密钥一致;
· 其他采用默认配置,单击<确定>按钮完成操作。
图4 增加设备信息配置页面
# 增加端口组信息。
在Portal设备配置页面中的设备信息列表中,单击<端口组信息管理>按钮(“
”图标),进入端口组信息配置页面。
图5 设备配置页面
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 输入端口组名:w-group;
· 选择IP地址组:wjh-pt;
· 其他采用默认配置,单击<确定>按钮完成操作。
图6 增加端口组信息
(2) 配置接入服务
# 增加接入设备
选择“用户”标签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面。在该页面中单击<增加>按钮,进入增加接入设备页面。
选择手工增加接入设备,添加IPv6地址为2001::1的接入设备,与AC上RADIUS方案中的nas-ip一致;
· 设置与AC交互报文时使用的认证、计费共享密钥为“123456”,该密码与AC配置RADIUS方案时的地址一致;
· 选择接入设备类型为“H3C(General)”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图7 增加接入设备
# 增加接入策略。
选择“用户”标签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略配置页面。在接入策略列表中单击<增加>按钮,进入增加接入策略页面。
· 接入策略名输入“wjh-portal”;
· 业务分组“未分组”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图8 增加接入策略
# 增加接入服务。
选择“用户”标签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务配置页面。在接入服务列表中点击<增加>按钮。
· 服务名输入“wjh-portal”;
· 缺省接入策略“wjh-portal”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图9 增加接入服务
(3) 增加接入用户。
# 选择“用户”标签,单击导航树中的[接入用户管理/接入用户]菜单项,进入到接入用户配置页面。在接入用户列表中点击<增加>按钮,进入增加接入用户页面。
· 在增加接入用户页面,单击<增加用户>按钮弹出增加用户窗口;
· 输入用户名“wjh-portal”;
· 输入证件号码“111111”;
· 单击<检查是否可用>按钮;
· 如用户姓名和证件号码可用,单击<确定>按钮完成操作。
图10 增加用户
· 账号名输入“wjh-portal”;
· 勾选接入服务“wjh-portal”;
· 单击<确定>按钮完成操作。
图11 增加接入用户
# 无线客户端使用SSID为portal-local的无线服务模板上线,获取到地址。在浏览器中输入Portal服务器网段的任一地址,弹出Portal认证页面,输入Portal服务器上设置的用户名和密码进行认证上线。
# 当Portal用户认证成功并上线之后,AC会将用户规则下发到AP设备上,用户报文在AP上直接做转发。在AC上通过命令display portal user interface查看成功上线的用户。
<AC> display portal user interface vlan 30
Index:0
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
----------------------------------------------------------------------------
0021-631e-7911 2003::1 30 Vlan-interface10
On interface Vlan-interface10:total 1 user(s) matched, 1 listed.
# 在AP上通过命令display portal acl dynamic interface查看用户规则成功下发。
<ap1> display portal acl dynamic interface vlan-interface 30
IPv4 portal ACL rules on Vlan-interface10:
Rule 0
Inbound interface : all
Type : dynamic
Action : permit
Source:
IP : 2003::1
Mask : 255.255.255.255
MAC : 0021-631e-7911
Interface : any
VLAN : 30
Protocol : 0
Destination:
IP : 0.0.0.0
Mask : 0.0.0.0
Author ACL:
Number : NONE
· SwitchA
#
vlan 10
#
vlan 20
#
vlan 30
#
vlan 138
#
interface Bridge-Aggregation4
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
ipv6 address 2001::50 64
#
interface Vlan-interface20
ipv6 address 2004::50 64
#
interface Vlan-interface30
ipv6 address 2003::50 64
#
interface Vlan-interface138
ipv6 address 4000::1 64
#
interface Ten-GigabitEthernet4/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
interface Ten-GigabitEthernet4/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
ipv6 route-static 4000:: 64 4000::2
#
· AC
#
portal server pt ipv6 4000::50 key cipher $c$3$rNRhle2UN3+u8va/OYD8LNQIHpTspvL5ng== url http://[4000::50]:8080/portal server-type imc
portal free-rule 1 source interface Bridge-Aggregation1 destination any
portal host-check wlan
#
ipv6 dhcp server enable
#
vlan 10
#
vlan 30
#
radius scheme portal
primary authentication ipv6 4000::0050
primary accounting ipv6 4000::0050
key authentication cipher $c$3$M3465DvHOI26Az+zawNZzuig0Nbyao4mJg==
key accounting cipher $c$3$9dXOxsAmXke7pEK0DpfA1wlcbEcKrjYxVQ==
user-name-format without-domain
nas-ip ipv6 2001::0001
#
domain portal
authentication portal radius-scheme portal
authorization portal radius-scheme portal
accounting portal radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template 1 clear
ssid portal-local
bind WLAN-ESS 30
client forwarding-mode local
service-template enable
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
undo ipv6 nd ra halt
ipv6 nd autoconfig managed-address-flag
ipv6 nd autoconfig other-flag
ipv6 address 2001::1/64
#
interface Vlan-interface30
undo ipv6 nd ra halt
ipv6 nd autoconfig managed-address-flag
ipv6 nd autoconfig other-flag
ipv6 address 2003::1/64
ipv6 dhcp server apply pool 30
portal control-mode mac
portal server pt method direct
portal domain ipv6 portal
portal nas-ip ipv6 2001::1
portal forwarding-mode local
#
interface Ten-GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface Ten-GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface WLAN-ESS30
port access vlan 30
#
wlan ap ap1 model WA2620E-AGN id 1
serial-id 210235A42MB108000002
radio 1
service-template 1
radio enable
radio 2
#
ipv6 route-static :: 0 2001::50
#
· Router
#
ipv6 dhcp server enable
#
ipv6 dhcp pool 20
network 2004::/64
option 52 hex 20010000000000000000000000000001
#
interface GigabitEthernet0/0
port link-mode route
ipv6 address 2001::3 64
#
interface GigabitEthernet0/1
port link-mode route
ipv6 address 2004::3 64
ipv6 dhcp server apply pool 20
#
ipv6 route-static :: 0 2001::1
#
· SwitchB
#
vlan 20
#
vlan 30
#
interface Vlan-interface20
ipv6 address 2004::2 64
#
interface Vlan-interface30
ipv6 address 2003::2 64
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 20
poe enable
#
ipv6 route-static :: 0 2004::3
#
如图12所示,总部的AC与分支机构的AP跨三层关联;Router作为无线客户端的网关并为AP分配地址,具体要求如下:
· 用户通过Portal认证接入无线网络;
· 用户通过Portal认证后,AC将用户规则下发到AP上,用户报文在AP上直接做转发。
· 各分支机构无线客户端的地址由各分支机构单独分配。
· 为实现AC与Portal服务器通信,Switch A上配置AC与Portal服务器通信的静态路由。
· 为避免各分支机构中的无线客户端地址重复,Router上配置为无线客户端分配地址的地址池。
· 为了使AP能够直接转发Client报文,需要在AC的无线服务模板上开启本地转发功能,同时通过下发map-configuration文件来对AP进行配置实现本地转发。
· AC上要配置用户信息从WLAN获取的功能。
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IPv6地址用来和AC通信。
<SwitchA> system-view
[SwitchA] vlan 10
[SwitchA-vlan10] quit
[SwitchA] interface vlan 10
[SwitchA-Vlan-interface10] ipv6 address 2001::50 64
[SwitchA-Vlan-interface10] quit
# 创建VLAN 138及其对应的VLAN接口,并为该接口配置IPv6地址用来和Portal服务器通信。
[SwitchA] vlan 138
[SwitchA-vlan138] quit
[SwitchA] interface vlan 138
[SwitchA-Vlan-interface138] ipv6 address 4000::1 64
[SwitchA-Vlan-interface138] quit
# 创建聚合口4。
[SwitchA] interface bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] quit
# 配置SwitchA与AC连接的接口加入聚合口。
[SwitchA] interface ten-gigabitethernet 4/0/1
[SwitchA-Ten-GigabitEthernet4/0/1] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/1] quit
[SwitchA] interface ten-gigabitEthernet 4/0/2
[SwitchA-Ten-GigabitEthernet4/0/2] port link-aggregation group 4
[SwitchA-Ten-GigabitEthernet4/0/2] quit
# 配置聚合口为Trunk口,并允许所有VLAN通过。
[SwitchA] int bridge-aggregation 4
[SwitchA-Bridge-Aggregation4] port link-type trunk
[SwitchA-Bridge-Aggregation4] port trunk permit vlan all
[SwitchA-Bridge-Aggregation4] quit
# 配置静态路由,用于Portal服务器与AC之间通信,下一跳指向和Portal服务器互通的网关。
[SwitchA] ipv6 route-static 4000:: 64 4000::2
(1) 配置AC接口
# 创建VLAN 10及其对应的VLAN接口,并为该接口配置IPv6地址用来和Portal服务器通信。
<AC> system-view
[AC] vlan 10
[AC-vlan10] quit
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ipv6 address 2001::1 64
[AC-Vlan-interface10] quit
# 创建VLAN 168及其对应的VLAN接口,并为该接口配置IPv6地址用来配置Portal服务。
[AC] vlan 168
[AC-vlan168] quit
[AC] interface vlan-interface 168
[AC-Vlan-interface168] ipv6 address 4000::3 64
[AC-Vlan-interface168] quit
# 创建聚合口1。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] quit
# 将AC上两个物理口加入聚合口1。
[AC] interface ten-gigabitethernet 1/0/1
[AC-Ten-GigabitEthernet1/0/1] port link-aggregation group 1
[AC-Ten-GigabitEthernet1/0/1] quit
[AC] interface ten-gigabitethernet 1/0/2
[AC-Ten-GigabitEthernet1/0/2] port link-aggregation group 1
[AC-Ten-GigabitEthernet1/0/2] quit
# 配置AC聚合口1的类型为Trunk口并允许所有VLAN通过。
[AC] interface bridge-aggregation 1
[AC-Bridge-Aggregation1] port link-type trunk
[AC-Bridge-Aggregation1] port trunk permit vlan all
[AC-Bridge-Aggregation1] quit
(2) 配置WLAN-ESS接口
# 创建接口WLAN-ESS 1。
[AC] interface wlan-ess 1
# 配置端口的链路类型为Access,允许VLAN 168通过。
[AC-WLAN-ESS1] port access vlan 168
[AC-WLAN-ESS1] quit
(3) 配置无线服务模板
# 创建clear类型的服务模板1。
[AC] wlan service-template 1 clear
# 设置无线服务模板的SSID为portal-local。
[AC-wlan-st-1] ssid portal-local
# 将WLAN-ESS 1接口绑定到无线服务模板。
[AC-wlan-st-1] bind wlan-ess 1
# 开启用户本地转发功能。
[AC-wlan-st-1] client forwarding-mode local
# 使能无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
(4) 在AC下绑定无线服务模板
# 创建AP模板,名称为ap1,型号名称选择WA2620E-AGN,并配置其序列号。
[AC] wlan ap ap1 model WA2620E-AGN
[AC-wlan-ap-ap1] serial-id 210235A42MB108000001
[AC-wlan-ap-ap1] map-configuration apcfg.txt
# 进入radio 1射频视图。
[AC-wlan-ap-ap1] radio 1
# 将服务模板1绑定到AP的radio 1口。
[AC-wlan-ap-ap1-radio-1] service-template 1
[AC-wlan-ap-ap1-radio-1] radio enable
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
(5) 配置Portal认证
# 配置Portal服务器地址为4000::50,并指定服务器对应的url。
[AC] portal server pt ipv6 4000::50 key simple 123456 url http://[4000::50]:8080/portal
# 配置Portal免认证规则1,用于放行AC上起Portal的接口能够与Portal服务器通信。
[AC] portal free-rule 1 source interface Bridge-Aggregation1 destination any
# 配置AC通过WLAN来获取Portal用户的相关信息。
[AC] portal host-check wlan
# 配置RADIUS方案portal。
[AC] radius scheme portal
# 配置认证、计费和授权服务器的IPv6地址为4000::50。
[AC-radius-portal] primary authentication ipv6 4000::50
[AC-radius-portal] primary accounting ipv6 4000::50
# 配置与认证、计费和授权服务器交互报文时的共享密钥均为123456。
[AC-radius-portal] key authentication simple 123456
[AC-radius-portal] key accounting simple 123456
# 指定发送给RADIUS方案portal中RADIUS服务器的用户名不携带域名。
[AC-radius-portal] user-name-format without-domain
# 配置设备发送RADIUS报文使用的源IPv6地址为2001::1。
[AC-radius-portal] nas-ip ipv6 2001::1
[AC-radius-portal] quit
# 配置AAA认证域portal。
[AC] domain portal
# 设置ISP域的认证、授权和计费方法均为RADIUS方式。
[AC-isp-portal] authentication portal radius-scheme portal
[AC-isp-portal] accounting portal radius-scheme portal
[AC-isp-portal] authorization portal radius-scheme portal
[AC-isp-portal] quit
# 在接口VLAN 168上开启Portal直接认证。
[AC] interface vlan-interface 168
[AC-Vlan-interface168] portal server pt method direct
# 指定从接口接入的IPv6 Portal用户使用认证域为portal。
[AC-Vlan-interface168] portal domain ipv6 portal
# 配置接口发送Portal报文使用的IPv6源地址为2001::1。
[AC-Vlan-interface168] portal nas-ip ipv6 2001::1
# 开启Portal本地转发功能。
[AC-Vlan-interface168] portal forwarding-mode local
# 配置Portal用户报文的控制模式为MAC。
[AC-Vlan-interface168] portal control-mode mac
[AC-Vlan-interface168] quit
# 配置与Portal服务器等公网设备通信的静态路由。
[AC] ip route-static :: 0 2001::2
# 配置接口GigabitEthernet 0/0的IPv6地址,用来与AC通信。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ipv6 address 2001::3 64
[Router-GigabitEthernet0/0] quit
# 创建子接口GigabitEthernet 0/1.100,并配置IPv6地址,划分VLAN为100,用来与AP通信。
[Router] interface gigabitethernet 0/1.100
[Router-GigabitEthernet0/1.100] ipv6 address 2004::3 64
[Router-GigabitEthernet0/1.100] vlan-type dot1q vid 100
[Router-GigabitEthernet0/1.100] quit
# 创建子接口GigabitEthernet 0/1.168,并配置IPv6地址,划分VLAN为168,用来与无线客户端通信。
[Router] interface gigabitethernet 0/1.168
[Router-GigabitEthernet0/1.168] ipv6 address 2003::1 64
[Router-GigabitEthernet0/1.168] vlan-type dot1q vid 168
[Router-GigabitEthernet0/1.168] quit
# 使能DHCPv6服务器功能。
[Router] ipv6 dhcp server enable
# 配置DHCPv6地址池100,用来为AP分配IPv6地址。
[Router] ipv6 dhcp pool 100
[Router-dhcp6-pool-100] network 2004::/64
[Router-dhcp6-pool-100] quit
# 配置DHCPv6地址池168,用于为无线客户端分配IPv6地址。
[Router] ipv6 dhcp pool 168
[Router-dhcp6-pool-168] network 2003::/64
[Router-dhcp6-pool-168] quit
# 配置接口GigabitEthernet0/1.100工作在DHCPv6服务器模式,引用地址池100。
[Router] interface gigabitethernet 0/1.100
[Router-GigabitEthernet0/1.100] ipv6 dhcp server apply pool 100
[Router-GigabitEthernet0/1.100] quit
# 配置接口GigabitEthernet0/1.168工作在DHCPv6服务器模式,引用地址池168。
[Router] interface gigabitethernet 0/1.168
[Router-GigabitEthernet0/1.168] ipv6 dhcp server apply pool 168
[Router-GigabitEthernet0/1.168] quit
# 配置Router到Portal服务器的静态路由,下一跳指向AC交换侧的地址。
[Router] ipv6 route-static 4000:: 64 2001::2
# 创建VLAN 100,并配置对应接口IPv6地址,用来和Router通信。
<SwitchB> system-view
[SwitchB] vlan 100
[SwitchB-vlan100] quit
[SwitchB] interface vlan-interface 100
[SwitchB-Vlan-interface100] ipv6 address 2001::3 64
[SwitchB-Vlan-interface100] quit
# 配置接口GigabitEthernet 1/0/1的类型为trunk,允许所有VLAN通过。
[SwitchB] interface gigabitethernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] port link-type trunk
[SwitchB-GigabitEthernet1/0/1] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet 1/0/2上使能PoE为AP供电,类型为Trunk,允许所有VLAN通过,且PVID设置为100。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] poe enable
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan all
[SwitchB-GigabitEthernet1/0/2] port trunk pvid vlan 100
[SwitchB-GigabitEthernet1/0/2] quit
# 创建VLAN168,并配置对应接口的IPv6地址,用来和无线客户端通信。
[SwitchB] vlan 168
[SwitchB-vlan168] quit
[SwitchB] interface vlan-interface 168
[SwitchB-Vlan-interface168] ipv6 address 2004::2 64
[SwitchB-Vlan-interface168] quit
# 配置与公网设备通信的静态路由,下一跳指向与Router直连的接口。
[SwitchB] ip route-static :: 0 2004::3
# 配置Portal服务器地址为4000::50,并指定服务器对应的url。
system-view
portal server pt ipv6 4000::50 key simple 123456 url http://[4000::50]:8080/portal
# 配置portal免认证规则1,用来放行AP上开启Portal服务的接口能够与Portal服务器通信。
portal free-rule 1 source interface GigabitEthernet 1/0/1 destination any
# 配置移动需求Portal参数。
portal device-id beijing-ac-01
portal url-param include nas-id param-name vlan
portal url-param include user-mac des-encrypt param-name wlanusermac
portal url-param include nas-ip param-name wlanacip
portal url-param include ap-mac param-name wlanapmac
portal url-param include user-url param-name wlanfirsturl
portal url-param include user-ip param-name wlanuserip
portal url-param include ac-name param-name wlanacname
portal url-param include ssid
# 创建VLAN 168及其接口,并进入接口视图。
vlan 168
interface vlan 168
# 开启直接认证方式的Portal认证。
portal server pt method direct
# 配置接口发送Portal报文使用的源地址为AC的地址。
portal nas-ip ipv6 2001::1
# 配置通过WLAN获取Portal用户信息。
portal host-check wlan
# 配置Portal用户报文的控制模式为MAC。
portal control-mode mac
interface GigabitEthernet 1/0/1
port link-type trunk
port trunk permit vlan all
下面以iMC为例(使用iMC版本为:iMC PLAT 7.1 (E0303)、iMC EAD 7.1 (E0303),说明RADIUS server的基本配置。
(1) 配置Portal服务
# 配置Portal服务器。
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/服务器配置]菜单项,进入服务器配置页面,使用缺省配置。
图13 Portal服务器配置页面
# 增加Portal地址组。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/IP地址组配置]菜单项,进入IP地址组配置页面。点击<增加>按钮,进入增加IP地址组页面。
· 输入IP地址组名:wjh-pt;
· IPv6选择“是”;
· 输入起始地址:2003::1;
· 输入终止地址:2003::255;
· 其他采用默认配置,单击<确定>按钮完成操作。
图14 增加IP地址组配置页面
# 增加Portal设备。
选择“用户”页签,单击导航树中的[接入策略管理/Portal服务管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。
· 输入设备名:wjh;
· 输入IP地址:即AC上配置的portal bas-ip地址,2001::1;
· 输入密钥:123456,与AC上配置的portal server密钥一致;
· 其他采用默认配置,单击<确定>按钮完成操作。
图15 增加设备信息配置页面
# 增加端口组信息。
在Portal设备配置页面中的设备信息列表中,单击<端口组信息管理>按钮(“
”图标),进入端口组信息配置页面。
图16 设备配置页面
在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。
· 输入端口组名:w-group;
· 选择IP地址组:wjh-pt;
· 其他采用默认配置,单击<确定>按钮完成操作。
图17 增加端口组信息
(2) 配置接入服务
# 增加接入设备。
选择“用户”标签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入到设备配置页面。在接入设备列表中单击<增加>按钮,进入增加接入设备页面。
· 选择手工增加接入设备,添加IPv6地址为2001::1的接入设备,与AC上RADIUS方案中的nas-ip一致;
· 设置与AC交互报文时使用的认证、计费共享密钥为“123456”,该密码与AC配置RADIUS方案时的地址一致;
· 选择接入设备类型为“H3C(General)”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图18 增加接入设备
# 增加接入策略。
选择“用户”标签,单击导航树[接入策略管理/接入策略管理]菜单项,进入到接入策略配置页面。在接入策略列表中点击<增加>按钮。
· 接入策略名输入“wjh-portal”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图19 增加接入策略
# 增加接入服务。
选择“用户”标签,单击导航树[接入策略管理/接入服务管理]菜单项,进入到接入服务配置页面。在接入服务列表中点击<增加>按钮,进入增加接入服务页面。
· 服务名输入“wjh-portal”;
· 缺省接入策略“wjh-portal”;
· 其它参数采用缺省值,并单击<确定>按钮完成操作。
图20 增加接入服务
(3) 增加接入用户。
选择“用户”标签,单击导航树中的[接入用户管理/接入用户]菜单项,进入到接入用户配置页面。在接入用户列表中点击<增加>按钮,进入增加接入用户页面。
· 在增加接入用户页面,单击<增加用户>按钮弹出增加用户窗口;
· 输入用户名“wjh-portal”;
· 输入证件号码“111111”;
· 单击<检查是否可用>按钮;
· 如用户姓名和证件号码可用,单击<确定>按钮完成操作。
图21 增加用户
· 勾选接入服务“wjh-portal”;
· 单击<确定>按钮完成操作。
图22 增加接入用户
无线客户端使用SSID为portal-local的无线服务模板上线。在浏览器输入Portal服务器网段的任一地址,弹出Portal认证页面,输入Portal服务器上设置的用户名和密码进行认证上线。
图23 用户上线
# 当Portal用户认证成功并上线之后,AC会将用户规则下发到AP设备上,用户报文在AP上直接做转发。在AC上通过命令display portal user interface查看Portal用户成功上线。
<AC> display portal user interface Vlan-interface 168
Index:9
State:ONLINE
SubState:NONE
ACL:NONE
Work-mode:stand-alone
MAC IP Vlan Interface
----------------------------------------------------------------------------
0021-631e-7911 2003::4 168 Vlan-interface168
On interface Vlan-interface168:total 1 user(s) matched, 1 listed.
# 在AP上通过命令dis portal acl dynamic interface查看用户规则下发成功。
<ap1> display portal acl dynamic interface Vlan-interface ?
<1,168> VLAN interface
<ap1> display portal acl dynamic interface Vlan-interface 168
IPv4 portal ACL rules on Vlan-interface168:
Rule 0
Inbound interface : all
Type : dynamic
Action : permit
Source:
IP :
MAC : 0021-631e-7911
Interface : any
VLAN : 168
Protocol : 0
Destination:
IP :
Author ACL:
Number : NONE
· SwitchA
#
vlan 10
#
vlan 138
#
interface Bridge-Aggregation4
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
ipv6 address 2001::50 64
#
interface Vlan-interface138
ipv6 address 4000::1 64
#
interface Ten-GigabitEthernet4/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
interface Ten-GigabitEthernet4/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 4
#
Ipv6 route-static 4000:: 64 4000::2
#
· AC
#
portal server pt ipv6 4000::50 key cipher $c$3$rNRhle2UN3+u8va/OYD8LNQIHpTspvL5
ng== url http://[4000::50]:8080/portal server-type imc
portal free-rule 1 source interface Bridge-Aggregation1 destination any
portal host-check wlan
#
vlan 10
#
vlan 168
#
radius scheme portal
primary authentication ipv6 4000::0050
primary accounting ipv6 4000::0050
key authentication cipher $c$3$M3465DvHOI26Az+zawNZzuig0Nbyao4mJg==
key accounting cipher $c$3$9dXOxsAmXke7pEK0DpfA1wlcbEcKrjYxVQ==
user-name-format without-domain
nas-ip ipv6 2001::0001
#
domain portal
authentication portal radius-scheme portal
authorization portal radius-scheme portal
accounting portal radius-scheme portal
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan service-template 1 clear
ssid portal-local
bind WLAN-ESS 1
client forwarding-mode local
service-template enable
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
#
interface Vlan-interface10
ipv6 address 2001::1 64
#
interface Vlan-interface168
ipv6 address 4000::3 64
portal server pt method direct
portal domain ipv6 portal
portal nas-ip ipv6 2001::1
portal control-mode mac
portal forwarding-mode local
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
#
interface WLAN-ESS1
port access vlan 168
#
wlan ap ap1 model WA2620E-AGN id 1
serial-id 210235A42MB108000001
radio 1
service-template 1
radio enable
radio 2
#
Ipv6 route-static :: 0 2001::2
#
· Router
#
ipv6 dhcp server enable
#
ipv6 dhcp pool 168
network 2003::/64
#
interface GigabitEthernet0/0
port link-mode route
ipv6 address 2001::3 64
#
interface GigabitEthernet0/1.100
vlan-type dot1q vid 100
ipv6 address 2004::3 64
ipv6 dhcp server apply pool 100
#
interface GigabitEthernet0/1.168
vlan-type dot1q vid 168
ipv6 address 2003::1 64
ipv6 dhcp server apply pool 168
#
Ipv6 route-static 4000:: 64 2001::2
#
· SwitchB
#
vlan 100
#
vlan 168
#
interface Vlan-interface100
ipv6 address 2001::3 64
#
interface Vlan-interface168
ipv6 address 2004::2 64
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 100
poe enable
#
Ipv6 route-static :: 0 2004::3
#
· 《H3C WX系列无线控制器产品配置指导》“二层技术配置指导”。
· 《H3C WX系列无线控制器产品命令参考》“二层技术命令参考”。
· 《H3C WX系列无线控制器产品配置指导》“WLAN配置指导”。
· 《H3C WX系列无线控制器产品命令参考》“WLAN命令参考”。
· 《H3C WX系列无线控制器产品配置指导》“安全配置指导”。
· 《H3C WX系列无线控制器产品命令参考》“安全命令参考”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
