本文介绍了在WLAN接入中使用本地Portal认证特性的典型配置举例。
2 配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档假设您已了解Portal认证的特性。
如图1所示,Client通过无线网络访问内部局域网,AC通过Switch连接AP和RADIUS服务器,Switch作为DHCP服务器,为Client和AP提供IP地址。现要求:
· 要求AC使用本地Portal认证的方式对接入的Client进行认证,只有通过认证的Client才能够访问局域网
· 使用RADIUS服务器进行认证、授权和计费。
· 为实现AP和Client可以自动获取IP地址的功能,在AC上开启DHCP服务器功能。
· 为了实现对Client进行Portal认证,需要配置RADIUS方案和认证域。
配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.4 配置步骤
3.4.1 AC的配置
(1) 配置AC接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。
system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 100.100.1.1 255.255.0.0
[AC-Vlan-interface100] quit
# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN。
[AC] vlan 200
[AC-vlan200] quit
# 创建VLAN 300作为Client接入的业务VLAN,配置VLAN 300的接口IP地址。
[AC] vlan 300
[AC-vlan300] quit
[AC] interface vlan-interface 300
[AC-Vlan-interface300] ip address 100.30.1.1 255.255.0.0
[AC-Vlan-interface300] quit
# 配置AC和Switch相连的接口GigabitEthernet1/0/1为Trunk类型,禁止VLAN 1报文通过,允许VLAN 100和VLAN 300通过,当前Trunk口的PVID为100。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] port link-type trunk
[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1
[AC-GigabitEthernet1/0/1] port trunk permit vlan 100 300
[AC-GigabitEthernet1/0/1] port trunk pvid vlan 100
[AC-GigabitEthernet1/0/1] quit
(2) 配置DHCP服务
# 创建名为vlan100的DHCP地址池,动态分配的网段为100.100.1.0/16,网关地址为100.100.1.1。
[AC] dhcp server ip-pool vlan100
[AC-dhcp-pool-vlan100] network 100.100.1.0 mask 255.255.0.0
[AC-dhcp-pool-vlan100] gateway-list 100.100.1.1
[AC-dhcp-pool-vlan100] quit
# 创建名为vlan300的DHCP地址池,动态分配的网段为100.30.1.0/16,网关地址为100.30.1.1。
[AC] dhcp server ip-pool vlan300
[AC-dhcp-pool-vlan300] network 100.30.1.0 mask 255.255.0.0
[AC-dhcp-pool-vlan300] gateway-list 100.30.1.1
[AC-dhcp-pool-vlan300] quit
# 使能DHCP服务。
[AC] dhcp enable
(3) 配置认证策略
#创建RADIUS方案office并进入其视图。
[AC] radius scheme office
# 将RADIUS方案office的RADIUS服务器类型设置为extended。
[AC-radius-office] server-type extended
# 设置主认证RADIUS服务器