正常上下线的报文交互过程简图
锐捷AC
CMCC-WEB认证的配置思路:
1.开启三个打开关,创建一个portal界面
aaa new-model
aaa accounting update
web-auth third-party cmcc
/锐捷web认证已经有两代,cmcc属于运营商三方认认证方式,需全局开启
web-auth cmcc portal cmcc-portal ip
192.168.29.41 url http://192.168.29.41:8080/showlogin.do /开启即加入白名单
2.配置一个或者多个radius服务器(包括key,认证端口,计费端口)
定义一个服务器组,并将服务器加入到服务器组,也可以不分组(相关端口还有一次更改的机会)
radius-server host 192.168.29.42 key itellin
aaa group server radius CMCC-SERVER
server 192.168.29.42
3.定义两个方法(计费方法、认证方法),方法中需关联服务器
aaa accounting network CMCC_ACCT start-stop group
CMCC_SERVER 定义一个记账方法
aaa authentication cmweb CMCC_AUTHEN group
CMCC_SERVER 定义一个cmccweb认证的方法
4.全局下把定义的认证、计费方法、portal界面应用到cmcc的web认证方式中
web-auth global authentication cmcc CMCC_AUTHEN
web-auth global accounting cmcc CMCC_ACCT
web-auth global portal-used cmcc-portal
5.wlansec下开启web认证(默认就是使用cmccweb认证)
wlansec 1
webauth
6.优化
web-auth offline-detect flow interval 10 flow
1024 10分钟低于1024B则踢下线
web-auth update-interval 60 60秒更新一次用户信息(如在线时长)(必须为60倍数,配61取60)
web-auth cmcc acct-update-interval 3 记账更新间隔3分钟
以下部分来源于自己的不完整测试,欢迎批判
http redirect direct-site
10.2.0.100 认证前放行10.2.0.100的所有报文
http redirect direct-site 192.168.29.47 8443 8444
认证前放行192.168.29.47 的tcp8443 8444端口报文
http redirect port 8081
http redirect port 9999
http redirect port 8443 添加需要重定向的端口,默认80
http redirect 192.168.29.48 认证前放行通往该地址的所有报文,疑与http
redirect direct-site 命令无异
锐捷AC默认放行DHCP、DNS报文、定义的cmcc-portal界面,无需另外添加到白名单