目录
Ⅰ 【选配】Portal逃生
一、原理介绍:
当现网配置的Portal服务器都不可用时,新接入网络的用户免认证。
二、配置命令:
web-auth portal-check interval 3 timeout 3 retransmit 10 //配置检测间隔3s,超时时间3s,重传次数10次
web-auth portal-escape [nokick]//开启portal逃生,配置nokick属性后,逃生生效时,对已在线用户不做下线处理。删除该属性,会下线在线用户
三、注意事项:
l 需要同时配置Portal检测功能。
l 如果配置了多个Portal服务器,则需要所有Portal服务器均不可用时逃生功能才会生效。
l 此功能仅针对Portal服务器,不针对RADIUS服务器。
Ⅱ 【选配】Radius逃生
一、原理介绍:
核心交换机每隔一段时间使用特定账号向SAM发起认证,如有得到回应则认为SAM服务器正常。如在重传一定次数后仍没有得到回应,则认为服务器异常,开启逃生功能,则下方用户发起的所有用户使用任意账号发起认证都会认证通过可以上网。
二、配置命令:
radius-server host 172.18.157.32 test username TaoShengTest idle-time 2 key ruijie
//核心交换机每隔2分钟使用用户名和密码分别为TaoShengTest/ruijie(用户名可自定义配置,密码软件写死为ruijie)的检测报文去radius上认证进行测试
radius-server dead-criteria time 120 tries 12 // 120s超时时间,重传12次才判断逃生。
web-auth radius-escape //全局下配置,启用web认证的radius逃生
Interface gi0/1
dot1x critical //接口下配置,启用1x认证的radius逃生
dot1x critical recovery action reinitialize //接口下配置,当RADIUS服务器恢复后,使用1X逃生的用户会被踢下线进行重新认证
三、注意事项:
1、SAM上需要配置开通这个账户(用户名 TaoShengTest ,密码ruijie),否则会产生大量账号不存在的垃圾日志
2、配置逃生注意点:如果配置逃生命令"radius-server host (radius ip) test username ruijie idle-time 2 key (radius key)"后,此时全局配置的radius key会被覆盖,属于正常现象,radius功能正常。
3、删除逃生注意点:如果取消逃生检测命令“no radius-server host (radius ip) test username ruijie idle-time 2 key (radius key)”后会导致全局配置的radius key丢失,此时radius服务器状态变为dead状态。需要在删除后再配置“radius-server host (radius ip) key 7 (radius key) ”,否则会导致基本的radius认证服务器不可达。
Ⅲ 【选配】WEB认证-基于IP/VLAN映射SSID
一、原理介绍:
传统网络方案AC作为无线用户的认证NAS设备,可以通过AC-AP之间的联动模块获取无线用户的SSID信息,并上传至SAM服务器上。并通过在SAM/portal配置策略来实现SSID号和portal推送认证界面的映射,来实现不同运营商或者不同用户组弹出不同认证界面。
极简网络中,核心N18K无法联动AP获得无线认证用户的SSID。为了解决该缺陷通过手动在N18K配置基于vlan映射SSID的功能通过认证报文上传至SAM服务器,以实现不同运营商或者不同用户组弹出不同认证界面的需求。
二、配置命令:
web-auth mapping map-ssid vlan 100 ssid ChinaNet //定义映射模板名称、映射vlan号、映射SSID名称
interface Gi1/1
web-auth apply-mapping map-ssid //认证接口下应用映射模板
三、注意事项:
l 可配置多个映射,用户不在映射范围内,会使用默认Portal进行认证。
l 不同的VLAN范围不可相互覆盖。
l 仅支持WEB认证
Ⅳ 【选配】802.1X认证前推送页面下载su客户端
一、原理介绍
许多高校针对802.1x认证用户,最初是没有相应的客户端的,如果管理员每个用户拷贝工作量也比较大。有些高校会要求用户在认证成功之前可以通过某网页或FTP服务器下载su客户端,配置该功能的终端通过浏览器打开网页时会被重定向到预先设定的服务器。
N18K上下联接口下,可能某些VLAN开启WEB认证,某些VLAN开启802.1x认证,针对该802.1x的终端需要在认证前获取su客户端,则可以配置多个web重定向模板,并且通过VLAN映射关联到重定向模板。
二、配置命令
web-auth template GET-SU v2 //重新起web 重定向
ip 192.168.51.212 //添加放置su客户端的服务器IP地址
url http://192.168.51.212:80/software.html //推送页面地址
web-auth mapping MAP-GET-SU vlan 200 template GET-SU //vlan 200用来弹送su客户端,注意该vlan200不能再做web认证
interface agg regateport 1 //在 接口下 开启1X 认证,web认证并调用该模板
switchport mode trunk
dot1x port-control auto 【风险】该配置操作会对现网业务造成影响,未认证的用户均无法上网,请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响,请不要操作,请联系4008111000进行评估后再决定是否操作。
web-auth enable eportalv2 //接口开启web认证受控,除了vlan200外的其他用户可以进行正常的web认证
web-auth apply-mapping MAP-GET-SU //调用认证模板,针对vlan 200, 用来推送su客户端下载
三、注意事项
VLAN映射有个数限制不能超过10个(指VLAN映射数,比如一个VLAN映射在5个接口下调用那还是算1个),否则会影响到web认证用户的页面弹送。
Ⅴ 【选配】定向放通DNS(防逃费)
一、原理介绍:
核心交换机接口开启WEB认证和1X认证受控后,用户在认证前默认放通所有的DNS报文。目前市场上存在逃费软件,使用VPN拨号的方式,利用认证前放行DNS报文的漏洞,将所有的报文封装在DNS报文里,达到逃费上网的目的。对此, 我们可以采用free-dns的方式来选择认证前放通的DNS,控制用户认证通过前DNS报文仅允许发送给预定的DNS服务器,避免逃费。
二、配置命令:
free-dns 114.114.114.114 【可加掩码】 //配置认证通过前,仅允许将DNS报文发送给114.114.114.114
三、注意事项:
free-dns只对用户认证前有效,用户认证后还是放行所有的DNS报文。
Ⅵ 【选配】记账报文复制功能
一、原理场景介绍:
在用户认证场景中,通常是使用NAS设备对接radius设备,例如N18k对接SAM实现认证功能。但存在一定的场景需求,即老师有另外一台设备或服务器,希望在该设备上可以看到用户的认证信息,包括用户名、ip、mac、流量等信息。通常的做法是:认证开启在N18K上,N18K镜像记账报文给该设备。但这样的镜像可能会存在问题,接受镜像流量的设备由于目的mac校验不通过,从而导致报文丢弃。因此需要使用记账报文复制功能,将送往radius的报文复制一份,并对报文目的ip以及mac作修改,传递一份到目的设备。
原理介绍:
当N18k底层的RADIUS 模块收到前端记账报文请求时,会封装记账报文信息(其目的ip与mac均为radius服务器),除此之外,若对应认证用户接入的接口开启复制命令,会在原始报文封装发送成功后,根据接口的复制报文命令查找到对应copy server 组中的服务器IP 地址,拷贝一份记账报文,重新加密,并将目的地址赋值为对应服务器的IP地址与mac地址实现报文复制并发送。
注意:
1、该功能支持的N18k版本为 N18000_RGOS 11.0(4)B55, Release(05230802) 及之后的版本
2、N18E暂不支持该功能
3、开启该功能的位置为需要记账报文复制的下联用户端口
4、该功能的开启需要下联接口配置认证受控,并且有认证用户
5、每个接口的服务器配置不能超过3个,否则可能会影响到性能。
二、控制器及设备配置:
【设备配置】
1、在N18k端先配置要copy记账报文的服务器组
aaa group server radius COPY-test
server 172.18.157.133 //要复制报文的服务器ip,要复制到多个则配置多个服务器ip即可,原则上不超过3个
server 192.168.1.13
2、在接口应用copy的服务器组
interface GigabitEthernet 2/28
mtu 1530
switchport mode trunk
switchport trunk allowed vlan only 1-28,30-4094
dot1x port-control auto 【风险】该配置操作会对现网业务造成影响,未认证的用户均无法上网,请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响,请不要操作,请联系4008111000进行评估后再决定是否操作。
dot1x mac-auth-bypass multi-user
web-auth enable eportalv2 【风险】该配置操作会对现网业务造成影响,未认证的用户均无法上网,请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响,请不要操作,请联系4008111000进行评估后再决定是否操作。
radius-server accounting-copy COPY-test //接口应用copy server的命令
【控制器配置】
无
三、配置验证:
1、在待接收复制报文的服务器上抓包可抓到复制过来的记账报文
四、注意事项:
1、该功能支持的N18k版本为 N18000_RGOS 11.0(4)B55, Release(05230802) 及之后的版本
2、开启该功能的位置为需要记账报文复制的下联用户端口
3、该功能的开启需要下联接口配置认证受控
4、每个接口的服务器配置不能超过3个,否则可能会影响到性能。
Ⅶ 【选配】免认证URL(域白名单)
一、应用场景:
场景1:高校场景中会有部分客户要求存在微信二维码扫描认证(N18K与SAM联动,用户连接上SSID以后通过手机扫一扫功能,扫描二维码连接网络),为实现终端认证通过前能正常打开微信扫一扫功能,则会通过free url 放通“微信”域名。
场景2:为实现终端认证前能访问部分自定义的域名,如www.test.com等url对应的域名。(注:该自定义域名的功能,可能导致表项被大量占用,存在较大风险,不建议使用,如要使用,需要评估明确,并且与客户同步好风险以后方可部署)
二、注意
1、如果放通了weixin,将导致用户会走过那段认证通过前就可以使用微信的所有功能,需明确同步客户,沟通同意过后配置。
2、手动定义域名的相关配置(该配置已经被隐藏),表项占用较大,存在较大风险,不建议使用,如要使用,需要评估明确,,并且与客户同步好风险以后方可部署。
3、版本功能不完善,存在缺陷,可能出现无法解析所有IP的情况。
4、N18E暂不支持该功能
三、配置命令:
free-url weixin //免认证放通微信,一般用于与SAM联动进行微信二维码扫描认证,放通微信域名,终端收集认证前微信扫一扫才可以正常使用
free-url iphone //免认证放通IPHONE服务器域名
!
interface AggregatePort 8 //配置在N18K连接出口设备的上联口
no switchport
description 出口
ip address 18.18.18.254 255.255.255.0
dns-sniffer enable //使能dns嗅探功能
ip dns snooping enable // 全局下使能DNS嗅探