1.组网需求
AP和Client通过DHCP服务器获取IP地址,AC同时作为Portal认证服务器、Portal Web服务器,要求:
· AC采用直接方式的Portal认证。
· Client在通过Portal认证前,只能访问Portal Web服务器;Client通过Portal认证后,可以访问外部网络。
· Client的数据流量直接由AP进行转发。
· 用户可以在VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证。
2.配置思路
· 为了使用户可以在VLAN内的任何二层端口上访问网络资源,且移动接入端口时无须重复认证,必须开启Portal用户漫游功能。
· 在采用本地转发模式的无线组网环境中,AC上没有Portal客户端的ARP表项,为了保证合法用户可以进行Portal认证,需要开启无线Portal客户端合法性检查功能。
· 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败,需要关闭Portal客户端ARP表项固化功能。
· 为了将AP的GigabitEthernet1/0/1接口加入本地转发的VLAN 200,需要使用文本文档编辑AP的配置文件,并将配置文件上传到AC存储介质上。
3.配置注意事项
· 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
· 设备重定向给用户的Portal Web服务器的URL默认是不携带参数,需要根据实际应用手动添加需要携带的参数信息。
4.编辑AP配置文件
# 使用文本文档编辑AP的配置文件,将配置文件命名为map.txt,并将配置文件上传到AC存储介质上。配置文件内容和格式如下:
System-view vlan 200 interface gigabitethernet1/0/1 port link-type trunk port trunk permit vlan 200
5.配置AC
1)接口配置
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client将使用该VLAN接入无线网络。
2)配置无线服务
[AC] wlan service-template st1 # 创建无线服务模板st1,并进入无线服务模板视图。 [AC-wlan-st-st1] ssid service # 配置SSID为service。 [AC-wlan-st-st1] vlan 200 # 配置无线服务模板VLAN为VLAN200。 [AC–wlan-st-st1] client forwarding-location ap # 配置客户端数据报文转发位置为AP。
[AC] wlan ap office model WA4320i-ACN # 创建AP,配置AP名称为office,型号名称选择WA4320i-ACN。 [AC-wlan-ap-office] serial-id 219801A0CNC138011454 配置序列号219801A0CNC138011454。 [AC-wlan-ap-office] map-configuration map.txt # 指定AP的配置文件为map.txt。 [AC-wlan-ap-office] radio 2 # 进入Radio 2视图。 [AC-wlan-ap-office-radio-2] service-template st # 将无线服务模板st1绑定到radio 2 [AC-wlan-ap-office-radio-2] radio enable # 开启射频。
3)配置认证域
[AC] domain dm1 # 创建名称为dm1的ISP域并进入其视图。 [AC-isp-dm1] authentication portal local # 为Portal用户配置AAA认证方法为Local。 [AC-isp-dm1] authorization portal none # 为Portal用户配置AAA授权方法为none。 [AC-isp-dm1] accounting portal none # 为Portal用户配置AAA计费方法为none。 [AC-isp-dm1] authorization-attribute idle-cut 15 1024 # 指定ISP域dm1下的用户闲置切断时间为15分钟,闲置切断时间内产生的流量为1024字节。
4)配置Portal认证
[AC] portal web-server newpt [AC-portal-websvr-newpt] url http://2.2.2.1:8080/portal # 配置Portal Web服务器的URL为http://2.2.2.1:8080/portal。 [AC-portal-websvr-newpt] url-parameter wlanuserip source-address # 配置设备重定向给用户的Portal Web服务器的URL中携带参数。 [AC] portal local-web-server http # 创建本地Portal Web服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。 [AC–portal-local-websvr-http] default-logon-page abc.zip # 配置本地Portal Web服务器提供的缺省认证页面文件为abc.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[AC] portal free-rule 1 destination ip any udp 53 [AC] portal free-rule 2 destination ip any tcp 53 # 配置两条基于目的的Portal免认证规则,放行访问DNS服务器的流量。
[AC] local-user 123 class network [AC-luser-network-123] password simple 123 [AC-luser-network-123] service-type portal # 配置本地Portal认证的用户名和密码。
[AC] portal roaming enable # 开启无线Portal漫游功能。 [AC] undo portal refresh arp enable # 关闭无线Portal客户端ARP表项固化功能。 [AC] portal host-check enable # 开启无线Portal客户端合法性检查功能。 [AC] wlan service-template st1 [AC-wlan-st-st1] portal enable method direct # 在无线服务模板st1上使能直接方式的Portal认证。 [AC-wlan-st-st1] portal domain dm1 # 配置接入的Portal用户使用认证域为dm1。 [AC-wlan-st-st1] portal apply web-server newpt # 在无线服务模板st1上引用Portal Web服务器newpt。 [AC–wlan-st-st1] service-template enable # 使能无线服务模板st1。
6.配置switch
# 创建VLAN 100,用于转发AC和AP间CAPWAP隧道内的流量。
# 创建VLAN 200,用于转发Client无线报文。
# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,允许VLAN 100和VLAN 200通过。
# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。
# 使能PoE功能。
7.配置验证
# 用户通过网页方式进行Portal认证。用户在通过认证前,发起的所有Web访问均被重定向到Portal认证页面(http://2.2.2.1:8080/portal),在通过认证后,可访问非受限的互联网资源。
display portal user all # 通过执行以下显示命令查看AC上生成的Portal在线用户信息。
# 开启本地转发后,AC上无法查看Portal下发的ACL表项,AP上可以查看Portal下发的ACL表项。
display portal rule all ap office # 看Portal下发的ACL表项。