华为设备portal认证(认证点在汇聚层交换机)_华为设备portal认证

1.配置网络互通

(1)配置终端IP地址

华为设备portal认证(认证点在汇聚层交换机)_安全技术_02

华为设备portal认证(认证点在汇聚层交换机)_华为设备portal认证_03

华为设备portal认证(认证点在汇聚层交换机)_华为设备portal认证_04

(2)创建WLAN并允许通过vlan,保证网络畅通

[LSW1]vlan batch 11 12

[LSW1-Vlanif11]ip add 10.1.11.1 24

[LSW1-Vlanif12]ip add 10.1.12.1 24

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 11

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 12

2.配置AAA

(1)配置radius服务器模板

[LSW1]radius-server template abc1

[LSW1-radius-abc1]radius-server authentication 10.1.11.11 1812

[LSW1-radius-abc1]radius-server accounting 10.1.11.11 1813

[LSW1-radius-abc1]radius-server shared-key cipher ABCabc@123

(2)创建aaa认证方案,并配置认证方式为radius

[LSW1]aaa

[LSW1-aaa]authentication-scheme abc1

[LSW1-aaa-authen-abc1]authentication-mode radius

[LSW1-aaa]accounting-scheme abc1

[LSW1-aaa-accounting-abc1]accounting-mode radius

(3)创建认证域abc1.com,并绑定aaa认证方案和radius服务器模板

[LSW1-aaa]domain abc1.com

[LSW1-aaa-domain-abc1.com]authentication-scheme abc1

[LSW1-aaa-domain-abc1.com]radius-server abc1

(4)测试用户是否能够通过radius模板的认证

[LSW1]test-aaa test ABCabc@123 radius-template abc1

显示:Info: Account test succeed,表示通过认证

3.配置portal认证

(1)将配置模式切换成统一模式:缺省情况下,NAC配置模式即为统一模式,传统模式切换到统一模式后,管理员必须保存配置并重启设备,新配置模式的各项功能才能生效。

[LSW1]authentication unified-mode

(2)配置portal服务器模板

[LSW1] web-auth-server abc1

[LSW1-web-auth-server-abc1]server-ip 10.1.11.11

[LSW1-web-auth-server-abc1]port 50200

[LSW1-web-auth-server-abc1] url http://10.1.11.11:8080/portal

[LSW1-web-auth-server-abc1] shared-key cipher ABCabc@123

(3)配置portal接入模板

[LSW1] portal-access-profile name abc1

[LSW1-portal-access-profile-abc1]web-auth-server abc1 direct

(4)配置认证模板,并绑定portal模板,指定认证模板下用户强制认证域,指定用户接入模式为多用户单独认证,最大接入用户模式为100

[LSW1] authentication-profile name abc1

[Switch-authen-profile-abc1] portal-access-profile abc1

[Switch-authen-profile-abc1] access-domain abc1.com force

[Switch-authen-profile-abc1] authentication mode multi-authen max-user 100

(5)在接口上绑定认证模板,使能portal认证

[LSW1-GigabitEthernet0/0/2]authentication- profile abc1

(6)配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址, 该功能对三层Portal认证用户不生效

[LSW1]access-user arp-detect vlan 12 ip-address 10.1.12.1 mac-address 2222-1111-1234

4.验证配置结果

(1)用户打开浏览器输入任意的网络地址后,将会被重定向到Portal认证页面。之后,用户可输入用户名和密码进行认证。。

(2)如果用户输入的用户名和密码验证正确,portal认证页面会显示认证成功信息,用户即可访问网络。

(3)用户上线后,管理员可在设备上执行命令display access-user access-type dot1x查看在线802.1X用户信息。