无线portal认证前后vlan跳转 无线portal认证流程

目录

无线CMCC融合（域认证）  

i.功能介绍及应用场景  

ii.配置案例  

---

 

无线CMCC融合（域认证）  

i.功能介绍及应用场景  

1、功能简介：  

    在多域环境下，同一台NAS（Network Access Switch）可为不同域中的用户提供AAA服务，各域中用户的属性（例如用户名及密码、服务类型、权限等）有可能各不相同，因此有必要通过设置域的方法把它们区分开，并为每个域单独配置包括AAA服务方法列表（例如使用的RADIUS）在内的属性集。      

    设备基于域名的AAA服务基本原理如下：      

      1）、解析用户携带的域名称      

      2）、根据域名称查找用户所配置的域      

      3）、根据设备上域配置信息查找相应的AAA服务的方法列表名      

      4）、根据方法列表名在系统中查找对应的方法列表      

      5）、使用该方法列表提供AAA服务  

2、应用场景  

    适用于为了满足中国移动的SSID融合需求的场景，在同一个SSID下，通过不同用户携带不同域名的形式，将不同域名的用户指向不同的认证服务器上进行认证。中移动目前主要是正对WEB认证的SSID进行融合，因此以下介绍以WEB认证的域认证为例。  

ii.配置案例  

1、组网需求    

（1）AP通过二、三层设备加入AC中。      

（2）AC分别连接省内AAA认证平台和集团AAA认证平台。      

（3）用户关联CMCC后，AC将域名为@cmcc.fj的用户指向省内AAA认证平台进行认证上线，将域名为@cmcc.jt的用户指向集团AAA认证平台进行认证上线。

2、组网拓扑  

3、配置要点    

（1）需要在配置CMCC认证的基础上增加域认证相关配置      

（2）配置AAA服务的方法列表      

（3）创建域      

（4）配置域属性集    

4、配置步骤    

  1）配置portal服务器模板    

----->配置模板名称为CMCC

 ----->配置portal服务器ip地址    

      Ruijie(config.tmplt.CMCC)#url http://172.16.10.11/login.html ----->配置portal重定向页面

----->配置重定向url格式为cmcc-nomal

注意：不同服务器要求的重定向url格式不同，我司支持多种url格式，配置时根据不同服务器要求选择正确的fmt模式

      Ruijie(config.tmplt.CMCC)#exit

  2）开启AAA功能，并配置2个radius服务器    

 ----->开启AAA功能

      Ruijie(config)#radius-server host 172.16.10.12 acct-port 1813 auth-port 1812 key ruijie        

----->配置radius服务器，包括ip、计费端口、认证端口、key，要求与服务器端保持一致    

  3）配置AAA认证组，并添加radius服务器    

CMCC-FJ----->配置AAA认证组，组名为CMCC-FJ

----->添加radius服务器，注意计费端口和认证端口，默认情况下，计费端口为1813，认证端口为1812    

 

Ruijie(config-gs-radius)#exit

CMCC-JT  ----->配置AAA认证组，组名为CMCC-JT

 ----->添加radius服务器，注意计费端口和认证端口，为配置情况下，计费端口为1813，认证端口为1812    

      Ruijie(config-gs-radius)#exit

  4）配置WEB认证/计费的方法列表，与对应的AAA认证组名关联    

cmcc-fj start-stop group CMCC-FJ  ----->配置计费方法列表
cmcc-fj group CMCC-FJ  ----->配置认证方法列表    
cmcc-jt start-stop group CMCC-JT  ----->配置计费方法列表    
cmcc-jt group CMCC-JT  ----->配置认证方法列表

  5）配置控制器的设备编号为2001.0591.035.00，需认证服务器提供

Ruijie(config)# ac-controller        
      Ruijie(config-ac)# ac-name 2001.0591.035.00    
      Ruijie(config-ac)#exit

6）配置WLAN 100的NAS-ID为2011059103500460，需认证服务器提供    

Ruijie(config)# wlan-config 100        
      Ruijie(config-wlan)# nas-id 2011059103500460    
      Ruijie(config-wlan)#exit

  7）使能域认证服务器    

Ruijie (config)#aaa domain enable

  8）创建域并配置域属性集    

Ruijie(config)#aaa domain cmcc.fj----->创建域名为cmcc.fj的域
      Ruijie(config-aaa-domain)#authentication web-auth cmcc-fj  ----->配置该域指定的认证方法列表

cmcc-fj  ----->配置该域指定的计费方法列表

----->配置该域在radius认证请求报文中的用户名不携带域名（根据radius服务器的要求进行配置）    

Ruijie(config-aaa-domain)#exit
      Ruijie(config)#aaa domain cmcc.jt  ----->创建域名为cmcc.jt的域

cmcc-jt  ----->配置该域指定的认证方法列表    

Ruijie(config-aaa-domain)# accounting network cmcc-jt  ----->配置该域指定的计费方法列表

----->配置该域在radius认证请求报文中的用户名不携带域名（根据radius服务器的要求进行配置）    

      Ruijie(config-aaa-domain)#exit

  9）在WLAN上应用Web认证    

 

Ruijie(config)# wlansec 100

----->wlan接口下指定portal模板

 ----->开启web认证功能

注意：wlan接口下指定的portal模板，也可在全局下指定portal模板、认证/计费方法列表，当wlan接口下未配置时，则使用全局配置的portal。

Ruijie(config-wlansec)#end
      Ruijie#write

5、注意事项    

WEB和1x都支持域认证功能，使能域认证后，默认web和1x都同时使能域认证，若1x用户认证的用户名不携带域名，则需要配置defaul域，在default域中指定1x的认证/计费方法列表，以满足1x部署需求。    

6、功能验证    

1）查看AAA域及其属性集的配置情况    

Ruijie(config)#show aaa domain        
            
=============Domain cmcc.fj=============        
State: Active        
Username format: Without-domain        
Access limit: No limit        
Access statistic: 0        
            
Selected method list:        
 authentication web-auth cmcc-fj        
 accounting network cmcc-fj        
            
=============Domain cmcc.jt=============        
State: Active        
Username format: Without-domain        
Access limit: No limit        
Access statistic: 0        
            
Selected method list:        
 authentication web-auth cmcc-jt        
 accounting network cmcc-jt