arp路由器怎么用(AR路由器配置WEP方式认证示例)
配置无线Portal认证示例
组网需求
如图1所示,现有网络中AC连接Portal服务器和RADIUS服务器,并通过接入交换机连接管理AP。
由于无线网络开放性的特点,若无线网络不采取适当的安全策略,业务数据就存在安全风险。管理员要求如下:
· 用户通过AC完成Portal认证。
· 使用RADIUS完成认证和计费。
· 用户在未通过Portal认证前,只能访问Portal服务器。
· 用户通过Portal认证后,可以正常访问外部网络。
图1 配置无线Portal认证组网图
配置思路
采用如下的思路在AC上配置。
1. 配置接入交换机、AC有线侧和无线侧接口,保证各个设备之间网络互通。
2. 配置Portal认证时使用的RADIUS方案。
3. 创建Portal认证时使用的域,并在域中引用RADIUS方案作为AAA的认证方案。
4. 配置Portal服务器,并在用户VLANIF下进行绑定。
5. 在AC上配置WLAN相关业务。
6. 业务下发至AP,用户完成业务验证。
说明:
本案例只包括AC和交换机的配置,Portal服务器、RADIUS服务器的配置这里不做相关说明。
操作步骤
1. 配置接入交换机
# 由交换机给AP管理报文打tag。
说明:
需要将所有二层交换机在AP管理VLAN和业务VLAN内的下行口上配置端口隔离,如果不配置端口隔离,可能会在VLAN内存在不必要的广播报文,或者导致不同AP间的WLAN用户二层互通的问题。
端口隔离功能未开启时,建议从接入交换机到AC之间的所有网络设备的接口都配置undo port trunk allow-pass vlan 1,防止引起报文冲突,占用端口资源。
根据实际组网情况在接入交换机上行口配置业务VLAN透传,和上行网络设备互通。
<Quidway> system-view
[Quidway] vlan batch 101 800
[Quidway] interface ethernet 0/0/1
[Quidway-Ethernet0/0/1] port link-type trunk
[Quidway-Ethernet0/0/1] port trunk pvid vlan 800
[Quidway-Ethernet0/0/1] port trunk allow-pass vlan 101 800
[Quidway-Ethernet0/0/1] port-isolate enable
[Quidway-Ethernet0/0/1] quit
[Quidway] interface ethernet 0/0/2
[Quidway-Ethernet0/0/2] port link-type trunk
[Quidway-Ethernet0/0/2] port trunk allow-pass vlan 101 800
[Quidway-Ethernet0/0/2] quit
2. 分别配置AC连接接入交换机和连接上层服务器的端口。
3.<Huawei> system-view
4.[Huawei] sysname AC
5.[AC] Vlan batch 101 200 800
6.[AC] interface ethernet 2/0/0
7.[AC-Ethernet2/0/0] port link-type trunk
8.[AC-Ethernet2/0/0] port trunk allow-pass vlan 101 800
9.[AC-Ethernet2/0/0] quit
10. [AC] interface ethernet 2/0/1
11. [AC-Ethernet2/0/1] port link-type access
12. [AC-Ethernet2/0/1] port default vlan 200
13. [AC-Ethernet2/0/1] quit
14. 使能AC的DHCP服务器功能。同时配置Portal服务器的网关地址为VLANIF200。
# 配置AP管理VLAN为800,由VLANIF 800接口地址池为AP分配IP地址。
[AC] dhcp enable
[AC] vlan batch 101 200 800
[AC] interface vlanif 800
[AC-Vlanif800] ip address 192.168.10.1 24
[AC-Vlanif800] dhcp select interface
[AC-Vlanif800] quit
# 配置AP业务VLAN为101,由VLANIF 101接口地址池为STA分配IP地址。
[AC] interface vlanif 101
[AC-Vlanif101] ip address 192.168.20.1 24
[AC-Vlanif101] dhcp select interface
[AC-Vlanif101] quit
# 配置VLAN200,将VLANIF 200三层接口设置为WEB服务器的网关IP地址。
[AC] interface vlanif 200
[AC-Vlanif200] ip address 192.168.40.1 24
[AC-Vlanif200] quit
15. 配置RADIUS模板。
# 包括配置RADIUS计费和认证服务器的IP地址和端口号,以及AC与RADIUS服务器交互报文时的共享密钥。
[AC] radius-server template radius_huawei
[AC-radius-radius_huawei] radius-server authentication 192.168.40.2 1812
[AC-radius-radius_huawei] radius-server accounting 192.168.40.2 1813
[AC-radius-radius_huawei] radius-server shared-key cipher huawei
[AC-radius-radius_huawei] quit
16. 配置domain域。
# 为Portal用户配置认证方案“radius_huawei”,使用RADIUS认证模式。
[AC] aaa
[AC-aaa] authentication-scheme radius_huawei
[AC-aaa-authen-radius_huawei] authentication-mode radius
[AC-aaa-authen-radius_huawei] quit
# 为Portal用户配置计费方案“radius_huawei”,使用RADIUS计费模式。
[AC-aaa] accounting-scheme radius_huawei
[AC-aaa-accounting-radius_huawei] accounting-mode radius
[AC-aaa-accounting-radius_huawei] quit
# 为Portal用户配置域“radius_huawei”,在域下应用认证方案“radius_huawei”,计费方案“radius_huawei”和RADIUS模板“radius_huawei”。
[AC-aaa] domain radius_huawei
[AC-aaa-domain-radius_huawei] authentication-scheme radius_huawei
[AC-aaa-domain-radius_huawei] accounting-scheme radius_huawei
[AC-aaa-domain-radius_huawei] radius-server radius_huawei
[AC-aaa-domain-radius_huawei] quit
[AC-aaa] quit
# 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户test@radius_huawei,用户密码123456)
[AC] test-aaa test@radius_huawei 123456 radius-template radius_huawei
Info: Account test succeed.
17. 配置Portal服务器。
# 包括配置Portal服务器的IP地址192.168.40.3,Portal认证服务器用来接收AC发送的通知报文的端口号50100,AC与Portal服务器交互报文时的共享密钥以及HTTP重定向对应的URL为http://192.168.40.3。
[AC] web-auth-server test
[AC-web-auth-server-test] server-ip 192.168.40.3
[AC-web-auth-server-test] port 50100
[AC-web-auth-server-test] shared-key cipher huawei
[AC-web-auth-server-test] url http://192.168.40.3
[AC-web-auth-server-test] quit
# 在业务VLAN 101下绑定Portal服务器。
[AC] interface vlanif 101
[AC-Vlanif101] web-auth-server test direct
[AC-Vlanif101] quit
18. 配置运营商标识和AC ID。
19. [AC] wlan ac-global carrier id other ac id 1
20. [AC] wlan ac-global country-code cn
21. 配置AC的源IP地址,使AP与AC之间互通。
22. [AC] wlan ac
[AC-wlan-view] wlan ac source interface vlanif 800
23. 配置AP上线。
24. [AC-wlan-view] ap-auth-mode mac-auth
# 查询AP的设备类型
[AC-wlan-view] display ap-type all
All AP types information:
------------------------------------------------------------------------------
ID Type
------------------------------------------------------------------------------
0 WA601
1 WA631
2 WA651
3 WA602
4 WA632
5 WA652
6 WA603SN
7 WA603DN
8 WA633SN
11 WA603DE
12 WA653DE
14 WA653SN
17 AP6010SN-GN
18 WA615DN-AGN
19 AP6010DN-AGN
20 WA635SN-GN
21 AP6310SN-GN
22 WA655DN-AGN
23 AP6510DN-AGN
25 AP6610DN-AGN
27 AP7110SN-GN
28 AP7110DN-AGN
29 AP5010SN-GN
30 AP5010DN-AGN
31 AP3010DN-AGN
------------------------------------------------------------------------------
Total number: 25
# 根据查询到的AP设备类型ID(WA603SN type-id为6),离线添加AP
[AC-wlan-view] ap id 0 type-id 6 mac 286e-d42b-0ce5
[AC-wlan-ap-1] quit
# 查看AP的上线状态
[AC-wlan-view] display ap all
All AP information(Normal-1,UnNormal-0):
------------------------------------------------------------------------------
AP AP AP Profile AP AP
/Region
ID Type MAC ID State Sysname
------------------------------------------------------------------------------
1 WA603SN 286e-d42b-0ce5 0/0 normal ap-1
------------------------------------------------------------------------------
Total number: 1
25. 将AP加入指定域。
26. [AC-wlan-view] ap-region id 5
27. [AC-wlan-ap-region-5] quit
28. [AC-wlan-view] ap id 1
29. [AC-wlan-ap-1] region-id 5
30. [AC-wlan-ap-1] quit
[AC-wlan-view] quit
31. 配置WLAN-ESS虚接口,并使能Portal认证功能。
32. [AC] interface wlan-ess 1
33. [AC-Wlan-Ess1] port hybrid pvid vlan 101
34. [AC-Wlan-Ess1] port hybrid tagged vlan 101
35. [AC-Wlan-Ess1] web-authentication enable
36. [AC-Wlan-Ess1] force-domain name radius_huawei
37. [AC-Wlan-Ess1] permit-domain name radius_huawei
38. [AC-Wlan-Ess1] quit
39. 创建WMM模板和射频模板,并在射频模板上绑定WMM模板。
40. [AC] wlan ac
41. [AC-wlan-view] wmm-profile name huawei
42. [AC-wlan-wmm-prof-huawei] quit
43. [AC-wlan-view] radio-profile name huawei
44. [AC-wlan-radio-prof-huawei] wmm-profile name huawei
45. [AC-wlan-radio-prof-huawei] quit
46. 配置流量模板、安全模板(安全策略为SHARE-KEY WEP加密)和服务集,并在服务集上绑定流量模板、WLAN-ESS接口、安全模板。
47. [AC-wlan-view] traffic-profile name huawei
48. [AC-wlan-traffic-prof-huawei] quit
49. [AC-wlan-view] security-profile name huawei
50. [AC-wlan-sec-prof-huawei] security-policy wep
51. [AC-wlan-sec-prof-huawei] wep authentication-method share-key
52. [AC-wlan-sec-prof-huawei] wep key wep-40 pass-phrase 0 cipher 12345
53. [AC-wlan-sec-prof-huawei] quit
54. [AC-wlan-view] service-set name huawei
55. [AC-wlan--service-set-huawei] wlan-ess 1
56. [AC-wlan--service-set-huawei] ssid huawei-portal-test
57. [AC-wlan--service-set-huawei] traffic-profile name huawei
58. [AC-wlan--service-set-huawei] security-profile name huawei
59. [AC-wlan--service-set-huawei] service-vlan 101
60. [AC-wlan--service-set-huawei] quit
61. 创建VAP。
62. [AC-wlan-view] ap 1 radio 0
63. [AC-wlan-radio-0/0] radio-profile name huawei
64. Warning: Modify the Radio type may cause some parameters of Radio resume defaul
65. t value, are you sure to continue?[Y/N]: y
66. [AC-wlan-radio-0/0] service-set name huawei
67. [AC-wlan-radio-0/0] quit
68. [AC-wlan-view] commit ap 1
69. Warning: Committing configuration may cause service interruption,continue?[Y/N
] y
70. 验证配置结果
AP下的无线接入用户可以搜索到SSID标识为huawei-portal-test的WLAN网络并正常上线。
配置文件
· 接入交换机的配置文件
· #
· vlan batch 101 800
· #
· interface Ethernet0/0/1
· port link-type trunk
· port trunk pvid vlan 800
· port trunk allow-pass vlan 101 800
· port-isolate enable
· #
· interface Ethernet0/0/2
· port link-type trunk
· port trunk allow-pass vlan 101 800
· #
return
· AC的配置文件
· #
· sysname AC
· #
· vlan batch 101 800
· #
· dhcp enable
· #
· radius-server template radius_huawei
· radius-server authentication 192.168.40.2 1812
· radius-server accounting 192.168.40.2 1813
· radius-server shared-key cipher %@%@K$iX-]ya{OKh0#3<n~w>(suv%@%@
· #
· web-auth-server test
· server-ip 192.168.40.3
· port 50100
· shared-key cipher %@%@,Y]iF/1C"6]W:M DKT]H(t$f%@%@
· url http://192.168.40.3
· #
· aaa
· authentication-scheme radius_huawei
· authentication-mode radius
· accounting-scheme radius_huawei
· accounting-mode radius
· domain radius_huawei
· authentication-scheme radius_huawei
· accounting-scheme radius_huawei
· radius-server radius_huawei
· #
· wlan ac-global carrier id other ac id 1
· #
· interface Vlanif101
· ip address 192.168.20.1 255.255.255.0
· web-auth-server test direct
· dhcp select interface
· #
· interface Vlanif200
· ip address 192.168.40.1 255.255.255.0
· #
· interface Vlanif800
· ip address 192.168.10.1 255.255.255.0
· dhcp select interface
· #
· interface Wlan-Ess0
· port hybrid tagged vlan 101
· web-authentication enable
· force-domain name radius_huawei
· permit-domain name radius_huawei
· #
· interface Ethernet2/0/0
· port link-type trunk
· port trunk allow-pass vlan 101 800
· #
· interface Ethernet2/0/1
· port link-type access
· port default vlan 200
· #
· wlan ac
· wlan ac source interface vlanif800
· ap-region id 5
· ap id 1 type-id 6 mac 286e-d42b-0ce5 sn AB34002078
· region-id 5
· wmm-profile name huawei id 0
· traffic-profile name huawei id 0
· security-profile name huawei id 0
· wep authentication-method share-key
· wep key wep-40 pass-phrase 0 cipher %@%@kBq"3.ePZ tk@TWwHC`((}K}%@%@
· service-set name huawei id 0
· wlan-ess 1
· ssid huawei-portal-test
· traffic-profile id 0
· security-profile id 0
· service-vlan 101
· radio-profile name huawei-ap id 0
· wmm-profile id 0
· ap 1 radio 0
· radio-profile id 0
· service-set id 0 wlan 1
· #
return
欢迎对IT感兴趣的小伙伴来交流,我们创建了一个分享交流群,里面不仅可以了解到最新IT行业资讯,还有更多大神现场分享知识。赶快抓紧上车!
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com
