最近总接到这样的咨询电话,客户已经部署了一套华三的无线设备(包括控制器和 AP) ,目前需要做 portal 认证(微信认证) ,不知道是否可以单独购买信锐的控制器来满足认证的需求呢?
一、部署网络拓扑
1、在测试之前的拓扑中,测试一直无法弹出 portal 页面,原因是当华三的控制器开启认证后无线用户与 NAC 控制器之间无法通信,只有单独在放通无线终端的 IP 地址后才可以重定向到我们的认证页面(此时是已经放通了控制器 IP 的)
2、最后修改网络架构为全网 vlan1 使用华三的 IMC 协议对接;
二、NAC portal 配置截图
1、基础网络配置
设备以单臂模式部署在客户网络中,h3c 无线控制器和 portal 设备在同一局域网,华三的无线控制器做集中转发,通过 portal 的微信连 WiFi 功能认证。
2、配置认证服务器
除 portal 服务器地址外其他参数默认即可,内置 radius 服务器的密钥固定为 123456。
3、配置 web 认证策略
协议这里需要注意,默认华三的控制器依然采用的是 CMCC 的 portal2.0 协议,配置时需要与华三工程师确认修改为 IMC 协议(也可以采用 portal2.0,也测试过可以通过认证)确保我司 portal 服务器与华三的控制器的端口正常通信。
三、华三配置截图
1、web 页面认证配置步骤(此处与深信服 portal 服务器与 H3C 对接文档中的截图类似,只是地址不相同而已)
首先新建 radius 认证服务器
选端口名称选择之前配置好的 vlan 口 ,portal 服务器选择新建 portal 服务器,认证方式选择 Direct,认证域选择刚才配好的认证域,填写新建 portal 服务器信息(服务器 ip 为 portal的 ip)点击确定
需要注意的是还需要放通固定的一些地址段(如下图)
1、portal 服务器的 IP 地址
2、华三控制器的通信 IP 地址
3、网关地址、以及整个认证网段(这样表示华三无线进行免认证,只是重定向 url 即可)
4、DNS 地址放通
四、 华三后台调试命令说明
1、 接口配置
interface Vlan-interface1
ip address 192.168.0.17 255.255.0.0
portal server WAC method direct
portal domain WAC
2、指向 URL 配置及对接协议
指向:portal server NAC ip 192.168.0.18 key cipher
$c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525
server-type imc
3、通免认证的白名单地址
认证网段为 192.168.0.0/16 的网段
白名单:portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255
白名单:portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.0
4、RADIUS 认证配置
192.168.0.18 是我司 portal 服务器
radius scheme WAC
server-type extended
primary authentication 192.168.0.18
key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==
user-name-format without-domain
retry stop-accounting 10
5、域设置配置
domain WAC
authentication portal radius-scheme WAC
authorization portal radius-scheme WAC
access-limit disable
accounting optional
state active
idle-cut enable 15 10000
self-service-url disable
说明:如果不配置 “accounting optional”这条命令就会出现当用户 portal 认证通过后被设备踢出,网上查出描述如下
五、测试后效果
1、认证通过后的系统状态截图
六、排查问题过程
1、portal 页面无法弹出
配置完后终端无法弹出 portal 页面,通过抓包确认终端未有任何数据包到 NAC,说明华三的无线控制器并没有重定向 url 成功;
2、认证成功后的用户被踢下,需要马上重新认证(反复认证)
a) 我们 NAC 已经认证通过了,见 radius accept 包
b) 华三主动发起了踢人动作
从华三设备的 2000 端口(portal 协议通信端口)发到 NAC 的 50100 端口(注销消息接受端口)
注意:最好是用命令后台配置,如果只在页面配置可能会出现功能不生效的问题。