Service support服务支持
网络安全服务 产品更新 网络安全学堂 常见问题 下载中心

信锐无线AC做portal认证服务器与华三设备如何对接?

TIME:2017-08-28   click: 142 次

最近总接到这样的咨询电话,客户已经部署了一套华三的无线设备(包括控制器和 AP) ,目前需要做 portal 认证(微信认证) ,不知道是否可以单独购买信锐的控制器来满足认证的需求呢?


一、部署网络拓扑
       1、在测试之前的拓扑中,测试一直无法弹出 portal 页面,原因是当华三的控制器开启认证后无线用户与 NAC 控制器之间无法通信,只有单独在放通无线终端的 IP 地址后才可以重定向到我们的认证页面(此时是已经放通了控制器 IP 的)


       2、最后修改网络架构为全网 vlan1 使用华三的 IMC 协议对接;

信锐无线AC做portal认证拓扑图

二、NAC portal 配置截图

       1、基础网络配置
       设备以单臂模式部署在客户网络中,h3c 无线控制器和 portal 设备在同一局域网,华三的无线控制器做集中转发,通过 portal 的微信连 WiFi 功能认证。


       2、配置认证服务器
       除 portal 服务器地址外其他参数默认即可,内置 radius 服务器的密钥固定为 123456。

信锐无线AC配置界面

信锐无线认证设置界面

 

       3、配置 web 认证策略
       协议这里需要注意,默认华三的控制器依然采用的是 CMCC 的 portal2.0 协议,配置时需要与华三工程师确认修改为 IMC 协议(也可以采用 portal2.0,也测试过可以通过认证)确保我司 portal 服务器与华三的控制器的端口正常通信。

无线认证策略

 

       三、华三配置截图
       1、web 页面认证配置步骤(此处与深信服 portal 服务器与 H3C 对接文档中的截图类似,只是地址不相同而已)
       首先新建 radius 认证服务器

华三无线配置截图
H3C无线管理界面
       配置 AAA:点击认证->AAA,填写域名,并且应用
新建认证服务设置
       点击认证,按如下的配置进行配置,最后点击应用
新建portal 认证
       点击认证->portal 认证->新建

新建H3C认证

 

       选端口名称选择之前配置好的 vlan 口  ,portal 服务器选择新建 portal 服务器,认证方式选择 Direct,认证域选择刚才配好的认证域,填写新建 portal 服务器信息(服务器 ip 为 portal的 ip)点击确定

 

H3C控制器界面

 

       需要注意的是还需要放通固定的一些地址段(如下图)
       1、portal 服务器的 IP 地址
       2、华三控制器的通信 IP 地址
       3、网关地址、以及整个认证网段(这样表示华三无线进行免认证,只是重定向 url 即可)
       4、DNS 地址放通

 

H3C设备界面截图

 

四、  华三后台调试命令说明
1、  接口配置
       interface Vlan-interface1
       ip address 192.168.0.17 255.255.0.0
       portal server WAC method direct
       portal domain WAC


       2、指向 URL 配置及对接协议
       指向:portal server NAC ip 192.168.0.18 key cipher
       $c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525
       server-type imc


3、通免认证的白名单地址
       认证网段为 192.168.0.0/16 的网段
       白名单:portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255
       白名单:portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.0


4、RADIUS 认证配置
       192.168.0.18 是我司 portal 服务器
       radius scheme WAC
       server-type extended
       primary authentication 192.168.0.18
       key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==
       user-name-format without-domain
       retry stop-accounting 10


5、域设置配置
       domain WAC
       authentication portal radius-scheme WAC
       authorization portal radius-scheme WAC
       access-limit disable
       accounting optional
       state active  
       idle-cut enable 15 10000
       self-service-url disable
       说明:如果不配置 “accounting optional”这条命令就会出现当用户 portal 认证通过后被设备踢出,网上查出描述如下

对接排错分析

 

五、测试后效果
1、认证通过后的系统状态截图

信锐认证对接

 

六、排查问题过程
1、portal 页面无法弹出
       配置完后终端无法弹出 portal 页面,通过抓包确认终端未有任何数据包到 NAC,说明华三的无线控制器并没有重定向 url 成功;
2、认证成功后的用户被踢下,需要马上重新认证(反复认证)
a) 我们 NAC 已经认证通过了,见 radius accept 包

管理华三设备1

b) 华三主动发起了踢人动作
       从华三设备的 2000 端口(portal 协议通信端口)发到 NAC 的 50100 端口(注销消息接受端口)

管理华三设备

       注意:最好是用命令后台配置,如果只在页面配置可能会出现功能不生效的问题。