1、基于 IPv6 的 Portal 接入認(rèn)證控制功能典型配 置舉例Copyright ? 2014 杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。本文檔中的信息可能變動(dòng)，恕不另行通知。1 簡(jiǎn)介 · · · · · · · · · · · · · · · · · · · · · ·

2、· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

3、 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

4、; · · · · · · · · · · · · · · · · · · · 12 配置前提· · · · · · · · · · · · · · · · · · · · · · 

5、3; · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

6、83; · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · &#

7、183; · · · · · · · · · · · · 13 配置舉例· · · · · · · · · · · · · · · · · · · · · · · · · · · · · &

8、#183; · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

9、· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

10、 · · · · · · 13.1 組網(wǎng)需求· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

11、83; · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · &#

12、183; · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · 13.2 配置注意事項(xiàng)··

13、;··················································

14、;························· ························

15、3;··········23.3 配置步驟·········· ························ ····

16、;····················· ························ ····

17、83;······························23.3.1 AC 的配置 ·················&

18、#183;······························ ···················

19、····· ···································23.3.2 Switch 的配置 ·······

20、;···································· ·············

21、3;·········· ························· ··········43.3.3 RADIUS服務(wù)器的配置·&

22、#183;····· ························· ···················

23、;····· ························· ··········53.3.4 Portal 服務(wù)器的配置······&

24、#183;··· ··············································

25、··· ························· ········ 113.4 驗(yàn)證配置·· ·· ··· ··· ·&

26、#183; ··· ··· ··· ·· ··· ··· ··· ·· ··· ··· ·· ··· ··· ··· ·· ··· ··&#

27、183; ·· ··· ··· ··· ·· ··· ··· ··· ·· ··· ··· ·· ··· ··· ··· ·· ··· &#

28、183;· · ·· ··· ··· 143.5 配置文件·········· ························ ··

29、83;······················ ························ ···&

30、#183;····························· 144 相關(guān)資料· · · · · · · · · · · · · · · ·

31、· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

32、 · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·

33、; · · · · · · · · · · · · · · · · · 16ii101 簡(jiǎn)介本文介紹了無線控制器基于IPv6 的 Portal 接入認(rèn)證控制功能的典型配置舉例。2 配置前提本文檔不嚴(yán)格與具體軟、硬件版本對(duì)應(yīng)，如果使用過程中與產(chǎn)品實(shí)際情況有差異，請(qǐng)參考相關(guān)產(chǎn)品手冊(cè)，或以設(shè)備實(shí)際情況為準(zhǔn)。本文檔中的配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對(duì)設(shè)備進(jìn)行了配置，為了保

34、證配置效果，請(qǐng)確認(rèn)現(xiàn)有配置和以下舉例中的配置不沖突。本文檔假設(shè)您已了解IPv6 Portal 的特性。3 配置舉例3.1 組網(wǎng)需求如 圖 1 所示， AC 通過 Switch 與 AP 相連， DHCP 服務(wù)器為AP 分配 IPv4 地址， 為 Client 分配 IPv6地址。 Client 接入到無線網(wǎng)絡(luò)中，使用Portal 服務(wù)器對(duì)Client 進(jìn)行基于IPv6 的 Portal 認(rèn)證。現(xiàn)要求：Client 通過 Portal 認(rèn)證前，只能訪問Portal 服務(wù)器；在通過Portal 認(rèn)證后，可以使用此IPv6地址訪問非受限的互聯(lián)網(wǎng)資源。采用 RADIUS 服務(wù)器作為認(rèn)證/計(jì)費(fèi)服務(wù)器。1

35、 基于 IPv6 的 Portal 接入認(rèn)證控制功能組網(wǎng)圖DHCP serverRADIUS/Portal server 2001:8279:300:20/64ACSwitchAPClient3.2 配置注意事項(xiàng)在 AC 接口上配置的IPv6 地址需要與Portal 認(rèn)證服務(wù)器和RADIUS 服務(wù)器上的接入設(shè)備的IPv6 地址保持一致。保證 Client 在 Portal 認(rèn)證使用的IPv6 地址符合Portal 服務(wù)器配置的IPv6 地址組接入范圍。配置 AP 的序列號(hào)時(shí)請(qǐng)確保該序列號(hào)與AP 唯一對(duì)應(yīng)，AP 的序列號(hào)可以通過AP 設(shè)備背面的標(biāo)簽獲取。3.3 配置步驟3.3.1 AC 的配置(

36、1) 配置 AC 接口# 全局使能IPv6 功能。<AC> system-viewAC ipv6# 創(chuàng)建 VLAN 100 及其對(duì)應(yīng)的VLAN 接口， 并為該接口配置IP 地址。 AC 將使用該接口的IP 地址與AP 建立 LWAPP 隧道。AC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 16AC-Vlan-interface100 quit# 創(chuàng)建 VLAN 200 作為 WLAN-ESS 接口的缺省VLAN 。AC vlan

37、200AC-vlan200 quit# 創(chuàng)建 VLAN 300 作為 Client 接入的業(yè)務(wù)VLAN ，配置 VLAN 300 的接口 IPv6 地址。AC vlan 300AC-vlan300 quitAC interface vlan-interface 300AC-Vlan-interface300 ipv6 address 2001:8279:300:253 64AC-Vlan-interface300 quit# 配置 AC 與 Switch 相連的的GigabitEthernet1/0/1 為 Trunk 類型，禁止VLAN 1 報(bào)文通過，允許VLAN 100 和 VLAN 30

38、0 通過，當(dāng)前Trunk 口的 PVID 為 100。AC interface gigabitethernet 1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 undo port trunk permit vlan 1AC-GigabitEthernet1/0/1 port trunk permit vlan 100 300AC-GigabitEthernet1/0/1 port trunk pvid vlan 100AC-GigabitEthernet1/0/1 quit# 創(chuàng)建 WLAN-ES

39、S1 接口，并進(jìn)入該視圖。AC interface wlan-ess 1# 設(shè)置端口的鏈路類型為Hybrid 。AC-WLAN-ESS1 port link-type hybrid# 設(shè)置端口允許VLAN 200 的報(bào)文不帶VLAN tag 通過。AC-WLAN-ESS1 port hybrid vlan 200 untagged# 設(shè)置端口禁止VLAN 1 的報(bào)文通過。AC-WLAN-ESS1 undo port hybrid vlan 1# 指定端口缺省VLAN 為 VLAN 200 。AC-WLAN-ESS1 port hybrid pvid vlan 200# 使能端口的MAC VLA

40、N 功能。AC-WLAN-ESS1 mac-vlan enableAC-WLAN-ESS1 quit(2) 配置 RADIUS 方案# 創(chuàng)建名字為office 的 RADIUS 方案并進(jìn)入該方案視圖。AC radius scheme office# 配置RADIUS 方案的主認(rèn)證服務(wù)器IPv6 地址。AC-radius-office primary authentication 2001:8279:300:20# 配置RADIUS 方案的主計(jì)費(fèi)服務(wù)器IPv6 地址。AC-radius-office primary accounting 2001:8279:300:20# 將RADIUS 方案o

41、ffice 的認(rèn)證報(bào)文的共享密鑰設(shè)置為明文AC-radius-office key authentication simple 1234# 將RADIUS 方案office 的計(jì)費(fèi)報(bào)文的共享密鑰設(shè)置為明文AC-radius-office key accounting simple 1234# 配置發(fā)送給RADIUS 服務(wù)器的用戶名不攜帶ISP 域名。AC-radius-office user-name-format without-domainAC-radius-office quit(3) 配置認(rèn)證域# 創(chuàng)建 office 域并進(jìn)入其視圖。AC domain office# 為 Portal

42、 用戶配置認(rèn)證方案為RADIUS 方案，方案名為AC-isp-office authentication portal radius-scheme office# 為Portal 用戶配置授權(quán)方案為RADIUS 方案，方案名為AC-isp-office authorization portal radius-scheme office# 為Portal 用戶配置計(jì)費(fèi)方案為RADIUS 方案，方案名為AC-isp-office accounting portal radius-scheme officeAC-isp-office quit# 把配置的認(rèn)證域office 設(shè)置為系統(tǒng)缺省的ISP 域

43、。AC domain default enable office(4) 配置無線服務(wù)# 創(chuàng)建 clear 類型的服務(wù)模板1 。AC wlan service-template 1 clear# 設(shè)置服務(wù)模板1 的 SSID 為 service 。1234 。1234 。office 。office 。office 。AC-wlan-st-1 ssid service# 將 WLAN-ESS1 接口綁定到服務(wù)模板1 。AC-wlan-st-1 bind wlan-ess 1# 啟用無線服務(wù)。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit

44、(5) 在 AC 下綁定無線服務(wù)模板# 創(chuàng)建型號(hào)為WA2620E-AGN 的 AP 模板名為officeap ，指定其序列號(hào)。AC wlan ap officeap model WA2620E-AGNAC-wlan-ap-officeap serial-id 21023529G007C000020# 進(jìn)入 radio 2 射頻視圖。AC-wlan-ap-officeap radio 2# 配置的服務(wù)模板1 與射頻 2 關(guān)聯(lián)，設(shè)置綁定到射頻接口的VLAN 編號(hào)為 VLAN 300 。AC-wlan-ap-officeap-radio-2 service-template 1 vlan-id 30

45、0# 使能 AP 的 radio 2 。AC-wlan-ap-officeap-radio-2 radio enableAC-wlan-ap-officeap-radio-2 quitAC-wlan-ap-officeap quit(6) 配置 Portal 認(rèn)證# 配 置 Portal 服 務(wù) 器 office 的 IPv6 地 址 為 2001:8279:300:20 ， 密 鑰 為 1234 ， URL 為 http:/2001:8279:300:20:8080/portal。AC portal server office ipv6 2001:8279:300:20 key 1234 u

46、rlhttp:/2001:8279:300:20:8080/portal# 配置 Portal 免認(rèn)證規(guī)則0， 符合源接口為GigabitEthernet1/0/1 的任意報(bào)文不會(huì)觸發(fā)Portal 認(rèn)證。AC portal free-rule 0 source interface gigabitethernet 1/0/1 destination any# 配置接口VLAN 300 使能 Portal ，指定 Portal 服務(wù)器為office ，并配置為直接認(rèn)證方式。AC interface vlan-interface 300AC Vlan-interface300 portal serv

47、er office method direct# 配置接口VLAN 300 發(fā)送 Portal 報(bào)文使用的IPv6 源地址為2001:8279:300:253 。AC Vlan-interface300 portal nas-ip ipv6 2001:8279:300:253# 配置接口VLAN 300 啟用 Portal 認(rèn)證域 office 。AC Vlan-interface300 portal domain ipv6 officeAC Vlan-interface300 quit3.3.2 Switch 的配置# 創(chuàng)建 VLAN 100 和 VLAN 300 ， 其中 VLAN 100

48、 用于轉(zhuǎn)發(fā)AC 和 AP 間 LWAPP 隧道內(nèi)的流量，VLAN300 為無線客戶端接入的VLAN 。Switch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quit# 配置 Switch 與 AC 相連的的GigabitEthernet1/0/1 接口屬性Trunk ，禁止 VLAN 1 報(bào)文通過，當(dāng)前 Trunk 口的 PVID 為 100 ，允許 VLAN 100 和 VLAN 300 通過。Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0

49、/1 port link-type trunkSwitch-GigabitEthernet1/0/1 undo port trunk permit vlan 1Switch-GigabitEthernet1/0/1 port trunk permit vlan 100 300Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit# 配置 Switch 與 AP 相連的 GigabitEthernet1/0/2 接口屬性為Access ，并允許VLAN 100 通過。Switch i

50、nterface gigabitethernet 1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitEthernet1/0/2 port access vlan 100# 配置 Switch 與 AP 相連的 GigabitEthernet1/0/2 接口使能PoE 功能。Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit# 配置 Switch 與 DHCP 服務(wù)器相連的GigabitEthernet1/0/3 接口屬性

51、為Access ， 并允許 VLAN 100通過。Switch interface gigabitethernet 1/0/3Switch-GigabitEthernet1/0/3 port link-type accessSwitch-GigabitEthernet1/0/3 port access vlan 100Switch-GigabitEthernet1/0/3 quit# 配置 Switch 與 RADIUS/Portal 服務(wù)器相連的GigabitEthernet1/0/4 接口屬性為Access ，并允許VLAN 100 通過。Switch interface gigabite

52、thernet 1/0/4Switch-GigabitEthernet1/0/4 port link-type accessSwitch-GigabitEthernet1/0/4 port access vlan 100Switch-GigabitEthernet1/0/4 quit3.3.3 RADIUS 服務(wù)器的配置下面以 iMC 為例(使用iMC 版本為：iMC PLAT 5.2(E0401) 、 iMC UAM 5.2(E0402) )，說明RADIUS 服務(wù)器的基本配置。# 啟用 IPv6 功能。登錄進(jìn)入iMC 管理平臺(tái)，選擇 “業(yè)務(wù)” 頁簽， 單擊導(dǎo)航樹中的用戶接入管理/業(yè)務(wù)參數(shù)配

53、置菜單項(xiàng)，選擇 系統(tǒng)配置，進(jìn)入“系統(tǒng)配置”頁面，再選擇系統(tǒng)參數(shù)配置，單擊，進(jìn)入“系統(tǒng)參數(shù)配置”頁面。選擇“啟用 IPv6 ”為“是”；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。2 啟用 IPv6 功能# 增加接入設(shè)備。登錄進(jìn)入iMC 管理平臺(tái)，選擇“業(yè)務(wù)”頁簽，單擊導(dǎo)航樹中的用戶接入管理/接入設(shè)備管理/接入設(shè)備配置菜單項(xiàng)，單擊增加按鈕，進(jìn)入“增加接入設(shè)備”頁面。設(shè)置認(rèn)證及計(jì)費(fèi)的端口號(hào)分別為“1812 ”和“1813 ”；設(shè)置與 AC 交互報(bào)文時(shí)使用的認(rèn)證、計(jì)費(fèi)共享密鑰為“1234 ”；選擇業(yè)務(wù)類型為“LAN 接入業(yè)務(wù)”；選擇接入設(shè)備類型為“H3C ”；選擇“增加 IPv6 設(shè)備” ，添加

54、IPv6 地址為“ 2001:8279:300:253其它參數(shù)采用缺省值，并單擊確定按鈕完成操作。3 增加接入設(shè)備選擇“業(yè)務(wù)”頁簽，單擊導(dǎo)航樹中的 一條接入規(guī)則。# 配置接入規(guī)則。用戶接入管理/接入規(guī)則管理菜單項(xiàng)，單擊增加按鈕，創(chuàng)建接入規(guī)則名輸入“office ”。其它參數(shù)采用缺省值，并單擊確定按鈕完成操作。5 增加服務(wù)配置# 增加服務(wù)配置。選擇“業(yè)務(wù)”頁簽，單擊導(dǎo)航樹中的用戶接入管理/服務(wù)配置管理菜單項(xiàng)，進(jìn)入服務(wù)器配置管理頁面，在該頁面中單擊增加 按鈕，進(jìn)入增加服務(wù)配置頁面。輸入服務(wù)名為“office ”、服務(wù)后綴為“office ”；缺省接入規(guī)則輸入“office ”；其它參數(shù)采用缺省值，

55、并單擊確定按鈕完成操作。# 增加用戶配置。選擇“用戶”頁簽，單擊導(dǎo)航樹中的接入用戶視圖/所有接入用戶菜單項(xiàng)，單擊增加 按鈕，增加一個(gè)接入用戶，再選擇增加用戶。用戶姓名輸入“portaluser ”；證件號(hào)碼輸入“1234 ”；用戶分組選擇“未分組”；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖 6 增加用戶配置# 增加接入用戶配置。返回主頁面，輸入：賬號(hào)名輸入“office”；密碼與密碼確認(rèn)輸入“1234 ”；選擇服務(wù)名“office”；其它參數(shù)采用缺省值，并單擊確定按鈕完成操作。127 增加接入用戶配置139 增加 IP 地址組配置頁面3.3.4 Portal 服務(wù)器的配置下面以 iMC

56、 為例 (使用 iMC 版本為：iMC PLAT 5.2(E0401) 、 iMC UAM 5.2(E0402) ) ，說明 Portal服務(wù)器的基本配置。# 配置Portal 服務(wù)器。登錄進(jìn)入iMC 管理平臺(tái)，選擇“業(yè)務(wù)”頁簽，單擊導(dǎo)航樹中的用戶接入管理/Portal 服務(wù)器管理/服務(wù)器配置菜單項(xiàng)，進(jìn)入服務(wù)器配置頁面。Portal 主頁選擇http:/2001:8279:300:20:8080/portal/；其它參數(shù)采用缺省值，并單擊確定按鈕完成操作。圖 8 Portal 認(rèn)證服務(wù)器配置頁面# 配置 IPv6 地址組。單擊導(dǎo)航樹中的用戶接入管理/Portal 服務(wù)管理/IP 地址組配置菜單

57、項(xiàng)，進(jìn)入IP 地址組配置頁面，在該頁面中單擊增加按鈕，進(jìn)入增加IP 地址組配置頁面。填寫 IP 地址組名“portaluser ”；輸入起始地址“2001:8279:300:0 ”；輸入終止地址“2001:8279:300:FFFF:FFFF:FFFF:FFFF”；其它參數(shù)采用缺省值，并單擊確定按鈕完成操作。# 配置Portal 設(shè)備。單擊導(dǎo)航樹中的用戶接入管理/Portal 服務(wù)管理/設(shè)備配置菜單項(xiàng)，進(jìn)入Portal 設(shè)備配置頁面，在該頁面中單擊增加 按鈕，進(jìn)入增加設(shè)備信息配置頁面。填寫設(shè)備名“NAS ”；指定 IP 地址為與接入用戶相連的設(shè)備接口IPv6 地址“ 2001:8279:300

58、:253 ”；選擇版本，Portal 3.0 ；密鑰與密鑰確認(rèn)輸入“1234 ”與 AC 上的配置保持一致；其它參數(shù)采用缺省值，并單擊確定按鈕完成操作。圖 10 增加設(shè)備信息配置頁面# Portal 設(shè)備關(guān)聯(lián)IPv6 地址組在 Portal 設(shè)備配置頁面中的設(shè)備信息列表中，點(diǎn)擊NAS 設(shè)備的操作|端口組信息管理鏈接，進(jìn)入端口組信息配置頁面。1511 設(shè)備信息列表16# 配置端口組信息。在端口組信息配置頁面中點(diǎn)擊 增加按鈕，進(jìn)入增加端口組信息配置頁面。填寫端口組名“group ”；選擇 IP 地址組“ portaluser ”，用戶接入網(wǎng)絡(luò)時(shí)使用的IP 地址必須屬于所選的IP 地址組；其它參數(shù)采

59、用缺省值，并單擊確定按鈕完成操作。圖 12 增加端口組信息配置頁面3.4 驗(yàn)證配置# 使用命令display wlan ap all 可以看到AP 與 AC 已經(jīng)成功建立連接。# AC> display wlan ap allTotal Number of APs configured : 1Total Number of configured APs connected : 1Total Number of auto APs connected : 0AP ProfilesState : I = Idle, J = Join, JA = JoinAck, IL = ImageLoadC

60、 = Config, R = Run, KU = KeyUpdate, KC = KeyCfmM = Master, B = BackupAP NameState Model Serial-IDofficeapR/M WA2620E-AGN 21023529G007C000020VLAN 300 成功接入，此# 通過 display wlan client 命令可以看到Client 通過 SSID service 使用時(shí) Client 只能夠 ping 通 Portal server 的地址。# AC> display wlan clientTotal Number of Clients : 1Client InformationSSID: serviceMAC Address User Name APID/RID IP AddressVLAN0024-d77d-52bc -NA-1 /2 300office 和密碼 1234 后，# Client 通過訪問HTTP 的 IPv6 地址觸發(fā)Portal 認(rèn)證，輸入正確的用戶名能夠認(rèn)證成功。通過Portal 認(rèn)證后，可以訪問網(wǎng)絡(luò)資源。# AC> display portal user allIndex:0State:ONLINESubState:NONEACL:NONEWork-mode:s