1、HBC本地轉(zhuǎn)發(fā)+ Portal認(rèn)證典型配置舉例HBCCopyright 2014杭州華三通信技術(shù)有限公司版權(quán)所有，保留一切權(quán)利。非經(jīng)本公司書(shū)面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部， 并不得以任何形式傳播。本文檔中的信息可能變動(dòng)，恕不另行通知。 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 1簡(jiǎn)介1 HYPERLINK l bookmark4 o Current Document 2配置前提1 HYPERLINK l bookmark6 o Current Document 3配置舉例1 HYPERLINK

2、l bookmark8 o Current Document 組網(wǎng)需求1 HYPERLINK l bookmark12 o Current Document 配置思路2 HYPERLINK l bookmark14 o Current Document 配置注意事項(xiàng)2 HYPERLINK l bookmark16 o Current Document 配置步驟3AC的配置3Switch 的配置6 HYPERLINK l bookmark92 o Current Document RADIUS服務(wù)器的配置7Portal服務(wù)器的配置11 HYPERLINK l bookmark116 o Curr

3、ent Document 驗(yàn)證配置14 HYPERLINK l bookmark120 o Current Document 配置文件15 HYPERLINK l bookmark128 o Current Document 4相關(guān)資料171簡(jiǎn)介本文檔介紹了使用AC的Portal認(rèn)證支持本地轉(zhuǎn)發(fā)特性的典型配置舉例。2配置前提本文檔不嚴(yán)格與具體軟、硬件版本對(duì)應(yīng)，如果使用過(guò)程中與產(chǎn)品實(shí)際情況有差異，請(qǐng)參考相關(guān)產(chǎn)品 手冊(cè)，或以設(shè)備實(shí)際情況為準(zhǔn)。本文檔中的配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺 省配置。如果您已經(jīng)對(duì)設(shè)備進(jìn)行了配置，為了保證配置效果，請(qǐng)確認(rèn)現(xiàn)有配置和

4、以下舉例中的配置 不沖突。本文檔假設(shè)您已了解Portal認(rèn)證、MAC地址認(rèn)證和WLAN的本地轉(zhuǎn)發(fā)特性。3配置舉例組網(wǎng)需求如圖1所示，Client通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)Internet，AP和Client通過(guò)DHCP服務(wù)器獲取IP地址。現(xiàn) 要求當(dāng)Client接入無(wú)線網(wǎng)絡(luò)時(shí)，當(dāng)MAC地址認(rèn)證不通過(guò)時(shí)，配置Portal認(rèn)證使得Client安全接入， 再進(jìn)行MAC地址認(rèn)證，使Client進(jìn)行本地轉(zhuǎn)發(fā)。具體實(shí)現(xiàn)如下：Client初始訪問(wèn)網(wǎng)絡(luò)時(shí)，當(dāng)MAC地址認(rèn)證不通過(guò)時(shí)，Client進(jìn)入Guest VLAN，進(jìn)行集中轉(zhuǎn)發(fā)。Client進(jìn)入Guest VLAN并獲取IP地址后進(jìn)行Portal認(rèn)證，Portal認(rèn)證

5、通過(guò)后，AC會(huì)強(qiáng)制Client下線并重新觸發(fā)MAC地址認(rèn)證。Client通過(guò)MAC地址認(rèn)證后會(huì)重新獲取IP地址，進(jìn)行本地轉(zhuǎn)發(fā)。圖1本地轉(zhuǎn)發(fā)+Portal認(rèn)證組網(wǎng)圖DHCP serverRADIUS/PortalACClientAPDHCP serverRADIUS/PortalACClientAP配置思路為了使AC能夠判斷要進(jìn)行MAC認(rèn)證的Client是否通過(guò)Portal認(rèn)證，需在WLAN-ESS接口下配置 mac-authentication trigger after-portal 命令。為了使Client經(jīng)過(guò)Portal認(rèn)證后，被AC強(qiáng)制下線進(jìn)行MAC地址認(rèn)證，需要在WLAN-ESS 接

6、口下配置端口安全模式為MAC地址認(rèn)證。為了使AP能夠直接轉(zhuǎn)發(fā)Client報(bào)文，需要在AC的服務(wù)模板下開(kāi)啟本地轉(zhuǎn)發(fā)功能，同時(shí)通過(guò)下發(fā)apcfg.txt文件來(lái)對(duì)AP進(jìn)行配置實(shí)現(xiàn)本地轉(zhuǎn)發(fā)。Guest VLAN與業(yè)務(wù)VLAN的IP網(wǎng)段不同，為了使Client在Guest VLAN和業(yè)務(wù)VLAN中都 能夠與其它設(shè)備正常通信，需要在DHCP服務(wù)器上為這兩個(gè)VLAN配置不同的地址池，根據(jù) Client所在VLAN為其分配不同的IP地址。配置注意事項(xiàng)配置Portal認(rèn)證的參數(shù)后，需要在AC相應(yīng)接口上使能三層Portal認(rèn)證。配置AP的序列號(hào)時(shí)請(qǐng)確保該序列號(hào)與AP唯一對(duì)應(yīng)，AP的序列號(hào)可以通過(guò)AP設(shè)備背面的標(biāo)

7、簽獲取。AC需要下發(fā)給AP的MAP文件apcfg.txt,目的是將AP的GigabitEthernet1/0/1接口加入本 地轉(zhuǎn)發(fā)的VLAN 300。配置步驟AC的配置配置AC接口創(chuàng)建VLAN 100及其對(duì)應(yīng)的VLAN接口，并為該接口配置IP地址。AC將使用該接口的IP地址與 AP建立LWAPP隧道。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 16AC-Vlan-interface100 quit創(chuàng)建VLAN 200作為WLAN-ESS接

8、口的缺省VLAN，并作為集中轉(zhuǎn)發(fā)的Guest VLAN，配置VLAN 200的接口 IP地址。AC vlan 200AC-vlan200 quitAC interface vlan-interface 200AC-Vlan-interface200 ip address 16AC-Vlan-interface200 quit創(chuàng)建VLAN 300作為Client接入的VLAN，并作為本地轉(zhuǎn)發(fā)VLAN，配置VLAN 300的接口 IP地 址。AC vlan 300AC-vlan300 quitAC interface vlan-interface 300AC-Vlan-interface300 i

9、p address 16AC-Vlan-interface300 quit配置AC與Switch相連接口 GigabitEthernet1/0/1的為T(mén)runk類型，禁止VLAN 1報(bào)文通過(guò)，配 置 PVID 為 VLAN 100，允許 VLAN 100、VLAN 200 和 VLAN 300 通過(guò)。AC interface gigabitethernet 1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 undo port trunk permit vlan 1AC-GigabitEthernet

10、1/0/1 port trunk permit vlan 100 200 300AC-GigabitEthernet1/0/1 port trunk pvid vlan 100AC-GigabitEthernet1/0/1 quit創(chuàng)建WLAN-ESS1接口，并設(shè)置端口的鏈路類型為Hybrid類型。AC interface wlan-ess 1AC-WLAN-ESS1 port link-type hybrid配置當(dāng)前Hybrid端口的PVID為VLAN 300，禁止VLAN 1通過(guò)，并允許VLAN 200、VLAN 300 不帶tag通過(guò)。AC-WLAN-ESS1 undo port hyb

11、rid vlan 1AC-WLAN-ESS1 port hybrid vlan 200 300 untaggedAC-WLAN-ESS1 port hybrid pvid vlan 300使能MAC VLAN功能。AC-WLAN-ESS1 mac-vlan enable AC-WLAN-ESS1 quit配置RADIUS方案創(chuàng)建名為office的RADIUS方案并進(jìn)入其視圖。AC radius scheme office將RADIUS方案office的RADIUS服務(wù)器類型設(shè)置為extended。AC-radius-office server-type extended配置主認(rèn)證和主計(jì)費(fèi)服務(wù)器

12、地址為0，認(rèn)證/計(jì)費(fèi)報(bào)文的共享密鑰為key。AC-radius-office primary authentication 0 key keyAC-radius-office primary accounting 0 key key配置發(fā)送給RADIUS服務(wù)器的用戶名不得攜帶ISP域名。AC-radius-office user-name-format without-domain配置發(fā)送RADIUS報(bào)文使用的源IP地址為。AC-radius-office nas-ip AC-radius-office quit(3)配置認(rèn)證域配置認(rèn)證域，名稱為officeAC domain office配置

13、ISP域lan-access用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)方式為none。AC-isp-office authentication lan-access noneAC-isp-office authorization lan-access none AC-isp-office accounting lan-access none配置ISP域Portal用戶使用RADIUS方案進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)，方案名稱為為office。AC-isp-office authentication portal radius-scheme officeAC-isp-office authorization portal

14、radius-scheme officeAC-isp-office accounting portal radius-scheme office AC-isp-office quit(4)配置Portal認(rèn)證配置 Portal服務(wù)器office的IP地址為0，密鑰為key， URL為 HYPERLINK 0:8080/portal%e3%80%82 0:8080/portal。AC portal server office ip 0 key key url HYPERLINK 0:8080/portal 0:8080/portal由于接口 GE1/0/1連接的是各個(gè)服務(wù)器，因此需要配置Port

15、al免認(rèn)證規(guī)則，對(duì)該接口連接的設(shè)備 不進(jìn)行Portal認(rèn)證。AC portal free-rule 0 source interface gigabitethernet 1/0/1 destination any進(jìn)入接口 VLAN 200視圖。AC interface vlan-interface 200指定接入的Portal用戶使用認(rèn)證域?yàn)閛ffice。AC-Vlan-interface200 portal domain office配置發(fā)送Portal報(bào)文使用的源地址為。AC-Vlan-interface200 portal nas-ip 使能三層Portal認(rèn)證，指定Portal服務(wù)器o

16、ffice，并配置為直接認(rèn)證方式。AC-Vlan-interface200 portal server office method direct AC-Vlan-interface200 quit(5)配置MAC地址認(rèn)證使能端口安全功能。AC port-security enable在WLAN-ESS1接口下，配置端口安全模式為MAC地址認(rèn)證。AC interface wlan-ess 1AC-WLAN-ESS1 port-security port-mode mac-authentication指定接口接入的MAC地址認(rèn)證用戶使用的認(rèn)證域?yàn)閛fficeoAC-WLAN-ESS1 mac-au

17、thentication domain office配置MAC地址認(rèn)證的Guest VLAN為VLAN 200。AC-WLAN-ESS1 mac-authentication guest-vlan 200指定對(duì)用戶的MAC地址認(rèn)證必須在該用戶通過(guò)Portal認(rèn)證之后。AC-WLAN-ESS1 mac-authentication trigger after-portal AC-WLAN-ESS1 quit(6)配置無(wú)線服務(wù)創(chuàng)建clear類型的服務(wù)模板1。AC wlan service-template 1 clear設(shè)置當(dāng)前服務(wù)模板的SSID為serviceoAC-wlan-st-1 ssid

18、 service將WLAN-ESS1接口綁定到服務(wù)模板1oAC-wlan-st-1 bind wlan-ess 1配置本地轉(zhuǎn)發(fā)模式，指定VLAN為VLAN 300。AC-wlan-st-1 client forwarding-mode local vlan 300啟用服務(wù)模板1oAC-wlan-st-1 service-template enable AC-wlan-st-1 quit(7)配置射頻接口并綁定服務(wù)模板創(chuàng)建AP的管理模板，名稱為officeap,型號(hào)名稱選擇WA2620E-AGN。 AC wlan ap officeap model WA2620E-AGN設(shè)置 officeap

19、的序歹ij號(hào)為 21023529G007C000020。AC-wlan-ap-officeap serial-id 21023529G007C000020進(jìn)入radio 2射頻視圖。AC-wlan-ap-officeap radio 2配置的clear類型的服務(wù)模板1與射頻2進(jìn)行關(guān)聯(lián)。AC-wlan-ap-officeap-radio-2 service-template 1使能 officeap 的 radio 2。AC-wlan-ap-officeap-radio-2 radio enable AC-wlan-ap-officeap-radio-2 quit(8)配置AP配置文件打開(kāi)記事本

20、或其它文本編輯軟件，在空白文檔內(nèi)輸入以下內(nèi)容：interface GigabitEthernet1/0/1 port link-type trunk port trunk permit vlan 300 #然后將該文檔保存為apcfg.txt o使用FTP或者TFTP方式，將apcfg.txt上傳到AC的存儲(chǔ)介質(zhì)中，配置步驟略。將配置文件apcfg.txt下發(fā)到APoAC-wlan-ap-officeap map-configuration apcfg.txt AC-wlan-ap-officeap quitSwitch 的配置創(chuàng)建 VLAN 100、VLAN 200 和 VLAN 300,其

21、中 VLAN 100 用于轉(zhuǎn)發(fā) AC 和 AP 間 LWAPP隧道 內(nèi)的流量，VLAN 200作為無(wú)線客戶端集中轉(zhuǎn)發(fā)的Guest VLAN, VLAN 300為無(wú)線客戶端本地轉(zhuǎn)發(fā) 的 VLAN。 system-view Switch vlan 100 Switch-vlan100 quit Switch vlan 200 Switch-vlan200 quit Switch vlan 300 Switch-vlan300 quit配置Switch與AC相連的GigabitEthernet1/0/1接口屬性Trunk,禁止VLAN 1報(bào)文通過(guò)，配置 PVID 為 100,允許 VLAN 100、

22、VLAN 200 和 VLAN 300 通過(guò)。Switch interface gigabitethernet 1/0/1 Switch-GigabitEthernet1/0/1 port link-type trunk Switch-GigabitEthernet1/0/1 undo port trunk permit vlan 1 Switch-GigabitEthernet1/0/1 port trunk permit vlan 100 200 300 Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100 Switch-GigabitE

23、thernet1/0/1 quit配置Switch與AP相連的GigabitEthernet1/0/2接口屬性為Access,并允許VLAN 100通過(guò)。Switch interface gigabitethernet 1/0/2 Switch-GigabitEthernet1/0/2 port link-type access Switch-GigabitEthernet1/0/2 port access vlan 100 # 配置 Switch 與 AP 相連的 GigabitEthernet1/0/2接口使能 PoE 功能。Switch-GigabitEthernet1/0/2 poe

24、enable Switch-GigabitEthernet1/0/2 quit配置Switch與DHCP服務(wù)器相連的GigabitEthernet1/0/3接口屬性為Access,并允許VLAN 100 通過(guò)。Switch interface gigabitethernet 1/0/3 Switch-GigabitEthernet1/0/3 port link-type access Switch-GigabitEthernet1/0/3 port access vlan 100 Switch-GigabitEthernet1/0/3 quit配置Switch與RADIUS/Portal服務(wù)器

25、相連的GigabitEthernet1/0/4接口屬性為Access,并允許 VLAN 100 通過(guò)。Switch interface gigabitethernet 1/0/4Switch-GigabitEthernet1/0/4 port link-type accessSwitch-GigabitEthernet1/0/4 port access vlan 100Switch-GigabitEthernet1/0/4 quitRADIUS服務(wù)器的配置F面以 iMC 為例(使用 iMC 版本為：iMC PLAT 5.2(E0401)、iMC UAM 5.2(E0402)，說(shuō)明RADIUS服

26、務(wù)器的基本配置。增加接入設(shè)備。登錄進(jìn)入iMC管理平臺(tái)，選擇“業(yè)務(wù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的用戶接入管理/接入設(shè)備管理/接入設(shè) 備配置菜單項(xiàng)，單擊增加 按鈕，進(jìn)入“增加接入設(shè)備”頁(yè)面，單擊手工增加 按鈕，進(jìn)入“手 工增加接入設(shè)備”頁(yè)面。設(shè)置認(rèn)證及計(jì)費(fèi)的端口號(hào)分別為“1812”和“1813”；設(shè)置與AC交互報(bào)文時(shí)使用的認(rèn)證、計(jì)費(fèi)共享密鑰為“key”；選擇業(yè)務(wù)類型為“LAN接入業(yè)務(wù)”；選擇接入設(shè)備類型為“10”；選擇手工增加接入設(shè)備，添加IP地址為“”；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖2增加接入設(shè)備茂州蘇 2國(guó)戶格久靜再推入設(shè)備省理：，持設(shè)常配苴 力增揄排A,設(shè)第接苴-JiF*口1S12

27、-i苔方n1S1S- 3亍已法-明i三亍王天后、也域7C7匚居士工3礴上3V接入設(shè)備類型H3C( General)即殂網(wǎng)U?不涓封房二打網(wǎng)V業(yè)務(wù)分組*I 酶 I手工叨加全部消除共有1條記錄,設(shè)新型號(hào)窗江黑除X嘯定取消#配置接入規(guī)則。選擇“業(yè)務(wù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的用戶接入管理/接入規(guī)則管理菜單項(xiàng)，單擊增加 按鈕，創(chuàng)建 一條接入規(guī)則。接入規(guī)則名輸入“0f七6”。其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖3配置接入規(guī)則封心智A用第八爸班A搭人間網(wǎng)恃理 增加接入蛆回。器三縣本信息T，士:k回匚己4江三工均；二三授就信息箝人用能世冷.證書(shū)辦證認(rèn)證證書(shū)類型父.工匚 ! ?-.User Profil

28、eV*Kbps C .-VA-iT Li分配IR地址 上行速率啟用RS而M.iir一看干廣主VKbps國(guó)不啟用C曰卬證書(shū)認(rèn)iE邑P-TLSUn.卜0L TtfaCL認(rèn)證界定信息匚R定后，心.將P口浮三三，.世學(xué)端口匚肅定豐1田也LJ：常二用日匕比匚i陽(yáng)n訐定域獨(dú)得出L亡壬信.何二小：.-控%|口:三跳泮證勃摩不巧耳川口山三向H口口三 J口口瑜，王二豐壯利口口口 二田王4壬：弓5心彩事山;定:Qin匕雙YLATJ螃計(jì)年機(jī)名辭綁定接入,設(shè)備序7三用戶客戶荒配直，是口 過(guò)|“口日0戶批用丫棺idDH5可溶解客戶靠禁用Linu對(duì)MacOG可溶解香=端卜IN笆軍:王注目土下三處匕.丁由自動(dòng)司鈿酸瞅IP地

29、址3住項(xiàng)占k他陽(yáng)#T-34ILh-MYr: -fwil.屋廣遂 L PI： 三T年止；二七支苴*El!二.口上便？工居二F -IP尼比匚金式八品制心:!三丁宜心門(mén)出三逅田三二匕力打司的1.仇匕出址自用多操作系統(tǒng)| 加 | 取白增加服務(wù)配置。選擇“業(yè)務(wù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的用戶接入管理/服務(wù)配置管理菜單項(xiàng)，進(jìn)入服務(wù)器配置管理頁(yè) 面，在該頁(yè)面中單擊增加 按鈕，進(jìn)入增加服務(wù)配置頁(yè)面。輸入服務(wù)名為“ofice、服務(wù)后綴為“ofice”；缺省接入規(guī)則輸入“。死6”；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖4增加服務(wù)配置業(yè)務(wù)業(yè)務(wù)用戶接入答哩 腰短百管理-增加服資比值縣本信只cTflceoffice

30、回可用逋cTflceoffice回可用逋PartsR空曙亮快速江上U播人菊陶妄詢定取消增加用戶配置。選擇“用戶”頁(yè)簽，單擊導(dǎo)航樹(shù)中的接入用戶視圖/所有接入用戶菜單項(xiàng)，單擊增加 按鈕，增加 一個(gè)接入用戶，再選擇增加用戶。用戶姓名輸入力0心口$6”；證件號(hào)碼輸入“1234”；用戶分組選擇“未分組”；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖5增加用戶配置增加接入用戶配置。返回主頁(yè)面，輸入：賬號(hào)名輸入“。伯ce”；密碼與密碼確認(rèn)輸入/ey”；選擇服務(wù)名“o伯ce”；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖6增加接入用戶配置由FIJ戶A同臺(tái)德A用戶 明博據(jù)無(wú)用戶接入用戶據(jù)人畝息& IF臺(tái)

31、、片號(hào)3口頊開(kāi)戶用戶、士嗎ponalus| 郵 |,用戶optic e|_果告劑。口豐門(mén)口主機(jī)名用戶快速認(rèn)證用戶刁弁工十日=|二打止因啟用用戶空碼控制第咯下登二:我際卡三,旨土卬FE_ ranar&ffpmjKTJz1Ve屋北閑百時(shí)長(zhǎng) 帳號(hào)類型 nr=(=登錄提示信思:；刈=行為主|上制1Trrls王時(shí)；H0.L接入眼若服解茗眼弟后黑狀恚得費(fèi)第嗜金配IP16址 (rnceamce司工 W use括入設(shè)備綁定佶星滑市=下R：,亭/悶舊VLAN ir 71-VLAN ID強(qiáng)缶p加-吁口無(wú)殛用戶SSI 口終送鄰拼化身計(jì)尊機(jī)名稀小定域IFW間3尸0MACiOf.盟不注圖在交本框中輸中多條信息時(shí),若行只

32、雅輸在一條信息廨演定并打印取消103.4.4 Portal服務(wù)器的配置F面以 iMC 為例(使用 iMC 版本為：iMC PLAT 5.2(E040 iMC UAM 5.2(E0402)，說(shuō)明 Portal服務(wù)器的基本配置。#配置Portal服務(wù)器。登錄進(jìn)入iMC管理平臺(tái)，選擇“業(yè)務(wù)”頁(yè)簽，單擊導(dǎo)航樹(shù)中的用戶接入管理/Portal服務(wù)管理/服務(wù) 器配置菜單項(xiàng)，進(jìn)入服務(wù)器配置頁(yè)面。Portal 主頁(yè)選擇 http:0:8080/portal/；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖7 Portal服務(wù)器配置頁(yè)面附費(fèi)勢(shì)由聞戶揍入管理沖PertalK署管理尋尋配置Port工展金器配置摹本仁

33、乩-日志工？： r-:F. .s：4：5-；蘭:跳間隔時(shí)考2GPm儲(chǔ)之士缶類型列表增加l:. P ： T .7. .|抵冬球型林很麋若羌至國(guó)除砥定配置IP地址組。單擊導(dǎo)航樹(shù)中的用戶接入管理/Portal服務(wù)管理/IP地址組配置菜單項(xiàng)，進(jìn)入Portal IP地址組配置頁(yè) 面，在該頁(yè)面中單擊增加按鈕，進(jìn)入增加IP地址組配置頁(yè)面。填寫(xiě)ip地址組名“portaluser”；輸入起始地址“”； 輸入終止地址“55”； 其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。11圖8增加IP地址組配置頁(yè)面 TOC o 1-5 h z 藥g業(yè)勢(shì)用戶接入管理aapmu理揖轉(zhuǎn)庵，=i也忙ii削品若冷霜加選址組生 增加 i

34、p地址組，|一：|：:；|.七二porrluser,IRvG三-q兀：,北批JD1 2DD0C1 .：憶.|1打即255.2砧北二：打十一：* * .門(mén)V一定 I 取漕#增加Portal設(shè)備。單擊導(dǎo)航樹(shù)中的用戶接入管理/Portal服務(wù)管理/設(shè)備配置菜單項(xiàng)，進(jìn)入Portal設(shè)備配置頁(yè)面，在該 頁(yè)面中單擊增加 按鈕，進(jìn)入增加設(shè)備信息配置頁(yè)面。填寫(xiě)設(shè)備名“NAS”；指定IP地址為與接入用戶相連的設(shè)備接口 IPv4地址“；選擇版本，Portal 2.0；密鑰與密鑰確認(rèn)輸入/6丫，與AC上的配置保持一致；其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖9增加設(shè)備信息配置頁(yè)面但業(yè)多用戶接入管T! Pci

35、rt味港管理 設(shè)者配置帽方）設(shè)者信息加鵬備信息靛書(shū)信息NA3 一分組： Y*朧本Dortaj 2 0-IFI-.I.7191 200 0 1 IL -:i 1ZDQO本地刮wg：否上認(rèn)證：盛次數(shù)0工，一1二三二七.產(chǎn)香7二寸用=：，否V*4*軸認(rèn)一用工阻網(wǎng)方式三層設(shè)晶搐f用定取消Portal設(shè)備關(guān)聯(lián)IP地址組在Portal設(shè)備配置頁(yè)面中的設(shè)備信息列表中，點(diǎn)擊NAS設(shè)備的操作|端口組信息管理鏈接，進(jìn)入 端口組信息配置頁(yè)面。12圖10設(shè)備信息列表蜜業(yè)匏戶接入饞理幅勢(shì)管或n役番配置令M-F：厚d林J增加般瞽t4AS.益功.集各信息查詢改署名精滓下先結(jié)果三業(yè)務(wù)分組”|7省 | 篁置諛留信息列表鬟各憲生

36、舞先/ IP-H：ip心電一鼻逋一 一下，時(shí)間一果.k 1 ：?.:.?. = -ij -1：鬟各憲生舞先/ IP-H：ip心電一鼻逋一 一下，時(shí)間一果Por1al2 0三一知 191 200.01三株曲X HK蒙域口粗亡總情理中卜龍配置配置端口組信息。在端口組信息配置頁(yè)面中點(diǎn)擊增加 按鈕，進(jìn)入增加端口組信息配置頁(yè)面。填寫(xiě)端口組名“group”；選擇IP地址組“portaluser，用戶接入網(wǎng)絡(luò)時(shí)使用的IP地址必須屬于所選的IP地址組;其它參數(shù)采用缺省值，并單擊確定 按鈕完成操作。圖11增加端口組信息配置頁(yè)面山藥力林入邛率aP如舒|般益曾登aPmlM設(shè)洛配送時(shí)口第信息配胃墻隕送口照百總增加試口

37、期后電金口蛆名gnDup金口蛆名gnDup,強(qiáng)君5言1開(kāi)哈靖口0由鰥止端口t圉說(shuō)笑照HTTP*懊速認(rèn)證K指誤透?jìng)鱐是否IW否Vt認(rèn)證方式CMP以證* IP出位團(tuán)T心跳扃隔分即占，（!?蛔10用尸或名用戶由性畀置7攝省U證芟型阿更身借M證V缺者快證頁(yè)面133.5驗(yàn)證配置當(dāng)Client初始接入到無(wú)線網(wǎng)絡(luò)時(shí)，使用display wlan client命令查看所有Client的信息，觀察到 Client接入無(wú)線服務(wù)，MAC地址認(rèn)證未通過(guò)，進(jìn)入Guest VLAN。AC display wlan clientTotal Number of Clients: 1Client InformationSSID

38、: serviceMAC Address User NameAPID/RID IP AddressVLAN0000-0000-0012 -NA-1/2200Client通過(guò)瀏覽器訪問(wèn)網(wǎng)絡(luò)，輸入任意網(wǎng)址，彈出認(rèn)證頁(yè)面，輸入用戶名和密碼后，Portal認(rèn)證 通過(guò)，通過(guò)display portal user all命令查看Portal用戶信息。AC display portal user allIndex:307State:ONLINESubState:NONEACL:NONEWork-mode:stand-aloneMACIPVlan Interface0000Vlan

39、-interface200Total 1 user(s) matched, 1 listed.Client在通過(guò)Portal認(rèn)證之后被AC強(qiáng)制下線，Client重新接入無(wú)線服務(wù)，并進(jìn)行MAC地址認(rèn)證， 認(rèn)證成功后Client進(jìn)入本地轉(zhuǎn)發(fā)VLAN 300。AC display wlan clientTotal Number of Clients: 1Client InformationSSID: serviceMAC Address User NameAPID/RID IP AddressVLAN0000-0000-0012 0000000000121/2300通過(guò)display connect

40、ion命令查看用戶信息，存在Portal認(rèn)證和MAC地址認(rèn)證2個(gè)用戶信息。 表明Client可以通過(guò)Switch訪問(wèn)Internet。AC display connectionIndex=307 ,Username=officeofficeMAC=00-00-00-00-00-12IP=IPv6=N/AOnline=00h02m55s14Index=308 ,Username=000000000012officeMAC=00-00-00-00-00-12IP=N/AIPv6=N/AOnline=00h02m53sTotal 2 connection(s) matched.6配置文件AC:# p

41、ort-security enable#portal server office ip 0 key cipher $c$3$J1PGPWa9xAWqQa/0zdlPkPiINGFCzA= = url HYPERLINK 0:8080/portal 0:8080/portal portal local-server httpportal free-rule 0 source interface GigabitEthernet1/0/1 destination any # vlan 100 # vlan 200 # vlan 300 # radius scheme office server-ty

42、pe extendedprimary authentication 0 key cipher $c$3$tdugLutQBoSpQVQvMPEBErb4UvJMsQ= primary accounting 0 key cipher $c$3$LMHLQJ/lqJZ0ZLhm7PMR8Z5hOdd9ig= user-name-format without-domain nas-ip #domain office authentication lan-access none authorization lan-access none accounting lan-access none authentication portal radius-scheme office authorization portal radius-scheme office accounting portal radius-scheme office#wlan service-template 1 clear ssid service bind WLAN-ESS 1 client forwarding-mode local vlan 300 service-template enable # interface Vlan-interface100 ip address 15interface Vlan-i