配置认证控制点(AC)
登录AC网管界面
- 登录华为乾坤控制台。
- 进入WAC网管界面。
- 单击控制台菜单栏“资源中心 > 设备管理”,选择“设备”页签。
- 选中WAC设备名称,在设备详情页面单击右上角“远程登录”,进入设备管理界面。
配置AC系统参数
- 配置AC基本参数。
- 在网管界面选择,进入“AC基本配置”页面。
- 配置AC基本信息,完成后单击“下一步”。
“所在国家/地区”按实际情况选择,以“中国”为例。“系统时间”配置为“手动设置”。“日期和时间”配置为“使用PC当前时间”。
- 配置端口。
- 在“端口配置”页面,选中目标接口“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”,单击“批量修改”。
- 配置接口信息。配置“Eth-Trunk”为2,“接口类型”为“Trunk”,““允许通过VLAN(Tagged)”设为“1,10,20”,将“GigabitEthernet0/0/1”和“GigabitEthernet0/0/2”加入VLAN10(管理VLAN)和VLAN20(业务VLAN)。
- 单击“应用”,确认无误后“确定”,然后单击“下一步”。
- 配置网络互联。
- 在“网络互联配置”页面,单击“接口配置”下的“新建”,配置接口VLANIF10的IP地址为10.1.2.1/24,单击“确定”。
- 单击“DHCPv4地址池列表”下的“新建”,采用“接口地址池”,选择接口VLANIF10,单击“确定”。
- 以同样的方式配置VLANIF20接口地址池,VLANIF20的IP地址为10.1.4.1/24,单击“下一步”。
- 在“网络互联配置”页面,单击“接口配置”下的“新建”,配置接口VLANIF10的IP地址为10.1.2.1/24,单击“确定”。
- 进入“AC备份配置”,单击“下一步”。
- 配置AC源地址。在“AC源地址”页面,选择“IPv4”,源地址选择“VLANIF”,单击
按钮,选择“Vlanif10”,单击“下一步”。
- 配置确认。确认配置信息无误后,单击“完成并继续AP上线配置”。
配置员工无线业务
在WAC网管界面进行AP的集中管理,同时配置校园员工的无线接入和安全控制。
认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应,SSID名称保持一致。
|
VAP模板 |
SSID模板 |
安全模板 |
认证模板 |
认证方式 |
|---|---|---|---|---|
|
test-emp
|
|
test-emp |
test-emp |
用户名密码认证 |
- 配置AP上线。
- 配置AP上线。页面跳转到“配置 > 配置向导 > AP上线”页面,单击“下一步”。
- 配置AP分组。
- 在“AP分组”页面单击
按钮,创建“ap-group1”AP组,单击“确定”。 - 选中“ap-group1”组,单击“AP列表”下方“加入”,选择需要添加到“ap-group1”组的AP,单击“确定”,然后单击“下一步”。
- 在“AP分组”页面单击
- 配置确认。确认配置信息无误后,单击“完成并继续无线业务配置”。
- 配置员工SSID。
- 页面跳转到“配置 > 配置向导 > 无线业务”页面,单击“新建”,进入“基本信息”页面。
配置SSID名称test-emp、隧道转发模式、业务VLAN ID为10。
- 单击“下一步”,进入“安全认证”页面,根据表 员工SSID基本配置参数表设置参数。
表2 员工SSID基本配置参数表 参数
参数取值
安全配置
Portal(企业网络适用)
Portal服务器
外置Portal服务器(选择“MAC优先外置Portal”)
外置Portal服务器配置
配置服务器名称:test-emp
配置服务器URL:https://device.qiankun-saas.huawei.com:19008/portal
配置服务器IP地址:139.9.137.139
报文端口号:50100
配置共享密钥
外置Radius服务器配置
配置服务器名称:test-emp
认证服务器IP地址:139.9.137.139
服务器端口号:1812
配置共享密钥
- 单击“下一步”,进入“接入控制”页面。“绑定AP组”为“ap-group1”,单用户限速上/下行速度为5120Kbps,最后单击“完成”。
- 页面跳转到“配置 > 配置向导 > 无线业务”页面,单击“新建”,进入“基本信息”页面。
- 配置HACA认证。
- 创建名为“test-emp”的认证模板。
- 配置HACA接入参数。
- 单击“认证模板”前
按钮,选择“HACA接入配置”,进入“Portal模板”界面。 - 单击“Portal服务器组”后
,进入“Portal认证服务器列表”页面。 - 单击“新建”,进入“新建Portal服务器组配置”页面,按表 Portal服务器组配置参数表配置。
表3 Portal服务器组配置参数表 参数
参数取值
服务器名称
test-emp
服务器IP地址
139.9.137.139
URL
https://device.qiankun-saas.huawei.com:19008/portal
重定向配置
- AC-MAC关键字:wac-mac
- 用户访问URL关键字:redirect-url
- 用户MAC关键字:umac
- 用户IP地址关键字:uaddressSSID
- SSID关键字:ssid
- 单击“确定”,在服务器名称列表中选择新建的名为“test-emp”的服务器,单击“确定”。
- 单击“应用”,在弹出的对话框中单击“确定”。
- 单击“认证模板”前
- 配置HACA服务器。
- 单击“认证模板”前
按钮,选择“HACA服务器配置”,进入“HACA服务器配置”界面。 - 在“HACA服务器模板”页签下单击“新建”,进入“新建HACA服务器模板”页面。
配置“模板名称”为test-emp,开启“HACA功能”,“IP地址”为139.9.137.139,“端口号”为50301,“证书名称”为default。
关于端口号,在设备上执行命令display pki certificate local realm default查看设备证书,新证书端口为50301,老证书端口为50300。
- 新证书颁发者:CN=Huawei Equipment CA或者Huawei Enterprise Network Product CA
- 老证书颁发者:CN=Huawei Switch & Enterprise Communication Product Line CA
- 单击“确定”,在弹出的对话框中单击“确定”。
- 选择“HACA服务器模板”为“test-emp”,“计费模式”为“HACA计费”,计费策略根据实际情况设置,与认证服务器侧配置保持一致即可。
“计费形式”选择“实时计费”(计费时间间隔与认证控制侧保持一致),“实时计费失败后策略”为“拒绝用户上线”,“开始计费失败策略”为“允许用户上线”。
- 单击“应用”,在弹出的对话框中单击“确定”。
- 单击“认证模板”前
- 配置用户免认证时可以访问的网络资源。
- 单击,进入“模板管理”页面。
- 选择,进入“免认证规则模板”界面。
- 选择“免认证规则模板”为“default_free_rule”。
- 在“控制方式”处选择“免认证规则”。
- 单击“新建”,进入“新建免认证规则”页面,配置完成后单击“确定”。
其中“规则编号”设为1,免认证的目的IP地址为DNS服务器的IP地址
- 选中规则编号为1的免认证规则,单击“应用”,在弹出的提示页面中单击“确定”,完成配置。
配置访客无线业务
在WAC网管界面进行AP的集中管理,同时配置校园访客的无线接入和安全控制。
认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应,SSID名称保持一致。
|
VAP模板 |
SSID模板 |
安全模板 |
认证模板 |
认证方式 |
|---|---|---|---|---|
|
test-guest
|
|
test-guest |
test-guest |
短信认证 |
- 配置AP上线。
- 配置AP上线。页面跳转到“配置 > 配置向导 > AP上线”页面,单击“下一步”。
- 配置AP分组。
- 在“AP分组”页面单击
按钮,创建“ap-group2”AP组,单击“确定”。 - 选中“ap-group2”组,单击“AP列表”下方“加入”,选择需要添加到“ap-group2”组的AP,单击“确定”,然后单击“下一步”。
- 在“AP分组”页面单击
- 配置确认。确认配置信息无误后,单击“完成并继续无线业务配置”。
- 配置访客SSID。
- 页面跳转到“配置 > 配置向导 > 无线业务”页面,单击“新建”,进入“基本信息”页面。
配置SSID名称test-guest、隧道转发模式、业务VLAN ID为20。
- 单击“下一步”,进入“安全认证”页面,根据表 员工SSID基本配置参数表设置参数。
表5 访客SSID基本配置参数表 参数
参数取值
安全配置
Portal(企业网络适用)
Portal服务器
外置Portal服务器
外置Portal服务器配置
配置服务器名称:test-guest
配置服务器URL:https://device.qiankun-saas.huawei.com:19008/portal
配置服务器IP地址:139.9.137.139
报文端口号:50100
配置共享密钥
外置Radius服务器配置
配置服务器名称:test-guest
认证服务器IP地址:139.9.137.139
服务器端口号:1812
配置共享密钥
- 单击“下一步”,进入“接入控制”页面。“绑定AP组”为“ap-group2”,单用户限速上/下行速度为5120Kbps,最后单击“完成”。
- 页面跳转到“配置 > 配置向导 > 无线业务”页面,单击“新建”,进入“基本信息”页面。
- 配置HACA认证。
- 创建名为“test-guest”的认证模板。
- 配置HACA接入参数。
- 单击“认证模板”前
按钮,选择“HACA接入配置”,进入“Portal模板”界面。 - 单击“Portal服务器组”后
,进入“Portal认证服务器列表”页面。 - 单击“新建”,进入“新建Portal服务器组配置”页面,按表 Portal服务器组配置参数表配置。
表6 Portal服务器组配置参数表 参数
参数取值
服务器名称
test-guest
服务器IP地址
139.9.137.139
URL
https://device.qiankun-saas.huawei.com:19008/portal
重定向配置
- AC-MAC关键字:wac-mac
- 用户访问URL关键字:redirect-url
- 用户MAC关键字:umac
- 用户IP地址关键字:uaddressSSID
- SSID关键字:ssid
- 单击“确定”,在服务器名称列表中选择新建的名为“test-guest”的服务器,单击“确定”。
- 单击“应用”,在弹出的对话框中单击“确定”。
- 单击“认证模板”前
- 配置HACA服务器。
- 单击“认证模板”前
按钮,选择“HACA服务器配置”,进入“HACA服务器配置”界面。 - 在“HACA服务器模板”页签下单击“新建”,进入“新建HACA服务器模板”页面。
配置“模板名称”为test-guest,开启“HACA功能”,“IP地址”为139.9.137.139,“端口号”为50301,“证书名称”为default。
关于端口号,在设备上执行命令display pki certificate local realm default查看设备证书,新证书端口为50301,老证书端口为50300。
- 新证书颁发者:CN=Huawei Equipment CA或者Huawei Enterprise Network Product CA
- 老证书颁发者:CN=Huawei Switch & Enterprise Communication Product Line CA
- 单击“确定”,在弹出的对话框中单击“确定”。
- 选择“HACA服务器模板”为test-guest,“计费模式”为“HACA计费”,计费策略根据实际情况设置,与认证服务器侧配置保持一致即可。
“计费形式”选择“实时计费”(计费时间间隔与认证控制侧保持一致),“实时计费失败后策略”为“拒绝用户上线”,“开始计费失败策略”为“允许用户上线”。
- 单击“应用”,在弹出的对话框中单击“确定”。
- 单击“认证模板”前
- 配置用户免认证时可以访问的网络资源。
- 单击,进入“模板管理”页面。
- 选择,进入“免认证规则模板”界面。
- 选择“免认证规则模板”为“default_free_rule”。
- 在“控制方式”处选择“免认证规则”。
- 单击“新建”,进入“新建免认证规则”页面,配置完成后单击“确定”。
其中“规则编号”设为1,免认证的目的IP地址为DNS服务器的IP地址
- 选中规则编号为1的免认证规则,单击“应用”,在弹出的提示页面中单击“确定”,完成配置。
