更新时间:2024-12-03 GMT+08:00
分享

配置认证控制点(AC)

登录AC网管界面

  1. 登录华为乾坤控制台
  2. 进入WAC网管界面。

    1. 单击控制台菜单栏“资源中心 > 设备管理”,选择“设备”页签。
    2. 选中WAC设备名称,在设备详情页面单击右上角“远程登录”,进入设备管理界面。

配置AC系统参数

  1. 配置AC基本参数。

    1. 在网管界面选择配置 > 配置向导 > AC,进入“AC基本配置”页面。
    2. 配置AC基本信息,完成后单击“下一步”。

      “所在国家/地区”按实际情况选择,以“中国”为例。“系统时间”配置为“手动设置”“日期和时间”配置为“使用PC当前时间”

  2. 配置端口。

    1. 在“端口配置”页面,选中目标接口“GigabitEthernet0/0/1”“GigabitEthernet0/0/2”,单击“批量修改”。
    2. 配置接口信息。配置“Eth-Trunk”为2,“接口类型”“Trunk”,““允许通过VLAN(Tagged)”设为“1,10,20”,将“GigabitEthernet0/0/1”“GigabitEthernet0/0/2”加入VLAN10(管理VLAN)和VLAN20(业务VLAN)。
    3. 单击“应用”,确认无误后“确定”,然后单击“下一步”。

  3. 配置网络互联。

    1. 在“网络互联配置”页面,单击“接口配置”下的“新建”,配置接口VLANIF10的IP地址为10.1.2.1/24,单击“确定”。

    2. 单击“DHCPv4地址池列表”下的“新建”,采用“接口地址池”,选择接口VLANIF10,单击“确定”。

    3. 以同样的方式配置VLANIF20接口地址池,VLANIF20的IP地址为10.1.4.1/24,单击“下一步”。

  4. 进入“AC备份配置”,单击“下一步”。

  5. 配置AC源地址。在“AC源地址”页面,选择“IPv4”,源地址选择“VLANIF”,单击按钮,选择“Vlanif10”,单击“下一步”。

  6. 配置确认。确认配置信息无误后,单击“完成并继续AP上线配置”

配置员工无线业务

在WAC网管界面进行AP的集中管理,同时配置校园员工的无线接入和安全控制。

认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应,SSID名称保持一致。

表1 员工无线接入业务规划表

VAP模板

SSID模板

安全模板

认证模板

认证方式

test-emp

  • 业务VLAN ID:10
  • 转发模式:隧道转发
  • SSID模板名称:test-emp
  • SSID名称:test-emp

test-emp

test-emp

用户名密码认证

  1. 配置AP上线。

    1. 配置AP上线。页面跳转到“配置 > 配置向导 > AP上线”页面,单击“下一步”
    2. 配置AP分组。
      1. “AP分组”页面单击按钮,创建“ap-group1”AP组,单击“确定”。
      2. 选中“ap-group1”组,单击“AP列表”下方“加入”,选择需要添加到“ap-group1”组的AP,单击“确定”,然后单击“下一步”。

    3. 配置确认。确认配置信息无误后,单击“完成并继续无线业务配置”

  2. 配置员工SSID。

    1. 页面跳转到“配置 > 配置向导 > 无线业务”页面,单击“新建”,进入“基本信息”页面。

      配置SSID名称test-emp、隧道转发模式、业务VLAN ID为10。

    2. 单击“下一步”,进入“安全认证”页面,根据表2设置参数。
      表2 员工SSID基本配置参数表

      参数

      参数取值

      安全配置

      Portal(企业网络适用)

      Portal服务器

      外置Portal服务器(选择“MAC优先外置Portal”)

      外置Portal服务器配置

      配置服务器名称:test-emp

      配置服务器URL:https://device.qiankun-saas.huawei.com:19008/portal

      配置服务器IP地址:139.9.137.139

      报文端口号:50100

      配置共享密钥

      外置Radius服务器配置

      配置服务器名称:test-emp

      认证服务器IP地址:139.9.137.139

      服务器端口号:1812

      配置共享密钥

    3. 单击“下一步”,进入“接入控制”页面。“绑定AP组”“ap-group1”,单用户限速上/下行速度为5120Kbps,最后单击“完成”。

  3. 配置HACA认证。

    1. 创建名为“test-emp”的认证模板。
      1. 单击“配置 > AP配置 > AP组配置”,进入“AP组”页面,选择“ap-group1”组,进入AP组配置页面。
      2. 选中左侧导航栏“VAP配置”,单击“新建”VAP模板,模板名称为test-emp,WLAN ID设为1,并单击“确定”。

      3. 选中左侧导航栏“VAP配置 > test-emp > 认证模板”,进入“认证模板”页面。

        选择“接入方式”为“Portal接入”,“Portal选项”为“HACA接入”,勾选“MAC优先”

      4. 单击“应用”,在弹出的对话框中单击“确定”。
    2. 配置HACA接入参数。
      1. 单击“认证模板”前按钮,选择“HACA接入配置”,进入“Portal模板”界面。
      2. 单击“Portal服务器组”后,进入“Portal认证服务器列表”页面。
      3. 单击“新建”,进入“新建Portal服务器组配置”页面,按表3配置。
        表3 Portal服务器组配置参数表

        参数

        参数取值

        服务器名称

        test-emp

        服务器IP地址

        139.9.137.139

        URL

        https://device.qiankun-saas.huawei.com:19008/portal

        重定向配置

        • AC-MAC关键字:wac-mac
        • 用户访问URL关键字:redirect-url
        • 用户MAC关键字:umac
        • 用户IP地址关键字:uaddressSSID
        • SSID关键字:ssid

      4. 单击“确定”,在服务器名称列表中选择新建的名为“test-emp”的服务器,单击“确定”。
      5. 单击“应用”,在弹出的对话框中单击“确定”。
    3. 配置HACA服务器。
      1. 单击“认证模板”前按钮,选择“HACA服务器配置”,进入“HACA服务器配置”界面。
      2. 在“HACA服务器模板”页签下单击“新建”,进入“新建HACA服务器模板”页面。

        配置“模板名称”为test-emp,开启“HACA功能”,“IP地址”为139.9.137.139,“端口号”为50301,“证书名称”为default。

        关于端口号,在设备上执行命令display pki certificate local realm default查看设备证书,新证书端口为50301,老证书端口为50300。

        • 新证书颁发者:CN=Huawei Equipment CA或者Huawei Enterprise Network Product CA
        • 老证书颁发者:CN=Huawei Switch & Enterprise Communication Product Line CA

      3. 单击“确定”,在弹出的对话框中单击“确定”。
      4. 选择“HACA服务器模板”为“test-emp”,“计费模式”为“HACA计费”,计费策略根据实际情况设置,与认证服务器侧配置保持一致即可。

        “计费形式”选择“实时计费”(计费时间间隔与认证控制侧保持一致),“实时计费失败后策略”为“拒绝用户上线”,“开始计费失败策略”为“允许用户上线”。

      5. 单击“应用”,在弹出的对话框中单击“确定”。

  4. 配置用户免认证时可以访问的网络资源。

    1. 单击配置 > AP配置 > 模板管理,进入“模板管理”页面。
    2. 选择无线业务 > VAP模板 > test-emp > 认证模板 > 免认证规则模板,进入“免认证规则模板”界面。
    3. 选择“免认证规则模板”“default_free_rule”
    4. 在“控制方式”处选择“免认证规则”
    5. 单击“新建”,进入“新建免认证规则”页面,配置完成后单击“确定”。

      其中“规则编号”设为1,免认证的目的IP地址为DNS服务器的IP地址



    6. 选中规则编号为1的免认证规则,单击“应用”,在弹出的提示页面中单击“确定”,完成配置。

配置访客无线业务

在WAC网管界面进行AP的集中管理,同时配置校园访客的无线接入和安全控制。

认证控制点侧SSID业务配置要与认证服务器侧SSID业务配置对应,SSID名称保持一致。

表4 访客无线接入业务规划表

VAP模板

SSID模板

安全模板

认证模板

认证方式

test-guest

  • 业务VLAN ID:20
  • 转发模式:隧道转发
  • SSID模板名称:test-guest
  • SSID名称:test-guest

test-guest

test-guest

短信认证

  1. 配置AP上线。

    1. 配置AP上线。页面跳转到“配置 > 配置向导 > AP上线”页面,单击“下一步”
    2. 配置AP分组。
      1. “AP分组”页面单击按钮,创建“ap-group2”AP组,单击“确定”。
      2. 选中“ap-group2”组,单击“AP列表”下方“加入”,选择需要添加到“ap-group2”组的AP,单击“确定”,然后单击“下一步”。

    3. 配置确认。确认配置信息无误后,单击“完成并继续无线业务配置”

  2. 配置访客SSID。

    1. 页面跳转到“配置 > 配置向导 > 无线业务”页面,单击“新建”,进入“基本信息”页面。

      配置SSID名称test-guest、隧道转发模式、业务VLAN ID为20。

    2. 单击“下一步”,进入“安全认证”页面,根据表5设置参数。
      表5 访客SSID基本配置参数表

      参数

      参数取值

      安全配置

      Portal(企业网络适用)

      Portal服务器

      外置Portal服务器

      外置Portal服务器配置

      配置服务器名称:test-guest

      配置服务器URL:https://device.qiankun-saas.huawei.com:19008/portal

      配置服务器IP地址:139.9.137.139

      报文端口号:50100

      配置共享密钥

      外置Radius服务器配置

      配置服务器名称:test-guest

      认证服务器IP地址:139.9.137.139

      服务器端口号:1812

      配置共享密钥

    3. 单击“下一步”,进入“接入控制”页面。“绑定AP组”“ap-group2”,单用户限速上/下行速度为5120Kbps,最后单击“完成”。

  3. 配置HACA认证。

    1. 创建名为“test-guest”的认证模板。
      1. 单击“配置 > AP配置 > AP组配置”,进入“AP组”页面,选择“ap-group2”组,进入AP组配置页面。
      2. 选中左侧导航栏“VAP配置”,单击“新建”VAP模板,模板名称为test-guest,WLAN ID设为2,并单击“确定”。

      3. 选中左侧导航栏“VAP配置 > test-guest > 认证模板”,进入“认证模板”页面。

        选择“接入方式”为“Portal接入”,“Portal选项”为“HACA接入”。

      4. 单击“应用”,在弹出的对话框中单击“确定”。
    2. 配置HACA接入参数。
      1. 单击“认证模板”前按钮,选择“HACA接入配置”,进入“Portal模板”界面。
      2. 单击“Portal服务器组”后,进入“Portal认证服务器列表”页面。
      3. 单击“新建”,进入“新建Portal服务器组配置”页面,按表6配置。
        表6 Portal服务器组配置参数表

        参数

        参数取值

        服务器名称

        test-guest

        服务器IP地址

        139.9.137.139

        URL

        https://device.qiankun-saas.huawei.com:19008/portal

        重定向配置

        • AC-MAC关键字:wac-mac
        • 用户访问URL关键字:redirect-url
        • 用户MAC关键字:umac
        • 用户IP地址关键字:uaddressSSID
        • SSID关键字:ssid

      4. 单击“确定”,在服务器名称列表中选择新建的名为“test-guest”的服务器,单击“确定”。
      5. 单击“应用”,在弹出的对话框中单击“确定”。
    3. 配置HACA服务器。
      1. 单击“认证模板”前按钮,选择“HACA服务器配置”,进入“HACA服务器配置”界面。
      2. 在“HACA服务器模板”页签下单击“新建”,进入“新建HACA服务器模板”页面。

        配置“模板名称”为test-guest,开启“HACA功能”,“IP地址”为139.9.137.139,“端口号”为50301,“证书名称”为default。

        关于端口号,在设备上执行命令display pki certificate local realm default查看设备证书,新证书端口为50301,老证书端口为50300。

        • 新证书颁发者:CN=Huawei Equipment CA或者Huawei Enterprise Network Product CA
        • 老证书颁发者:CN=Huawei Switch & Enterprise Communication Product Line CA

      3. 单击“确定”,在弹出的对话框中单击“确定”。
      4. 选择“HACA服务器模板”为test-guest,“计费模式”为“HACA计费”,计费策略根据实际情况设置,与认证服务器侧配置保持一致即可。

        “计费形式”选择“实时计费”(计费时间间隔与认证控制侧保持一致),“实时计费失败后策略”为“拒绝用户上线”,“开始计费失败策略”为“允许用户上线”。

      5. 单击“应用”,在弹出的对话框中单击“确定”。

  4. 配置用户免认证时可以访问的网络资源。

    1. 单击配置 > AP配置 > 模板管理,进入“模板管理”页面。
    2. 选择无线业务 > VAP模板 > test-guest > 认证模板 > 免认证规则模板,进入“免认证规则模板”界面。
    3. 选择“免认证规则模板”“default_free_rule”
    4. 在“控制方式”处选择“免认证规则”
    5. 单击“新建”,进入“新建免认证规则”页面,配置完成后单击“确定”。

      其中“规则编号”设为1,免认证的目的IP地址为DNS服务器的IP地址



    6. 选中规则编号为1的免认证规则,单击“应用”,在弹出的提示页面中单击“确定”,完成配置。

相关文档