WX3024与IMC配合实现Portal认证

  一. 组网情况

  XX电力设计院网络主要由内网和外网组成,内网设备有一台MSR3020路由器,两台S7506E交换机,若干台S5100交换机;外网分为有线、无线两部分,有线进行dot1x EAD认证保证用户安全接入,无线外网前期使用基于MAC地址的认证方式控制客户端接入,这种方法配置繁琐,应用不灵活,且新采购的IMC管理系统没有实际用途,客户现需要无线外网WX3024设备与IMC管理系统配合实现portal EAD认证功能,加上原有的MAC认证,以便接入控制更加灵活。

  外网拓扑如图:

图片19.png


  WX3024的IP地址为192..168.20.10/24。核心交换机为S5500EI交换机,交换机上有VLAN1(设备管理VLAN)、VLAN102(有线用户)、VLAN200(无线用户),有线无线客户端IP地址由S55交换机分配,网关统一终结在S55上。WA2620E-AGN在VLAN1,SSID名称为AHY-WLAN,WX3024与交换机之间为Trunk,允许通过用户及管理VLAN。IMC服务器在VLAN10,ip地址192.168.10.5/24。

  二. 主要配置

  2.1 WX3024侧配置信息:

  #

  domain default enable portal

  #

  portal server ahedi ip 192.168.10.5 key admin url http://192.168.10.5:8080/portal

  portal free-rule 0 source interface GigabitEthernet1/0/1 destination any

  portal free 1 source any destination ip 202.102.192.68 mask 32

  radius scheme ahedi-portal

  server-type extended

  primary authentication 192.168.10.5

  primary accounting 192.168.10.5

  key authentication admin

  key accounting admin

  user-name-format without-domain

  nas-ip 192.168.20.10

  #

  domain portal

  authentication portal radius-scheme ahedi-portal

  authorization portal radius-scheme ahedi-portal

  accounting portal radius-scheme ahedi-portal

  #

  interface Vlan-interface200

  ip address 192.168.201.2 255.255.255.0

  portal server ahedi method direct

  2.2 IMC侧配置

  1. 配置portal server:默认配置即可;

  2. 配置IP地址组:增加需要认证的网段,例如:起始地址192.168.201.1,终止地址192.168.201.254;

  3. 设备配置:主要注意监听端口号(2000),主机IP地址是设备与iMC portal server交互portal报文(udp)所使用的源IP,例如:192.168.201.2;

  4. 配置端口组:在portal设备配置中点击“端口组信息管理”,点击“增加”,参数主要注意选中之前IP地址组;

  5. 配置完成后,请点击系统配置手工生效之后进行业务调试。

  三. 注意事项:

  1、默认情况下,Portal可以让广播报文和组播报文通过,所以未通过认证前Station也可以通过DHCP Server获得IP地址。

  2、在未通过认证前,工作站上线后应可以Ping通portal server.

  3、需要添加开放整个客户端网段的Portal Free规则:

  [wx3024] portal free-rule 0 source interface GigabitEthernet1/0/1 destination any

  本例中要添加开放接口GigabitEthernet1/0/1的Portal Free rule。

  4、如果通过DNS Server获取IP地址后上网,还需增加一条Portal Free规则:

  [wx3024] portal free 1 source any destination ip 202.1.1.1 mask 32

  202.1.1.1为DNS Server的IP地址。

  5、AP和Station要在不同的网段,因为如果AP和Station在同一网段,在此网段启用Portal认证后会影响AP的注册。

  6、AC radius scheme中一定要配置server-type extended。


2016年01月

本期文章