《帶你學習華為企業無線網絡應用》是博主原創的針對常見華為廠商無線AC AP組網系列應用部署為主的文章課程,結合實際環境出發,加上博主部署經驗以及會遇到哪些問題等,做到學以致用,給各位看官朋友一個不一樣的學習體驗。
公眾號的文章都可以免費觀看,視頻講解方面覺得不錯可以進行掃碼購買(之前官方自帶的功能太少,不支持打包以及蘋果支付有問題,所以加了個平臺(平臺更加便宜,定價更靈活),可以購買單章節,也可以全套(更實惠方便哦),根據自己需要選擇即可)
全套打包掃碼購買↓
(微信群滿了,只能加博主個人微信拉進去,想加群的,加博主微信備註 「加群」)
外置portal伺服器
之前一直在講解內置portal,那麼這次我們來講解下外置portal,所謂外置就是用的獨立的伺服器硬體來專門裝一個portal的軟體(比如在Windows、Linux上面運行),市面上目前主流的包括華為的Agile Controller、思科的ISE、H3C的IMC、銳捷的SAM以及Aruba的Clearpass跟深瀾的伺服器,這些伺服器有個特點,就是不單單是portal的單一功能,像MAC地址認證、802.1x、以及portal、微信等功能都是支持的,所以是一個綜合性很強的認證伺服器(包括了radius功能),但是就是比較「費錢「(手動狗頭),所以一般也是中大型網絡才會使用這種,當然下一篇我也會講解一個很實惠的認證伺服器(其實是一臺軟路由),這次演示我們使用思科的ISE演示,本來想用華為的,但是沒有申請到授權,思科默認給120天臨時授權可以測試~~~
基於HTTP/HTTPS協議的Portal認證流程
HTTPS協議認證報文交互過程與HTTP類似,區別在於HTTPS報文經過加解密處理。
在認證之前客戶端與接入設備之間建立起預連接,即客戶端用戶在認證成功之前在接入設備上已建立用戶在線表項,並且只有部分網絡訪問權限。
客戶端發起HTTP連接請求。
接入設備收到HTTP連接請求時,如果是訪問Portal伺服器或免認證網絡資源的HTTP報文,則接入設備允許其通過;如果是訪問其它地址的HTTP報文,則接入設備將其URL地址重定向到Portal認證頁面。
客戶端根據獲得的URL地址向Portal伺服器發起HTTP連接請求。
Portal伺服器向客戶端返回Portal認證頁面。
用戶在Portal認證頁面輸入用戶名和密碼後,客戶端向Portal伺服器發起Portal認證請求。
Portal伺服器通知客戶端向接入設備發起Portal認證請求。
客戶端向接入設備發起Portal認證請求(HTTP POST/GET)。
接入設備根據獲取到的用戶名和密碼,向RADIUS伺服器發送RADIUS認證請求(ACCESS-REQUEST)。
RADIUS伺服器對用戶名和密碼進行認證。如果認證成功,則RADIUS伺服器向接入設備發送認證接受報文(ACCESS-ACCEPT);如果認證失敗,則RADIUS伺服器返回認證拒絕報文(ACCESS-REJECT)。
由於RADIUS協議合併了認證和授權的過程,因此認證接受報文中也包含了用戶的授權信息。
接入設備根據接收到的認證結果接入/拒絕用戶。如果允許用戶接入,則接入設備向RADIUS伺服器發送計費開始請求報文(ACCOUNTING-REQUEST)。
RADIUS伺服器返回計費開始響應報文(ACCOUNTING-RESPONSE),並開始計費,將用戶加入自身在線用戶列表。
接入設備向客戶端返回Portal認證結果,並將用戶加入自身在線用戶列表。這個流程熟悉了,方便我們對下面的配置理解起來就方便很多。
整個拓撲還是跟之前一樣,我們用的3030DN胖AP,部署跟AC一樣,然後採用了思科的ISE伺服器(本來想採用華為的,無奈授權下不來),所以這裡暫時用思科的ISE作為外置的portal做測試。
1、ISE鏡像地址(默認120天授權,方便做實驗)
連結:https://pan.baidu.com/s/1fDabpnxc4UNKtCKmsXjRTQ提取碼:2cti 複製這段內容後打開百度網盤手機App,操作更方便哦
2、安裝
在安裝的時候可以用VM個人版或者企業版都可以,注意CPU要雙核、內存最少4G、硬碟給200G,而去裝的過程很長很長,可以掛機在那就去吃飯或者睡覺前裝著,第二天起來看。
選擇2.6.X(64位)
這裡給一個網卡就行
硬碟給予200G(系統會檢測各個硬體是否達標,否則會直接重啟)
內存改成4G,CPU雙核,選擇鏡像就行。
選擇1
這裡會檢測硬體,如果不達標就會自動重啟,然後接下來就是一個漫長的等待安裝了。(可以去吃飯或者睡個午覺)
吃完飯回來才正式開始裝,過程很漫長!!
輸入setup
參數可以根據自己需求改就行,這裡注意密碼要求大小寫 數字字符
接下來就是安裝ISE的資料庫了,又需要等待一段時間。
輸入帳號密碼登錄,然後用show application status ise查看狀態是running就表示OK了。
3、ISE的配置
瀏覽器輸入我們設置好的管理地址 192.168.1.247,會跳轉到HTTPS,然後輸入用戶名密碼.
會提示你有120天的使用時間,這個足夠我們實驗測試了,按照我們之前的配置思路
(1)定義radius客戶端:定義AP或者AC的地址,對應的密鑰
(2)創建用戶名 :用於登錄portal的用戶名密碼
(3)對接portal接入設備:在portal協議裡面是需要指定接入設備的地址以及密鑰的,但是在基於HTTP/HTTPS協議的時候,我們只需要獲取伺服器的URL參數即可。
我們來看看思科的ISE需要執行哪些操作。
(1)添加設備模板,在思科的ISE裡面默認有一些廠商的設備分類,但是都是國外的,並沒有HUAWEI,所以我們可以自定義一個模板
點擊Administration > Network Resources > Network DeviceProfiles,可以看到都是國外的廠商,我們選擇ADD
新建網絡設備模板「Huawei」,「Supported Protocols」配置為「RADIUS」,單擊「Submit」。
這個時候就有了
(2)添加radius客戶端
點擊,Administration> Network Resources > Network Devices,選擇ADD,思科的ISE的指定客戶端,類型很多,可以是radius、TACACS的,我們這裡只需要radius,然後輸入秘鑰即可。
(3)可選,打開CHAP協議功能
選擇 Policy > PolicyElements > Results > Authentication > AllowedProtocols,點擊Default NetworkAccess
勾選CHAP,這個可選的,因為我們在test-aaa有的朋友習慣不跟參數,那麼默認就是CHAP,如果這個沒開啟的話,就會測試失敗,有點基礎的會跟PAP,那就打不打開都可以了,建議是打開。
(4)創建用戶信息
選擇 Administration > Identity Management> Identities > Users >add,輸入用戶名跟密碼,注意這裡密碼不能包含用戶名的信息,並且密碼要滿足複雜度
(5)獲取portal頁面的URL,思科的ISE是基於HTTP/HTTPS協議的,這上面不需要指定接入設備的信息與對接秘鑰,我們只需要獲取portal上面的URL信息即可。
選擇 Work Centers >Guest Access > Configure > 點擊 Self-Registered Guest Portal(default)
進來後有一個portal test url,我們點擊
我們複製下這個URL,這個就是portal頁面的URL參數。至此,思科的ISE的整體配置已經完成,當然這個是最基礎也是最簡單的一個配置對接,裡面還有很多內容,我們這裡講解一個相對簡單的。
https://192.168.1.247:8443/portal/PortalSetup.action?portal=a692c530-2230-11e6-99ab-005056bf55e0
4、接入設備3030的配置(實際環境為AC,博主這裡沒有AC,所以用的FAT替代的,命令跟步驟一模一樣)
(1)創建radius模板
[Huawei]radius-servertemplate portal
[Huawei-radius-portal]radius-serverauthentication 192.168.1.247 1812
[Huawei-radius-portal]radius-servershared-key cipher ccieh3c.com
[Huawei-radius-portal]undoradius-server user-name domain-included
(2)測試下
探測都通過了,沒問題
(3)定義認證方式為radius
[Huawei]aaa
[Huawei-aaa]authentication-schemeportal
[Huawei-aaa-authen-portal]authentication-moderadius
(4)定義portal參數,這個作用是解析HTTPS的流量能夠發送給伺服器
[Huawei]portalweb-authen-server https ssl-policy default_policy port 8443
(5)定義URL模板
https://192.168.1.247:8443/portal/PortalSetup.action?portal=a692c530-2230-11e6-99ab-005056bf55e0在上面我們已經把portal頁面的連結複製出來了,但是這裡會有一個問題,就是在命令行裡面?這個符號是幫助,而連結裡面存在這個符號,輸入有些困難,我們可以把這個符號轉換下用#這個代替。
[Huawei]url-templatename portal
[Huawei-url-template-portal]url https://192.168.1.247:8443/portal/PortalSetup.action#portal=a692c530-2230-11e6-99ab-005056bf55e0 //定義portal頁面的地址參數
[Huawei-url-template-portal]parameterstart-mark # //定義URL中的符號,也就是把#轉換成?
[Huawei-url-template-portal]url-parameter login-url switch_url https://192.168.1.254:8443/login
這個login-url比較關鍵,在HTTP協議的流程中,客戶端是把用戶名信息直接發送給接入設備的,也就是我們環境的FAT AP(或者AC),這個時候我們必須指定一個地址作為與客戶端通信,所以這裡我們採用的是192.168.1.254,並且在認證通過後,也是通過這個信息反饋給客戶端是否通過認證。(實際環境中可以採用loopbank口,不必要跟客戶端在一個網段,注意路由可達即可)
(6)定義免認證模板
[Huawei]free-rule-templatename default_free_rule
[Huawei-free-rule-default_free_rule]free-rule0 destination ip 192.168.1.247 mask 32
[Huawei-free-rule-default_free_rule]free-rule 1 destination ip 114.114.114.114 mask 32
[Huawei-free-rule-default_free_rule]free-rule 2 destination ip 223.5.5.5 mask 32
[Huawei-free-rule-default_free_rule]free-rule3 destination ip 192.168.1.254 mask 32
這裡放行portal伺服器、接入設備URL地址以及DNS的流量
(7)配置WEB認證(這裡基於HTTP/HTTPS協議)
[Huawei]web-auth-server portal //創建一個WEB認證伺服器,名字叫portal
[Huawei-web-auth-server-portal]url-template portal //調用之前的URL模板
[Huawei-web-auth-server-portal]protocol http //協議為http,默認是portal
[Huawei-web-auth-server-portal]server-ip 192.168.1.247 //伺服器地址
[Huawei-web-auth-server-portal]http get-method enable //解析用戶的HTTP請求
(8)配置portal接入模板
[Huawei]portal-access-profilename portal
[Huawei-portal-access-profile-portal]web-auth-server portal direct 或者web-auth-serverportal layer3
這裡要注意,調用的時候後面有兩個參數一個是direct,一個為layer3,他們的區別是
direct方式:當用戶與設備之間沒有三層轉發設備時,設備能夠學習到用戶的MAC地址。此時可利用IP和MAC地址來識別用戶,配置二層認證方式即可。
layer3方式:當用戶與設備之間存在三層轉發設備時,設備不能夠獲取到用戶的MAC地址,所以IP位址將唯一標識用戶,此時需要配置為三層認證方式。
跟我們這個環境伺服器跟接入設備以及客戶端都屬於二層,能夠識別到用戶的MAC,所以採用direct,在中大型組網,伺服器AC都有單獨的網段,這個時候就需要選擇layer3。
(9)配置認證模板(關聯之前調用的)
[Huawei]authentication-profilename portal
[Huawei-authentication-profile-portal]portal-access-profileportal
[Huawei-authentication-profile-portal]authentication-schemeportal
[Huawei-authentication-profile-portal]free-rule-template default_free_rule
[Huawei-authentication-profile-portal]radius-server portal
(10)無線的基本配置
[Huawei]wlan
[Huawei-wlan-view]ssid-profile name portal
[Huawei-wlan-ssid-prof-portal]ssidportal
[Huawei-wlan-view]security-profile name portal :這裡創建一個模板就行了,默認為open方式
[Huawei-wlan-view]vap-profilename portal
[Huawei-wlan-vap-prof-portal]ssid-profile portal
[Huawei-wlan-vap-prof-portal]security-profileportal
[Huawei-wlan-vap-prof-portal]authentication-profile portal
[Huawei]interface Wlan-Radio 0/0/0
[Huawei-Wlan-Radio0/0/0]vap-profile portal wlan 2
[Huawei]interface Wlan-Radio 0/0/1
[Huawei-Wlan-Radio0/0/1]vap-profile portal wlan 2
實際測試
手機客戶端測試,在連接portal後,會彈出一個頁面需要輸入用戶名密碼,然後成功後可以點擊繼續,然後返回了一個登錄成功的消息,注意看,輸入用戶名密碼交互都是跟1.247,但是後面用戶名驗證是接入設備(192.168.1.254)交給radius,然後結果也是192.168.1.254接入設備返回的。
電腦端測試也是一樣,輸入用戶名密碼後,點擊繼續 就會跳轉到一個認證成功的通知。
並且ISE也有一個自助註冊的功能,我們在彈出頁面的時候可以看到有個沒有帳戶? 點擊下
我們隨便輸入一個用戶名。點擊註冊
可以看到他就自動生成了一個test1,密碼2894(隨機密碼),我們登錄試試
也認證成功了。當然這些按鈕的名字我們都可以自定義改的,在ISE裡面
都可以自動以改,有各種語言
總結
關於外置portal,這裡演示的只是最基本最基本的功能,也由於授權問題,沒辦法使用華為的認證伺服器來演示,這裡要注意,使用華為、H3C這些國內的認證伺服器的時候,是基於portal協議來完成交互,而思科、Aruba這些則是基於HTTP/HTTPS協議,所以配置的方法也不太一樣,這裡給大家一個好的建議,華為的官方文檔裡面在案例部分已經有跟各個廠家伺服器對接的案例,建議大家可以看看(找官方AC手冊就有,如果有人能弄到測試的AgileController的授權也可以聯繫我,出了教程免費贈送視頻)
(已經更新在課件裡面)
介紹《帶你學習華為企業無線網絡應用》是博主原創的針對常見華為廠商無線AC AP組網系列應用部署為主的文章課程,結合實際環境出發,加上博主部署經驗以及會遇到哪些問題等,做到學以致用,給各位看官朋友一個不一樣的學習體驗。
公眾號的文章都可以免費觀看,視頻講解方面覺得不錯可以進行掃碼購買(之前官方自帶的功能太少,不支持打包以及蘋果支付有問題,所以加了個平臺(平臺更加便宜,定價更靈活),可以購買單章節,也可以全套(更實惠方便哦),根據自己需要選擇即可)
全套打包掃碼購買↓
不會購買的朋友可以參考下視頻講解
服務看官朋友購買後,添加博主微信(ciscohuaweih3c),並發送交易籤名給博主,看官會被加入 博主專門解答群,針對學習內容,提供解答、詢問,有更好的意見跟建議也可以反饋哦。
其他說明本合集為電子文件,一經售出,概不退換。文章版權歸網絡之路博客(公眾號同名)所有,轉載請標明出處,謝謝,大家也可以關注公眾號以及博主個人微信 ciscohuaweih3c
介紹地址 :http://ccieh3c.com/?page_id=296
個人微信 ciscohuaweih3c,QQ:1914756383 有需要的朋友可以聯繫我們。
博客地址:http://ccieh3c.com
網絡之路博客公眾號提供Cisco、華為、H3C、防火牆、VPN、無線等網絡知識點分享與應用,想了解更多企業技術應用與組網案例,關注並轉發(公眾號菜單欄陸續在更新排列,不管你是青銅入坑的小白沒有學習方向感到迷茫,還是想提升段位充實自己來升職加薪,都有您需要的哦)
覺得不錯的童鞋,可以幫忙分享下哦。