8.1 华为敏捷控制器：准入控制：汇聚层部署MAC优先的Portal认证（免认证）

8.1 华为敏捷控制器：准入控制：汇聚层部署MAC优先的Portal认证（免认证）

AgileController作为Portal认证服务器与Radius服务器。

（1）拓扑图

（2）基础配置

sw1:

vlan2

interface GigabitEthernet0/0/1           

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2

sw2:

interface Vlanif1

 ip address 10.12.160.254 255.255.0.0

#

interface Vlanif2

 ip address 192.168.2.254 255.255.255.0

#                                        

interface Vlanif3

 ip address 192.168.0.1 255.255.255.0

#

interface GigabitEthernet0/0/1

 port link-type access

#

interface GigabitEthernet0/0/2

 port link-type trunk

 port trunk allow-pass vlan 2

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 3

#

sw2配置dhcp中继：

dhcp enable

dhcp server group dhcpgroup1

   dhcp-server 10.12.12.231 0

interface Vlanif2

   ip address 192.168.2.254 255.255.255.0

   dhcp select relay

   dhcp relay server-select dhcpgroup1

pc1测试获取ip地址：成功获取ip地址，在没有开启802.1x认证前，网络是全通了。

dhcp服务器上查看ip租用记录：

sw2:配置802.1X认证参数，实现终端用户802.1X方式接入认证。

（3.1）配置RADIUS服务器模板和认证计费方案。

[sw2]authentication unified-mode   # //缺省是unified-mode，如未更改可无需执行该命令

[sw2]radius-server template radius1

[sw2-radius-radius1]radius-server authentication 10.12.160.41 1812 source ip-address 10.12.160.254

[sw2-radius-radius1]radius-server accounting 10.12.160.41 1813 source ip-address 10.12.160.254

[sw2-radius-radius1]radius-server shared-key cipher www.zh-cjh.com

[sw2-radius-radius1]quit

[sw2]radius-server authorization 10.12.160.41 shared-key cipher www.zh-cjh.com

[sw2]aaa

[sw2-aaa]authentication-scheme auth_scheme1

[sw2-aaa-authen-auth_scheme1]authentication-mode radius

[sw2-aaa-authen-auth_scheme1]quit

[sw2]aaa

[sw2-aaa]accounting-scheme acco_scheme1

[sw2-aaa-accounting-acco_scheme1]accounting-mode radius

[sw2-aaa-accounting-acco_scheme1]accounting realtime 15    #配置实时计费周期为15分钟

配置实时计费是为了认证控制设备与Agile Controller-Campus之间定期发送计费报文，确保在线状态信息一致。实时计费间隔的取值对设备和RADIUS服务器的性能有要求，实时计费间隔的取值越小，对设备和RADIUS服务器的性能就越高。请根据用户数设置计费间隔。

（3.2）全局默认域内引用RADIUS服务器模板和认证计费方案。

[sw2]aaa

[sw2-aaa]domain default

[sw2-aaa-domain-default]authentication-scheme auth_scheme1

[sw2-aaa-domain-default]accounting-scheme acco_scheme1

[sw2-aaa-domain-default]radius-server radius1

[sw2-aaa-domain-default]quit

（3.3）配置全局默认域。

[sw2]domain default  //配置全局默认域

Info: Set the default domain success.

全局默认域为default，如果需要修改，请先在AAA视图下创建域，再将此域设置为全局默认域。

（4.1）sw2：配置与Portal服务器的对接参数

web-auth-server portal1

 　 server-ip 10.12.160.41   //Portal服务器的IP地址

  　port 50200    //Agile Controller-Campus作为Portal服务器时端口固定为50200

 　 shared-key cipher www.zh-cjh.com    //Portal密钥

 　 url http://10.12.160.41:8080/portal   //建议按域名方式推送Portal页面，但需要在DNS服务器配置域名与Agile Controller-Campus IP地址的映射关系

 　 source-ip 10.12.160.254  //设备和Portal服务器通信的IP地址

      server-detect interval 100 max-times 5 critical-num 0 action log   

 //使能Portal服务器探测功能，设备会对该Portal服务器模板下配置的所有Portal服务器进行探测

//如果对某一Portal服务器探测失败次数超过最大次数，会将该Portal服务器的状态由Up改变为Down。如果状态为Up的Portal服务器数目小于或等于设置的最小值（critical-num），设备将会做出相应的动作，使管理员能够实时掌握网络中Portal服务器的状态或保证用户一定的网络访问权限

//探测周期interval不能小于15s，建议配置为100s

[sw2]portal quiet-period       //使能Portal认证静默功能，认证用户在60秒内认证失败的次数超过设定值，则在设置的一定时间内，丢弃认证用户的报文，防止用户频繁认证对系统造成冲击

[sw2]portal quiet-times 5   //配置Portal认证用户被静默前60秒内允许认证失败的次数

[sw2]portal timer quiet-period 240    //配置Portal认证静默周期为240秒

[sw2]web-auth-server listening-port 2000   //缺省2000，如果通过该命令修改为其他端口，Agile Controller-Campus添加Portal设备时需同步修改

（4.2）启用portal认证

有些交换机版本支持在vlanif接口下使能portal认证。

interface GigabitEthernet0/0/2

   port link-type trunk

   port trunk allow-pass vlan 2

   authentication mac-authen portal  //在接口下使能mac认证与Portal认证

   web-auth-server portal1 direct

 //在接口下绑定Portal服务器模板。用户终端和认证控制设备之间为二层组网，配置为direct方式

//如果为三层组网，则需要配置为layer3方式

启用认证后，则PC1就只能ping通portal服务器了。（虽然ping不通，但是还是可以正常从dhcp服务器10.12.160.231那获取ip地址）

交换机已默认放行Portal服务器的资源，所以不需要针对Portal服务器配置免认证规则。

（4.3）配置用户名形式(这里不需要配置，因为默认的配置就可以)

MAC认证用户采用的认证用户名形式有“MAC地址形式”和“固定用户名形式”两种，可通过在系统视图下使用mac-authen username { fixed username [ password cipher password] |macaddress [ format { with-hyphen | without-hyphen}]}命令进行配置。

●fixed username：指定MAC认证时使用的固定用户名。

●cipher password：指定以密文形式显示的MAC认证密码。

●macaddress：指定以MAC地址作为MAC认证时使用的用户名。

●with-hyphen：指定MAC地址作为用户名输入用户名时使用带有分隔符“-”的MAC地址。如“0011-2233-4455”

●without-hyphen：指定MAC地址作为用户名输入用户名时使用不带有分隔符“-”的MAC地址。如“001122334455”

缺省情况下，MAC认证的用户名和密码为不带分隔符“-”的MAC地址。

[sw2]mac-authen username macaddress format without-hyphen

（4.4）定义认证前与认证后允许访问的资源

配置终端用户认证前和认证后允许访问的资源。

认证前域即配置认证用户可以免认证访问服务器区域的资源。

[sw2]authentication free-rule 1 destination ip 10.12.12.231 mask 255.255.255.255

#交换机已默认放行Portal服务器的资源，所以不需要针对Portal服务器10.12.160.41配置免认证规则。

#[sw2]authentication free-rule 2  destination ip 10.12.160.41 mask 255.255.255.255

认证后域即通过ACL定义认证后允许访问的资源。

#acl 3001 

acl number 3001

 rule 5 permit ip source any destination any

（5.1）添加帐号

（5.2）添加交换机

【Agile Controller-Campus】添加认证控制设备，与认证控制设备实现RADIUS对接。

选择“资源 > 设备 > 设备管理”，添加交换机。

配置portal

测试交换机与AgileContoller之间的通信。

[sw2]test-aaa u3 密码 radius-template radius1

[sw2]

Info: Account test succeed.

[sw2]

（5.3）配置认证规则

【Agile Controller-Campus】配置认证授权，终端用户根据条件匹配认证授权规则。

    选择“策略 > 准入控制 > 认证授权 > 认证规则”，修改缺省认证规则或新建认证规则。

    将AD服务器加入“数据源”。缺省认证规则只针对本地数据源，如不将AD服务器加入，AD帐号认证失败。

（5.4）配置授权结果

选择“策略 > 准入控制 > 认证授权 > 授权结果”，添加授权ACL。

ACL编号与认证控制设备配置一致。

（5.5）配置授权规则

选择“策略 > 准入控制 > 认证授权 > 授权规则”，关联授权结果，指定用户认证通过后允许访问的资源。

把优先级调到第1.

（6.1）启用MAC优先的Portal认证

没有配置“限制用户在线时长限制”

（6.2）测试(认证成功了，但是还是上不了网，即ping不通192.168.0.254)

终端用户打开http://10.12.160.41:8080/PortalServer/portal.jsp后，自动跳转到了https://10.12.160.41:8445/PortalServer/**** 与直接打开https://10.12.160.41:8445/PortalServer/是不一样的界面。

或者打开http://10.12.160.41:8080/portal   （没有带s）

认证成功并且可以正常访问互联网

查看日志：在线用户管理中的记录多了mac地址、radius服务器、接入设备ip地址等

重启电脑等，再次接入网络时，上网都正常，查看日志：

portal服务器为空，说明不是通过portal认证上线的。而且后面浏览器关闭了几个小时，电脑都没有断网。

对于Agile Controller-Campus版本，产品进行了优化，将MAC地址与帐号做了绑定，通过MAC优先上线的帐号，在线用户中显示的依然是MAC地址绑定的帐号。

注意MAC地址有郊时间必须比web心跳周期大，否则需要重新认证：

在已经启用MAC优先的Portal认证场景下，终端用户最快的下线时间依然取决于Web超时时间和单次在线时间两者时间较短的一个（不妨称之为time1）。

而MAC优先的Portal认证的MAC有效期（不妨称之为time2）到期后Portal服务器不会强制无线终端用户下线。

如果time1>time2，则time1到来时无线终端自动下线，并且无线终端MAC地址和SSID已经在RADIUS服务器缓存中清除，MAC优先的Portal认证功能对当前无线终端用户已失效。无线终端尝试访问认证后域中的网络资源，Portal服务器将会推送认证页面。

如果time1<=time2，则time1到来时无线终端自动下线，但是无线终端MAC地址和SSID依然保存在RADIUS服务器缓存中，MAC优先的Portal认证功能对当前无线终端用户仍然生效。

无线终端用户会自动通过认证，单次在线时长清零后重新计算。

重新上线过程属于MAC认证而非Portal认证，无线终端Web超时时间失效。

当前无线终端用户下一次自动下线，要等到下次单次在线时长或累计在线时长到来。

所以time2要大，即MAC地址有郊时间必须比web心跳周期大。

测试以下配置的情况，mac地址有效时间还是比web心跳周期大：

电脑谁上网后，多久会断网？永久，因为无线终端用户会自动通过认证，单次在线时长清零后重新计算。但是次实验中又不配置间次在线时长，所以是永久。

测试以下配置的情况，mac地址有效时间还是比web心跳周期小：

2分钟多时就断网了。

Huawei Agile Controller（列表、list、全）华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html