网络拓扑:
环境描述:一台WNAC7512,两台WNAP210,一台Test Server,WNAC7512上面划分三个VLAN(即VLAN1,VLAN2,VLAN3),端口11和端口12接AP,端口1和端口2分别接Server和ACS 1000.
测试目的:通过AC内置的portal服务器(EAG),实现portal页面的推送,并通过Radius服务器ACS 1000实现用户认证的方法。
一、AC 配置
- AC 基本配置,创建三个三层接口并配置三层接口的模式为 Advanced Routing Mode。
注:要使用 portal 认证,必须启用 vlan 或端口的高级路由模式(Advanced Routing Mode)。
二、创建 DHCP Server 为 AP 和接入 PC 动态分配 IP 地址
控制――DHCP――DHCP配置――添加
三、创建无线安全策略
无线――无线安全――创建安全策略(分别采用none和AES的加密类型)
同样,创建安全策略 ID 2。
无线――无线安全――创建安全策略――安全策略列表
四、创建 WLAN
- 创建wlan1,对应的SSID为NG1_OPEN,并应用安全策略security 1和绑定到接口vlan2。
同样,创建wlan2,对应的SSID为NG2_WPA,并应用安全策略security 2和绑定到接口vlan2。
- 配置wlan与vlan的映射:
注:此处wlan若设置了与某个vlan映射,那么广播这个wlan的AP的上行链路(即LAN口)上会打上这个vlan的tag。那么AP上连交换机的端口,也必须要有这个vlan的tag,才能让无线客户端进入这个vlan。
设置wlan2对应的vlan id号,即vlan3
五、创建 WTP
使用动态策略:WTP绑定在vlan2接口上并应用wlan1和wlan2,AP关联上后获取到vlan2网段的IP地址,无线客户端通过连接不同的SSID(NG1_OPEN,NG2_WPA)也获取到vlan2或者vlan3网段的IP地址
六、配置 Protal 服务器
- 配置 Portal 认证服务器信息
用户名和密码:Portal认证服务器登录时使用的用户名和密码,不是认证用户登录的用户名和密码;
认证服务器的IP地址:192.168.1.254;
认证服务器的端口:3990;
认证服务器的接口:使用该Portal认证服务器进行认证的接口,从这些接口访问网络的主机需要经过Portal认证才能访问网络。此处为vlan2和vlan3即无线客户端接入的接口;
- 添加白名单
白名单:认证用户不通过认证就可以访问的外部网络;
- 设置EAG
- EAG:内置的Portal认证服务器;
- 重定向侦听:内置的Portal服务器侦听的IP地址;
- 重定向侦听端口:内置的Portal服务器侦听的端口,默认是3990;
- Radius服务器:Radius服务器的IP地址,有主/备两个radius服务器;
- 认证端口:radius server开放的认证端口,默认是1812;
- 认证类型:radius server的认证类型,选择PAP;
- Radius密钥:AC与radius server通信的共享密钥;
- 最大空闲时间:当用户未退出而关闭登录成功页面后,用户自动下线的时间;
- Portal服务器:Portal认证服务器的地址;
- Portal服务器端口:Portal认证服务器的端口,默认为3990;
七、ACS 1000设置
- 配置端口IP地址
- 添加设备
- Radius 服务器认证
- 添加账号(即开户)
- 账号管理
八、验证测试
- 连接SSID NG1_OPEN
认证之前VLAN 2里面的PC 是Ping不通VLAN 1里面的Test Server,通过用户认证登录之后可以Ping通VLAN1 的Test Server。
- 连接SSID NG2_WPA
认证之前VLAN 3里面的PC 是Ping不通VLAN 1里面的Test Server,通过用户认证登录之后可以Ping通VLAN1 的Test Server。
序号 no. |
日期 date |
作者 author |
摘要 summary |
1 |
2010-10-21 |
Weifeng.Yang |
文档创建 |
2 |
2010-11-26 |
Weifeng Yang |
文档校对 |