无线局域网应用技术项目12：智能无线网络的安全认证服务部署课件.pptx

1、智能无线网络的安全认证服务部署智能无线网络的安全认证服务部署项目背景项目背景l中锐公司无线网络使用中锐公司无线网络使用WPA2加密方式部署，在网络运营一段加密方式部署，在网络运营一段时间后，公司发现无线用户数持续增加，但是新员工并未增长。时间后，公司发现无线用户数持续增加，但是新员工并未增长。网络管理员通过分析接入用户，发现增长的用户基本属于公司网络管理员通过分析接入用户，发现增长的用户基本属于公司外部人员，这些用户的接入不仅影响员工接入带宽下降，还带外部人员，这些用户的接入不仅影响员工接入带宽下降，还带来了安全隐患。来了安全隐患。项目背景项目背景l为解决这个问题，该公司要求对当前无线网络进行

2、接入认证的为解决这个问题，该公司要求对当前无线网络进行接入认证的升级改造，把原有的密码认证升级为实名认证接入，即每位员升级改造，把原有的密码认证升级为实名认证接入，即每位员工都有唯一的账号与密码，并且账号与员工个人属于一一对应工都有唯一的账号与密码，并且账号与员工个人属于一一对应的关系，这样可以避免员工将自己的账号密码泄露出去，同时的关系，这样可以避免员工将自己的账号密码泄露出去，同时又增加了网络安全性及满足公安部关于实名认证的要求。又增加了网络安全性及满足公安部关于实名认证的要求。项目背景项目背景l为确保该项目实施的可靠性，本项目已经在信息部内部做了测为确保该项目实施的可靠性，本项目已经在信

3、息部内部做了测试，接下来第一期拟将办公楼的研发部、销售部启用试，接下来第一期拟将办公楼的研发部、销售部启用WEB实名实名认证，做小范围测试。认证，做小范围测试。项目需求分析项目需求分析l无线采用无线采用WPA2密码认证接入方式密码认证接入方式仅适用于小型企业，所有客户端通过相同的密码接入，密码不具备用户辨识性。l目前，业界大多采用比较成熟的目前，业界大多采用比较成熟的802.1X技术技术解决员工通过分享、泄露等多种方式扩散公司无线密码的安全隐患，实现无线认证与员工个人信息绑定，做到实名认证，项目需求分析项目需求分析l锐捷网络为大中型企业提供了统一身份认证系统锐捷网络为大中型企业提供了统一身份认

4、证系统RG-SMP，它在网络中部署一台认证服务器，所有用户接入均通过它进行它在网络中部署一台认证服务器，所有用户接入均通过它进行身份识别，通过验证则允许接入网络。身份识别，通过验证则允许接入网络。项目需求分析项目需求分析l因此，本项目可以通过部署因此，本项目可以通过部署SMP实现无线用户上网的统一身份实现无线用户上网的统一身份认证，解决该公司的无线网络接入安全困扰，具体涉及以下几认证，解决该公司的无线网络接入安全困扰，具体涉及以下几个工作任务：个工作任务：1、基础网络配置：2、配置接入设备的SMP认证参数3、SMP软件的安装4、SMP服务的配置与管理IEEE 802.1XlIEEE802.IX

5、定义了一种授权架构，采用基于端口的网络接入控定义了一种授权架构，采用基于端口的网络接入控制协议，该端口可以是物理端口，也可以是逻辑端口。制协议，该端口可以是物理端口，也可以是逻辑端口。用户/设备接入到LAN或WLAN时，其并不能访问各种业务系统，它将被要求通过802.1X认证。在认证通过之前，802.1X只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的端口；认证通过以后，正常的数据可以顺利地通过端口。因此，只有通过认证的用户/设备才能访问网络。802.IX架构架构l8O2.IX架构既可以用于无线网络也可用于有线网络，主要由架构既可以用于无线网络也可用于有线网络，主要由3部部分组成

6、：分组成：客户端（supplicant）认证者（Authenticator）认证服务器（Authentication Server，AS）l在无线局域网中，客户端为要求访问网络资源的无线终端，认在无线局域网中，客户端为要求访问网络资源的无线终端，认证服务器一般是证服务器一般是RADlUS服务。服务。802.1X协议特点协议特点l802.1X协议有如下特点：协议有如下特点：可以有效降低建网成本；实现对传统PPP认证架构的兼容；从而可以实现业务与认证的分离；可以根据不同的用户认证等级映射到不同的VLAN；支持交换端口和WLAN。Web认证认证lWeb认证是一种对用户访问网络的权限进行控制的身份认证

7、方认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证。用普通的浏览器软件就可以进行身份认证。未认证用户使用浏览器上网时，接入设备会强制浏览器访问特定站点，也就是Web认证服务器，通常称为Portal服务器。用户无需认证即可享受Portal服务器上的服务，比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时，就必须通过浏览器在Portal服务器上进行身份认证，只有认证通过后才可以使用网络资源。除了认证上的便利性之外，由于Port

8、al服务器和用户的浏览器有界面交互，可以利用这个特性在Portal服务器界面放置一些广告、通知、业务链接等个性化的服务，因此具有很好的应用前景。RG-SMPlRG-SMP中文名称是锐捷安全管理平台，可基于网络接入者的中文名称是锐捷安全管理平台，可基于网络接入者的身份、接入主机的健康性以及网络通信的安全性等多方面为用身份、接入主机的健康性以及网络通信的安全性等多方面为用户构建一个全局的安全网络。户构建一个全局的安全网络。l该产品的主要功能和特点如下：该产品的主要功能和特点如下：（1）RG-SMP内置portal功能，可以直接通过RG-SMP进行认证界面弹出。（2）配置认证设备，可根据用户需求采用

9、不同的认证方式，部署实施于多数局域网环境，实现对各方面的管理。（3）优化网络准入操作，提升客户体验。RG-SMP模块模块l该软件分为以下几个模块：该软件分为以下几个模块：认证授权管理模块Tacacs+认证授权模块计算机保护模块应用安全域模块系统维护模块系统用户管理模块项目拓扑项目拓扑项目规划项目规划lVLAN规划规划项目规划项目规划l设备管理规划：设备管理规划：项目规划项目规划l端口互联规划端口互联规划项目规划项目规划lIP规划规划项目规划项目规划lWLAN规划规划项目规划项目规划lAP组规划组规划项目规划项目规划lAP规划规划项目规划项目规划lSMP服务器规划服务器规划项目规划项目规划l80

10、2.1X安全规划安全规划任务任务1 二层交换机的配置二层交换机的配置l1）远程登录功能（开启远程管理功能，方便后期维护）远程登录功能（开启远程管理功能，方便后期维护）Switch(config)#hostname L2SW对Poe交换机进行命名L2SW(config)#username admin password Ruijie创建用户名和密码L2SW(config)#enable password Ruijie设置特权模式密码L2SW(config)#line vty 0 4进入虚线路L2SW(config-line)#login local采用本地用户认证L2SW(config-line)

11、#exit退出任务任务1 二层交换机的配置二层交换机的配置l2）默认路由配置和）默认路由配置和VLAN配置（创建用户配置（创建用户VLAN及及AP vlan，并，并配置配置IP地址作为用户及地址作为用户及AP的网关）的网关）L2SW(config)#VLAN 20创建VLAN20L2SW(config-vlan)#name User-Wire命名VLAN20为User-WireL2SW(config-vlan)#exit退出L2SW(config)#VLAN 99创建VLAN99L2SW(config-vlan)#name AP-Guanli命名VLAN99为AP-GuanliL2SW(con

12、fig-vlan)#exit退出L2SW(config)#VLAN 100创建VLAN 100L2SW(config-vlan)#name SW-Guanli命名VLAN 100为SW-GuanliL2SW(config-vlan)#exit退出L2SW(config)#interface vlan 100进入VLAN100端口L2SW(config-if)#ip address 192.168.100.2 255.255.255.0配置VLAN 100的IP地址L2SW(config-if)#description LINK-SW-GuanLi-对VLAN100端口进行描述L2SW(conf

13、ig-if)#exit退出L2SW(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.254配置管理地址的网关任务任务1 二层交换机的配置二层交换机的配置l3）接口模式配置（指定接口）接口模式配置（指定接口access vlan为为AP vlan）L2SW(config)#interface range GigabitEthernet 0/1-2进入端口G0/1和G0/2L2SW(config-if)#description Link-AP-端口描述为Link-AP-L2SW(config-if)#switch mode access将端口配置为acce

14、ss模式L2SW(config-if)#switch access vlan 99将端口配置属于AP的VLAN99L2SW(config-if)#exit退出L2SW(config)#interface range GigabitEthernet 0/11-15进入端口G0/11到G0/15L2SW(config-if)#description LinkUser-Wire-端口描述为Link-User-Wire-L2SW(config-if)#switch mode access将端口配置为access模式L2SW(config-if)#switch access vlan 20将端口配置属于

15、有线用户的VLAN20L2SW(config-if)#exit退出L2SW(config)#interface GigabitEthernet 0/24进入端口G0/24L2SW(config-if)#description Link-AC-端口描述为Link-AC-L2SW(config-if)#switchport mode trunk将端口配置为Trunk模式L2SW(config-if)#switchport trunk allow vlan only 20,99,100对Trunk端口进行VLAN修剪L2SW(config-if)#end退出到特权模式L2SW#write保存配置任务

16、任务1 二层交换机的配置二层交换机的配置l任务验证：任务验证：1）在L2SW上使用命令show vlan brief，可以看到配置的vlan 已经处于active状态：L2SW#show vlan brief VLANNameStatusPorts-20User-Wireactive99AP-Guanliactive 100SW-G任务任务2 三层交换机的配置三层交换机的配置l1）远程登录功能（开启远程管理功能，方便后期维护）远程登录功能（开启远程管理功能，方便后期维护）Switch#configure terminal从特权模式进入到全局模式Switch(config)#hostname L

17、3SW对核心交换机进行命名L3SW(config)#username admin password Ruijie创建用户名和密码L3SW(config)#enable password Ruijie设置特权模式密码L3SW(config)#line vty 0 4进入虚线路L3SW(config-line)#login local采用本地用户认证L3SW(config-line)#exit退出任务任务2 三层交换机的配置三层交换机的配置l2）IP及及VLAN配置（创建用户配置（创建用户VLAN及及AP vlan，并配置，并配置IP地址地址作为用户及作为用户及AP的网关）的网关）L3SW(con

18、fig)#VLAN 10创建VLAN 10L3SW(config-vlan)#name User-Wifi命名VLAN 10为User-WifiL3SW(config-vlan)#exit退出L3SW(config)#VLAN 20创建VLAN20L3SW(config-vlan)#name User-Wire命名VLAN 20为User-WireL3SW(config-vlan)#exit退出L3SW(config)#VLAN 99创建VLAN 99L3SW(config-vlan)#name AP-Guanli命 名 V L A N 9 9 为 A P-GuanliL3SW(config-

19、vlan)#exit退出L3SW(config)#VLAN 100创建VLAN 100L3SW(config-vlan)#name SW-Guanli命名VLAN 100为SW-GuanliL3SW(config-vlan)#exit退出L3SW(config)#VLAN 101创建VLAN 101L3SW(config-vlan)#name SMP命名VLAN 101为SMPL3SW(config-vlan)#exit退出L3SW(config)#VLAN 4000创建VLAN 4000L3SW(config-vlan)#name Link-AC-vlan4000-命名VLAN 4000为L

20、ink-AC-vlan4000-L3SW(config-vlan)#exit退出任务任务2 三层交换机的配置三层交换机的配置l2）IP及及VLAN配置（创建用户配置（创建用户VLAN及及AP vlan，并配置，并配置IP地址地址作为用户及作为用户及AP的网关）的网关）L3SW(config-if-VLAN10)#description User-Wifi对无线用户的网关SVI接口描述为User-WifiL3SW(config-if-VLAN10)#ip address 192.168.10.254 255.255.255.0配置无线用户的网关SVI地址L3SW(config-if-VLAN10

21、)#exit退出L3SW(config)#interface VLAN 20进入VLAN 20的SVI端口L3SW(config-if-VLAN20)#description User-Wire对有线用户的网关SVI接口描述为User-WireL3SW(config-if-VLAN20)#ip address 192.168.20.254 255.255.255.0配置有线用户的网关SVI地址L3SW(config-if-VLAN20)#exit退出L3SW(config)#interface VLAN 99进入VLAN99的SVI端口L3SW(config-if-VLAN99)#descri

22、ption AP-Guanli对AP的网关SVI端口描述为AP-GuanliL3SW(config-if-VLAN99)#ip address 192.168.99.254 255.255.255.0配置AP管理地址的网关SVI地址L3SW(config-if-VLAN99)#exit退出L3SW(config)#interface VLAN 100进入VLAN 100的SVI端口L3SW(config-if-VLAN100)#description SW-Guanli命名VLAN 100为SW-GuanliL3SW(config-if-VLAN100)#ip address 192.168.

23、100.254 255.255.255.0配置Poe交换机的管理IP地址L3SW(config-if-VLAN100)#exit退出L3SW(config)#interface VLAN 101进入VLAN 101的SVI端口L3SW(config-if-VLAN101)#description SMP命名VLAN 101为SMPL3SW(config-if-VLAN101)#ip address 192.168.101.254 255.255.255.0配置SMP的管理IP地址L3SW(config-if-VLAN101)#exit退出L3SW(config)#interface VLAN

24、4000进入VLAN 4000的SVI端口L3SW(config-if-VLAN4000)#description Link-AC-vlan4000-对SVI端口描述为Link-AC-vlan4000-L3SW(config-if-VLAN4000)#ip address 192.168.1.1 255.255.255.0配置与AC互联VLAN的IP地址退出任务任务2 三层交换机的配置三层交换机的配置l3）DHCP配置（开启配置（开启DHCP服务，为服务，为AP和无线用户自动分配和无线用户自动分配IP地址）地址）L3SW(config)#service dhcp开启DHCP功能，默认DHCP功

25、能关闭L3SW(config)#ip dhcp pool AP-Guanli创建AP的DHCP地址池L3SW(dhcp-config)#option 138 ip 1.1.1.1配置AP option 138字段指向AC的Lo0L3SW(dhcp-config)#network 192.168.99.0 255.255.255.0指定AP DHCP分发地址段L3SW(dhcp-config)#default-router 192.168.99.254指定AP的网关地址L3SW(dhcp-config)#exit退出L3SW(config)#ip dhcp pool User-Wifi创建无线用

26、户的DHCP地址池L3SW(dhcp-config)#network 192.168.10.0 255.255.255.0指定无线用户DHCP分发地址段L3SW(dhcp-config)#default-router 192.168.10.254指定无线用户的网关地址L3SW(dhcp-config)#exit退出L3SW(config)#ip dhcp pool User-Wire创建有线用户的DHCP地址池L3SW(dhcp-config)#network 192.168.20.0 255.255.255.0指定有线用户DHCP分发地址段L3SW(dhcp-config)#default-

27、router 192.168.20.254指定有线用户的网关地址L3SW(dhcp-config)#exit退出任务任务2 三层交换机的配置三层交换机的配置l4）接口模式配置和指向）接口模式配置和指向AClo0 的路由配置的路由配置L3SW(config)#interface GigabitEthernet 0/1进入端口G0/1L3SW(config-if)#description Link-L2SW-对端口描述为Link-L2SW-L3SW(config-if)#switchport mode trunk把端口配置为Trunk模式L3SW(config-if)#switchport tru

28、nk allowed vlan only 20,99,100Trunk端口VLAN修剪L3SW(config-if)#exit退出L3SW(config)#interface GigabitEthernet 0/10进入端口G0/10L3SW(config-if)#description Link-SMP-对端口描述为Link-SMP-L3SW(config-if)#switch mode access将端口配置为access模式L3SW(config-if)#switchport access vlan 101将端口配置属于SMP的VLAN101L3SW(config-if)#exit退出L

29、3SW(config)#interface GigabitEthernet 0/24进入端口G0/24L3SW(config-if)#description Link-AC-对端口描述为Link-AC-L3SW(config-if)#switchport mode trunk把端口配置为Trunk模式L3SW(config-if)#switchport trunk allowed vlan only 10,4000Trunk端口VLAN修剪L3SW(config-if)#exit退出L3SW(config)#ip route 1.1.1.1 255.255.255.255 192.168.1.

30、2添加指向AC的Lo0明细路由L3SW(config)#end退出到特权模式L3SW#wr保存配置任务任务2 三层交换机的配置三层交换机的配置l任务验证：任务验证：1）将AP上电后接入到交换机上，在L3SW上使用show ip dhcp binding，可以看到两个AP获取到IP地址。L3SW#show ip dhcp binding Total number of clients:2Expired clients:0Running clients:2 IP address Hardware address Lease expiration Type192.168.99.1 5869.6c0c

31、.1ed8 000 days 23 hours 58 mins Automatic192.168.99.2 5869.6c0c.1b90 000 days 23 hours 57 mins A任务任务3 无线无线AC的基础配置的基础配置l1）远程登录功能和）远程登录功能和loopback0配置（开启远程管理功能，方便配置（开启远程管理功能，方便后期维护）后期维护）Ruijie#configure terminal从特权模式进入到全局模式Ruijie(config)#hostname AC对AC进行命名AC(config)#username admin password Ruijie创建用户名和

32、密码AC(config)#enable password Ruijie设置比特权模式密码AC(config)#line vty 0 4进入虚线路AC(config-line)#login local采用本地用户认证AC(config-line)#exit退出任务任务3 无线无线AC的基础配置的基础配置l2）vlan和和IP配置配置(创建用户创建用户VLAN和互联和互联VLAN，配置，配置IP地址作地址作为用户及为用户及AP的网关，同时创建的网关，同时创建loopback0接口，配置接口，配置IP地址作地址作为为AC的的CAPWAP隧道地址隧道地址)AC(config)#VLAN 10创建VLA

33、N 10AC(config-vlan)#name User-Wifi命名VLAN 10为User-WifiAC(config-vlan)#exit退出AC(config)#VLAN 4000创建VLAN 4000AC(config-vlan)#name Link-AC-vlan4000-命名VLAN 4000为Link-AC-vlan4000-AC(config-vlan)#exit退出AC(config)#interface loopback0进入loopback0端口AC(config-if)#ip address 1.1.1.1 255.255.255.255配置loopback0端口I

34、P地址AC(config-if)#description CAPWAP对loopback0端口进行描述AC(config-if)#exit退出AC(config)#interface VLAN 4000进入VLAN 4000的SVI端口AC(config-if-VLAN4000)#description Link-AC-vlan4000-对SVI端口描述为Link-AC-vlan4000-AC(config-if-VLAN4000)#ip address 192.168.1.2 255.255.255.0配置与核心互联VLAN的IP地址AC(config-if-VLAN4000)#exit退出

35、任务任务3 无线无线AC的基础配置的基础配置l3）AC与交换机互联接口配置和默认路由配置（将接口配置为与交换机互联接口配置和默认路由配置（将接口配置为trunk模式并进行模式并进行VLAN修剪，仅允许与核心互联网段通过，配修剪，仅允许与核心互联网段通过，配置默认路由指向核心）置默认路由指向核心）AC(config)#interface gi0/1进入G0/1端口AC(config-if)#switchport mode trunk配置G0/1端口为Trunk端口AC(config-if)#switchport trunk all vlan only 10,4000将不必要VLAN在Trunk口

36、进行修剪AC(config-if)#description LinkL3SW-对G0/1口对端连接情况进行描述AC(config-if)#exit退出AC(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1配置默认路由指向核心任务任务3 无线无线AC的基础配置的基础配置l任务验证：任务验证：1）在AC上使用show ap-config summary，可以看到两个AP处于run状态。AC(config)#sho ap-config summary（省略部分内容）AP Name IP Address MACAddress Radio Radio Up/Off

37、 time State-5869.6c0c.1ed8 192.168.99.1 5869.6c0c.1ed8 1 E 0 100 1*2 E 0 100 149*00:01:05 Run5869.6c0c.1b90 192.168.99.2 5869.6c0c.1b90 1 E 0 100 1*2 E 0 100 153*00:01:08 R任务任务4 无线无线AC的的WLAN配置配置l1）SSID配置（创建配置（创建SSID信号，供用户连接使用）信号，供用户连接使用）AC(config)#wlan-config 1 Zhongrui创建WLAN 1的SSID为ZhongruiAC(confi

38、g-wlan)#exit退出任务任务4 无线无线AC的的WLAN配置配置l2）AP组的配置（在组的配置（在AP组中将关联组中将关联SSID和和VLAN）AC(config)#ap-group BGL进入ap-group的BGL组AC(config-ap-group)#interface-mapping 1 10配置wlan-id 1和无线用户VLAN10对应关系AC(config-ap-group)#exit退出任务任务4 无线无线AC的的WLAN配置配置l3）AP的配置（的配置（AP加入到加入到AP组中，发射组中，发射AP组关联的组关联的SSID，配，配置智分置智分AP天线的工作模式，同时对

39、天线的工作模式，同时对AP的信道进行调整）的信道进行调整）AC(config)#ap-config 5869.6c0c.1ed8进入AP配置模式AC(config-ap-config)#ap-group BGL将AP加入BGL 组AC(config-ap-config)#ap-name BGLAP720-1对AP进行命名AC(config-ap-config)#channel 1 radio 1对AP信道进行调整AC(config-ap-config)#exit退出AC(config)#ap-config 5869.6c0c.1b90进入AP配置模式AC(config-ap-config)#a

40、p-group BGL将AP加入BGL组AC(config-ap-config)#ap-name BGLAP720-2对AP进行命名 AC(config-ap-config)#channel 6 radio 1对AP信道进行调整AC(config-ap-config)#end退出AC#write保存配置任务任务4 无线无线AC的的WLAN配置配置l任务验证：任务验证：1）在AC上show ap-config running查看AP配置；AC#show ap-config running（省略部分内容）ap-config BGL-AP720-1 ap-mac 5869.6c0c.1ed8 ap-

41、group BGL channel 1 radio 1!ap-config BGL-AP720-2 ap-mac 5869.6c0c.1b90ap-group BGLchannel 6 radio 1!任务任务5 有线有线portal认证配置认证配置l1）启用）启用AAA认证配置认证配置L2SW(config)#aaa new-model 启用AAA认证功能L2SW(config)#aaa accounting network default start-stop group radius定义用户上线下线审计默认使用列表L2SW(config)#aaa authentication web-a

42、uth default group radius定义web认证默认使用列表L2SW(config)#aaa accounting update开启记账更新L2SW(config)#aaa accounting update periodic 5定义记账更新间隔为5分钟，建议和radius设备上的参数保持一致任务任务5 有线有线portal认证配置认证配置l2）radius服务器配置服务器配置L2SW(config)#radius-server host 192.168.101.1 Key Ruijie配置radius服务器ip和K任务任务5 有线有线portal认证配置认证配置l3）porta

43、l服务器配置服务器配置L2SW(config)#web-auth portal Key Ruijie配置portal服务器密钥L2SW(config)#web-auth template eportalv2配置portal版本为V2 L2SW(config.tmplt.mac)#ip 192.168.101.1配置portal服务器IPL2SW(config.tmplt.mac)#url http:/192.168.101.1:80/smp/commonauth配置重定向portal界面L2SW(config.tmplt.mac)#exit退出L2SW(config)#http redirec

44、t direct-site 192.168.20.254 arp必须开放有线用户网关arp，让有线客户端可以发起http请求任务任务5 有线有线portal认证配置认证配置l4）SNMP管理参数配置管理参数配置L2SW(config)#snmp community Ruijie配置snmp的团体名为R任务任务5 有线有线portal认证配置认证配置l5）启用）启用WEB认证配置认证配置L2SW(config)#interface range gi0/11-15进入G0/11到G0/15端口L2SW(config-if)#we-auth enable eportalv2端口启用二代portal认

45、证L2SW(config-if)#exit退出任务任务5 有线有线portal认证配置认证配置l任务验证：任务验证：1）在接入交换机上使用show running，确认已完成以下配置；L2SW#show run（省略部分内容）!http redirect direct-site 192.168.20.254 arp!web-auth template eportalv2 ip 192.168.101.1 url http:/192.168.101.1:80/smp/commonauth!web-auth portal Key Ruijie!aaa new-model!aaa accountin

46、g update periodic 5aaa accounting updateaaa accounting network default start-stop group radiusaaa authentication web-auth default group radius!任务任务5 有线有线portal认证配置认证配置radius-server host 192.168.101.1 Key Ruijie!interface GigabitEthernet 0/11 switchport access vlan 20 web-auth enable eportalv2!interf

47、ace GigabitEthernet 0/12 switchport access vlan 20 web-auth enable eportalv2!interface GigabitEthernet 0/13 switchport access vlan 20 web-auth enable eportalv2!interface GigabitEthernet 0/14 switchport access vlan 20 web-auth enable eportalv2!interface GigabitEthernet 0/15 switchport access vlan 20

48、web-auth enable eportalv2!任务任务6 无线无线portal认证配置认证配置l1）启用）启用AAA认证配置认证配置AC(config)#aaa new-model启用AAA认证功能AC(config)#aaa accounting network default start-stop group radius定义用户上线下线审计默认使用列表AC(config)#aaa authentication web-auth default group radius定义web认证默认使用列表AC(config)#aaa accounting update开启记账更新AC(conf

49、ig)#aaa accounting update periodic 5定义记账更新间隔为5分钟，建议和radius设备上的参数保持一致任务任务6 无线无线portal认证配置认证配置l2）radius服务器配置服务器配置AC(config)#radius-server host 192.168.101.1 Key Ruijie配置radius服务器ip和KeyAC(config)#ip radius source-interface vlan 4000AC使用vlan 4000 的IP地址和radius对接AC(config)#radius dynamic-authorization-ext

50、ension enable配置AC支持radius扩展属性AC(config)#radius-server attribute 31 mac format ietf设置SMP的MAC格式为任务任务6 无线无线portal认证配置认证配置l3）portal服务器配置服务器配置AC(config)#web-auth portal Key Ruijie配置portal服务器密钥AC(config)#web-auth template eportalv2配置portal版本为V2 AC(config.tmplt.mac)#ip 192.168.101.1配置portal服务器IPAC(config.t