文档介绍:新一代智能WNAC智能无线控制器
和ACS 1000实现Portal页面认证
之
WNAC7512 (外部Portal) + ACS1000 (本地Portal + 外部Radius)
目录
AC 配置 2
创建DHCP Server 为AP和接入PC动态分配IP地址 3
创建无线安全策略 4
创建WLAN 5
创建WTP 6
配置Portal服务器 7
ACS 1000设置 9
WIN 2003 Radius 配置 10
2010年7月
网络拓扑:
环境描述:一台WNAC7512,两台WNAP210,一台Test Server,一台WIN 2003 Radius Server ,WNAC7512上面划分三个VLAN(即VLAN1,VLAN2,VLAN3),端口11和端口12接AP,端口1和端口2分别接Server和ACS 1000.
测试目的:通过AC外置的portal服务器,实现portal页面的推送,并通过的Win 2003 Radius服务器和ACS 1000本地Portal服务器实现用户Portal认证的配置。
AC 配置
AC基本配置,创建三个三层接口并配置三层接口的模式为Advanced Routing Mode.
注:要使用portal认证,必须启用vlan或端口的高级路由模式(Advanced Routing Mode)。
创建DHCP Server 为AP和接入PC动态分配IP地址
控制――DHCP――DHCP配置――添加
创建无线安全策略
无线――无线安全――创建安全策略(分别采用none和AES的加密类型)
同样,创建安全策略ID 2.
无线――无线安全――创建安全策略――安全策略列表
创建WLAN
创建wlan1,对应的SSID为NG1_OPEN,并应用安全策略security 1和绑定到接口vlan2.
同样,创建wlan2,对应的SSID为NG2_WPA,并应用安全策略security 2和绑定到接口vlan2.
配置wlan与vlan的映射:
注:此处wlan若设置了与某个vlan映射,那么广播这个wlan的AP的上行链路(即LAN口)上会打上这个vlan的tag。那么AP上连交换机的端口,也必须要有这个vlan的tag,才能让无线客户端进入这个vlan。
设置wlan2对应的vlan id号,即vlan3
创建WTP
使用动态策略:WTP绑定在vlan2接口上并应用wlan1和wlan2,AP关联上后获取到vlan2网段的IP地址,无线客户端通过连接不同的SSID(NG1_OPEN,NG2_WPA)也获取到vlan2或者vlan3网段的IP地址
配置Portal服务器
配置Portal认证服务器信息
用户名和密码:Portal认证服务器登录时使用的用户名和密码,不是认证用户登录的用户名和密码;
认证服务器的IP地址:;
认证服务器的端口:3990;
认证服务器的接口:使用该Portal认证服务器进行认证的接口,从这些接口访问网络的主机需要经过Portal认证才能访问网络。此处为vlan2和vlan3即无线客户端接入的接口;
添加白名单
·白名单:认证用户不通过认证就可以访问的外部网络,此处为ACS 1000的IP地址和WIN 2003 Radius 服务器的IP地址;
设置EAG
·EAG:内置的Portal认证服务器;
·重定向侦听:内置的Portal服务器侦听的IP地址;
·重定向侦听端口:内置的Portal服务器侦听的端口,默认是3990;
·Radius服务器:Radius服务器的IP地址,有主/备两个radius服务器;
·认证端口:radius server开放的认证端口,默认是1812;
·认证类型:radius server的认证类型,选择PAP;
·Radius密钥:AC与radius server通信的共享密钥;
·最大空闲时间:当用户未退出而关闭登录成功页面后,用户自动下线的时间;
·Portal服务器:Portal认证服务器的地址;
·Portal服务器端口:Portal认证服务器的端口,默认为3990(此处配置为81);
登录页面:/
ACS 1000设置
服务器认证
WIN 2003 Radius 配置
设置Windows 2003 IAS(通过windows2003的组件安装向导,验证服务)
新建Radius客户端
·验证服务,在“Radius客户端”按右键