收藏
下载资源下载资源 加入VIP,免费下载

68远程Portal认证热备典型配置举例.docx

上传人:b****3 文档编号:5454037 上传时间:2022-12-16 格式:DOCX 页数:30 大小:266.79KB
下载 相关 举报
68远程Portal认证热备典型配置举例.docx_第1页
第1页 / 共30页
68远程Portal认证热备典型配置举例.docx_第2页
第2页 / 共30页
68远程Portal认证热备典型配置举例.docx_第3页
第3页 / 共30页
68远程Portal认证热备典型配置举例.docx_第4页
第4页 / 共30页
68远程Portal认证热备典型配置举例.docx_第5页
第5页 / 共30页
点击查看更多>>
下载资源
资源描述

68远程Portal认证热备典型配置举例.docx

《68远程Portal认证热备典型配置举例.docx》由会员分享,可在线阅读,更多相关《68远程Portal认证热备典型配置举例.docx(30页珍藏版)》请在冰豆网上搜索。

68远程Portal认证热备典型配置举例.docx

68远程Portal认证热备典型配置举例

远程Portal认证热备典型配置举例

Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。

本文档中的信息可能变动,恕不另行通知。

目录

1简介1

2配置前提1

3配置举例1

3.1组网需求1

3.2配置思路2

3.3配置注意事项2

3.4配置步骤3

3.4.1AC1的配置3

3.4.2AC2的配置6

3.4.3L3switch的配置9

3.4.4L2switch的配置10

3.4.5Portal/RADIUS服务器的配置11

3.5验证配置19

3.6配置文件20

4相关资料24

1简介

本文档介绍了远程Portal认证热备典型配置举例。

2配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解远程Portal认证、双机热备、VRRP和双AC备份等特性。

3配置举例

3.1组网需求

如图1所示,AC1和AC2之间通过VRRP协议实现双机热备的流量切换,且两台设备均支持Portal认证功能。

现要求AC1和AC2通过双机热备对Portal用户的业务信息进行备份。

具体需求如下:

∙AC1正常工作的情况下,Client通过AC1进行Portal认证接入。

认证成功后在AC2上能同时备份Client的Portal相关认证信息。

∙当AC1发生故障时,Client切换至AC2上,保证业务流量切换不被中断。

∙Portal/RADIUS服务器作为认证/计费服务器,对Client进行远程Portal认证。

∙AC1和AC2通过VLAN100传输双机热备报文,AC1和AC2其中任何一条链路故障,将不会影响Portal用户数据转发。

图1远程Portal认证热备组网图

3.2配置思路

∙为了避免两台AC和下行设备L2switch产生环路,并在主备切换时,尽快完成收敛,需要在AC1和AC2上使能MSTP功能,并设置AC1为根桥。

∙为了实现Portal用户数据备份功能,需要分别在AC1和AC2上配置双AC备份功能,使AC1和AC2的用户数据同步。

∙为了实现互为备份的两台AC可以同时处理用户数据热备功能,需要分别在AC1和AC2上配置VRRP备份组,使AC1和AC2在同一VRRP组里。

3.3配置注意事项

∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。

∙互为双机热备的两台AC对于Portal服务器和AAA服务器需要呈现同一个客户端IP地址,所以AC1与AC2配置的PortalNAS-IP必须为VRRP备份组1的虚拟IP地址。

∙AC1与AC2上与Portal和WLAN的相关配置必须一致。

∙AC1与AC2上所使用版本必须一致。

∙AC1与AC2配置NasDevice-id不能一致。

3.4配置步骤

3.4.1AC1的配置

(1)配置AC1的接口

#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道,同时VLAN100也作为业务备份VLAN。

[AC1]vlan100

[AC1-vlan100]quit

[AC1]interfacevlan-interface100

[AC1-Vlan-interface100]ipaddress112.1.1.1016

[AC1-Vlan-interface100]quit

#创建VLAN200作为ESS接口的缺省VLAN。

[AC1]vlan200

[AC1-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN。

[AC1]vlan300

[AC1-vlan300]quit

#配置VLAN300的接口IP地址为112.3.1.10/16。

[AC1]interfacevlan-interface300

[AC1-Vlan-interface300]ipaddress112.3.1.1016

[AC1-Vlan-interface300]quit

#配置AC1与L2switch相连的GigabitEthernet1/0/1接口的链路类型为Trunk,PVID为100,允许VLAN100和VLAN300通过。

[AC1]interfacegigabitethernet1/0/1

[AC1-GigabitEthernet1/0/1]portlink-typetrunk

[AC1-GigabitEthernet1/0/1]porttrunkpermitvlan100300

[AC1-GigabitEthernet1/0/1]porttrunkpvidvlan100

[AC1-GigabitEthernet1/0/1]quit

#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid。

[AC1]interfacewlan-ess1

[AC1-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带Tag通过。

[AC1-WLAN-ESS1]undoporthybridvlan1

[AC1-WLAN-ESS1]porthybridvlan200untagged

[AC1-WLAN-ESS1]porthybridpvidvlan200

#在Hybrid端口上使能MACVLAN功能。

[AC1-WLAN-ESS1]mac-vlanenable

[AC1-WLAN-ESS1]quit

(2)配置MSTP

#配置生成树的工作模式为MSTP。

[AC1]stpmodemstp

#激活MST域。

[AC1]stpregion-configuration

[AC1-mst-region]activeregion-configuration

[AC1-mst-region]quit

#配置AC1为根桥。

[AC1]stprootprimary

#使能STP功能。

[AC1]stpenable

(3)配置认证策略和认证域

#在AC1上创建RADIUS方案office并进入RADIUS方案视图。

system-view

[AC1]radiusschemeoffice

#设置主认证、计费RADIUS服务器的IP地址为8.1.1.5。

[AC1-radius-office]primaryauthentication8.1.1.5

[AC1-radius-office]primaryaccounting8.1.1.5

#设置系统与认证、计费RADIUS服务器交互报文时的共享密钥为123456789。

[AC1-radius-office]keyauthenticationsimple123456789

[AC1-radius-office]keyaccountingsimple123456789

#指定发送给RADIUS方案office中RADIUS服务器的用户名不得携带域名。

[AC1-radius-office]user-name-formatwithout-domain

#配置RADIUS方案中NAS-IP为112.1.1.6。

[AC1-radius-office]nas-ip112.1.1.6

[AC1-radius-office]quit

#创建office域并进入其视图。

[AC1]domainoffice

#在ISP域office下,为Portal用户配置认证、授权、计费方案为RADIUS方案,方案名为office。

[AC1-isp-office]authenticationportalradius-schemeoffice

[AC1-isp-office]authorizationportalradius-schemeoffice

[AC1-isp-office]accountingportalradius-schemeoffice

#设置当前ISP域下的用户闲置切断功能,闲置检测时间为60分钟。

[AC1-isp-office]idle-cutenable60

[AC1-isp-office]quit

(4)配置PortalServer

#配置Portal服务器portal的IP地址为8.1.1.5、密钥为明文123456789、HTTP重定向的URL为http:

//8.1.1.5:

8080/portal。

[AC1]portalserverportalip8.1.1.5keysimple123456789urlhttp:

//8.1.1.5:

8080/portal

#配置在接口VLAN300上启用Portal认证,并配置为直接认证方式。

[AC1]interfacevlan-interface300

[AC1-Vlan-interface300]portalserverportalmethoddirect

#配置从接口VLAN300接入的IPv4Portal用户使用认证域为office。

[AC1-Vlan-interface300]portaldomainoffice

#配置双机热备组网环境中,MasterAC的业务备份接口VLAN300属于Portal备份组1。

[AC1-Vlan-interface300]portalbackup-group1

#配置接口VLAN300发送Portal报文使用的IPv4源地址为112.1.1.6。

[AC1-Vlan-interface300]portalnas-ip112.1.1.6

[AC1-Vlan-interface300]quit

#配置双机热备模式下的设备ID为1。

[AC1]nasdevice-id1

#使能双机热备业务备份功能,且支持对称路径。

[AC1]dhbkenablebackup-typesymmetric-path

#配置双机热备业务备份VLAN为VLAN100。

[AC1]dhbkvlan100

#配置Portal免认证规则,使得符合源接口为AC1与L2switch相连的接口的报文不会触发Portal认证。

[AC1]portalfree-rule0sourceinterfacegigabitethernet1/0/1

(5)配置到Portal/Radius服务器的静态路由

#配置下一跳地址为L3switch的VLAN100接口地址的静态路由。

[AC1]iproute-static8.0.0.0255.0.0.0112.1.1.5

(6)配置AC1的WLAN双机热备

#配置AC1的备份AC,即AC2的IP地址为112.1.1.9。

[AC1]wlanbackup-acip112.1.1.9

#使能AC1的热备份功能。

[AC1]hot-backupenable

#配置AC1用于热备份的本端数据端口的VLANID为200。

[AC1]hot-backupvlan200

(7)配置VRRP功能

#配置AC1的VLAN100接口加入VRRP备份组1,VRRP备份组1的虚拟IP地址为112.1.1.6。

[AC1]interfacevlan-interface100

[AC1-Vlan-interface100]vrrpvrid1virtual-ip112.1.1.6

#配置备份组优先级为250,以保证AC1成为VRRP组1的Master设备。

[AC1-Vlan-interface100]vrrpvrid1priority250

[AC1-Vlan-interface100]quit

#配置AC1的VLAN300接口加入VRRP备份组2,VRRP备份组2的虚拟IP地址为112.3.1.100。

[AC1]interfacevlan-interface300

[AC1-Vlan-interface300]vrrpvrid2virtual-ip112.3.1.100

#配置备份组优先级为250,以保证AC1成为VRRP组2的Master设备。

[AC1-Vlan-interface300]vrrpvrid2priority250

[AC1-Vlan-interface300]quit

(8)配置无线服务

#创建clear类型的服务模板1。

[AC1]wlanservice-template1clear

#设置当前服务模板的SSID为service。

[AC1-wlan-st-1]ssidservice

#将WLAN-ESS1接口绑定到服务模板1。

[AC1-wlan-st-1]bindwlan-ess1

#启用无线服务。

[AC1-wlan-st-1]service-templateenable

[AC1-wlan-st-1]quit

(9)配置射频接口并绑定服务模板

#创建AP的管理模板,名称为officeap,型号名称这里选择WA2620E-AGN。

[AC1]wlanapofficeapmodelWA2620E-AGN

#设置AP的序列号为21023529G007C000020。

[AC1-wlan-ap-officeap]serial-id21023529G007C000020

#进入radio2射频视图。

[AC1-wlan-ap-officeap]radio2

#将在AC上配置的clear类型的服务模板1与射频2进行关联,同时设置绑定到该射频的VLAN为VLAN300。

[AC1-wlan-ap-officeap-radio-2]service-template1vlan-id300

#使能AP的radio2。

[AC1-wlan-ap-officeap-radio-2]radioenable

[AC1-wlan-ap-officeap-radio-2]quit

3.4.2AC2的配置

(1)配置AC2的接口

#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。

AC将使用该接口的IP地址与AP建立LWAPP隧道。

[AC2]vlan100

[AC2-vlan100]quit

[AC2]interfacevlan-interface100

[AC2-Vlan-interface100]ipaddress112.1.1.916

[AC2-Vlan-interface100]quit

#创建VLAN200作为ESS接口的缺省VLAN。

[AC2]vlan200

[AC2-vlan200]quit

#创建VLAN300作为Client接入的业务VLAN。

[AC2]vlan300

[AC2-vlan300]quit

#配置VLAN300的接口IP地址为112.3.1.9/16。

[AC2]interfacevlan-interface300

[AC2-Vlan-interface300]ipaddress112.3.1.916

[AC2-Vlan-interface300]quit

#配置AC2与L2switch相连的GigabitEthernet1/0/1接口的链路类型为Trunk,PVID为100,允许VLAN100和VLAN300通过。

[AC2]interfacegigabitethernet1/0/1

[AC2-GigabitEthernet1/0/1]portlink-typetrunk

[AC2-GigabitEthernet1/0/1]porttrunkpermitvlan100300

[AC2-GigabitEthernet1/0/1]porttrunkpvidvlan100

[AC2-GigabitEthernet1/0/1]quit

#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid。

[AC2]interfacewlan-ess1

[AC2-WLAN-ESS1]portlink-typehybrid

#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带Tag通过。

[AC2-WLAN-ESS1]undoporthybridvlan1

[AC2-WLAN-ESS1]porthybridvlan200untagged

[AC2-WLAN-ESS1]porthybridpvidvlan200

#在Hybrid端口上使能MACVLAN功能。

[AC2-WLAN-ESS1]mac-vlanenable

[AC2-WLAN-ESS1]quit

(2)配置MSTP

#配置生成树的工作模式为MSTP。

[AC2]stpmodemstp

#激活MST域。

[AC2]stpregion-configuration

[AC2-mst-region]activeregion-configuration

[AC2-mst-region]quit

#使能STP功能。

[AC2]stpenable

(3)配置认证策略和认证域

#在AC2上创建RADIUS方案office并进入其视图。

system-view

[AC2]radiusschemeoffice

#设置主认证、计费RADIUS服务器的IP地址为8.1.1.5。

[AC2-radius-office]primaryauthentication8.1.1.5

[AC2-radius-office]primaryaccounting8.1.1.5

#设置系统与认证、计费RADIUS服务器交互报文时的共享密钥为123456789。

[AC2-radius-office]keyauthenticationsimple123456789

[AC2-radius-office]keyaccountingsimple123456789

#指定发送给RADIUS方案office中RADIUS服务器的用户名不得携带域名。

[AC2-radius-office]user-name-formatwithout-domain

#配置RADIUS方案中NAS-IP为112.1.1.6。

[AC2-radius-office]nas-ip112.1.1.6

[AC2-radius-office]quit

#创建office域并进入其视图。

[AC2]domainoffice

#在ISP域office下,为Portal用户配置认证、授权、计费方案为RADIUS方案,方案名为office。

[AC2-isp-office]authenticationportalradius-schemeoffice

[AC2-isp-office]authorizationportalradius-schemeoffice

[AC2-isp-office]accountingportalradius-schemeoffice

#设置当前ISP域下的用户闲置切断功能,闲置检测时间为60分钟。

[AC2-isp-office]idle-cutenable60

[AC2-isp-office]quit

(4)配置PortalServer

#配置Portal服务器portal的IP地址为8.1.1.5、密钥为明文123456789、HTTP重定向的URL为http:

//8.1.1.5:

8080/portal。

[AC2]portalserverportalip8.1.1.5keysimple123456789urlhttp:

//8.1.1.5:

8080/portal

#配置在接口VLAN300上启用三层Portal认证,并配置为直接认证方式。

[AC2]interfacevlan-interface300

[AC2-Vlan-interface300]portalserverportalmethoddirect

#配置从接口VLAN300接入的IPv4Portal用户使用认证域为office。

[AC2-Vlan-interface300]portaldomainoffice

#配置双机热备组网环境中,BackupAC的业务备份接口VLAN300属于Portal备份组1。

[AC2-Vlan-interface300]portalbackup-group1

#配置接口VLAN300发送Portal报文使用的IPv4源地址为112.1.1.6。

[AC2-Vlan-interface300]portalnas-ip112.1.1.6

[AC2-Vlan-interface300]quit

#配置双机热备模式下的设备ID为2。

[AC2]nasdevice-id2

#使能双机热备业务备份功能,且支持对称路径。

[AC2]dhbkenablebackup-typesymmetric-path

#配置双机热备业务备份VLAN为VLAN100。

[AC2]dhbkvlan100

#配置Portal免认证规则,使得符合源接口为AC2与L2switch相连的接口的报文不会触发Portal认证。

[AC2]portalfree-rule0sourceinterfacegigabitethernet1/0/1

(5)配置到Portal/Radius服务器的静态路由

#配置下一跳地址为L3switch的VLAN100接口地址的静态路由

[AC2]iproute-static8.0.0.0255.0.0.0112.1.1.5

(6)配置AC2的双AC备份功能

#配置AC2的备份AC,即AC1的IP地

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 医药卫生 > 基础医学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1