介紹配置WLAN用戶通過RADIUS代理認證接入示例,結合配置組網圖來理解業務的配置過程。配置示例包括組網需求、配置思路、操作步驟和配置文件。
適用產品和版本
適用於V800R010C00及以後版本的NE40E/ME60系列產品。
組網環境
如圖1-21所示,WLAN用戶要訪問網絡,需要先通過EAP認證方式在AC上進行RADIUS認證,然後通過路由器進行RADIUS計費。用戶上線的過程如下:
- WLAN用戶發送EAP報文到AC,AC終結EAP報文,發送RADIUS報文到路由器。
- 路由器作為RADIUS代理,偵聽AC發給RADIUS服務器的認證報文,轉發給RADIUS服務器,偵聽RADIUS服務器發送的認證回應報文,轉發給AC,在代理過程中保存RADIUS服務器下發給該賬號的授權信息。
- 認證通過後,用戶發送DHCP報文到路由器獲取地址,地址獲取過程中路由器根據該用戶MAC查詢在代理過程中保存的賬號授權信息,如果該用戶賬號的授權信息存在,那麼給用戶分配空閒IP地址,並且使用保存的授權信息給用戶授權。同時路由器發送開始計費報文到RADIUS服務器,對用戶做計費。
- 對於AC發送的計費報文做直接回應,不發給RADIUS服務器。
圖1-21 WLAN用戶通過RADIUS代理認證接入組網圖
配置思路
採用如下思路配置WLAN用戶通過RADIUS代理認證接入:
- 配置RADIUS服務器組、認證方案、計費方案、地址池。
- 在域下應用RADIUS服務器組、認證方案、計費方案和地址池。
- 配置RADIUS代理功能。
- 在接口配置BAS接入。
- 在接口下配置可供AC訪問的IP地址。
數據準備
- RADIUS認證服務器的IP地址。
- RADIUS計費服務器的IP地址。
- AC發送RADIUS報文的端口IP地址。
操作步驟
1 . 配置RADIUS服務器組、認證方案、計費方案、地址池
- 配置RADIUS服務器組shiva。
<huawei> system-view
[~HUAWEI] radius-server group shiva
[*HUAWEI-radius-shiva] radius-server authentication 10.1.123.151 1812
[*HUAWEI-radius-shiva] radius-server accounting 10.1.123.151 1813
[*HUAWEI-radius-shiva] commit
[~HUAWEI-radius-shiva] quit
/<huawei>
- 配置本地地址池a。
[HUAWEI] ip pool a bas local
[*HUAWEI-ip-pool-a] gateway 172.30.0.1 24
[*HUAWEI-ip-pool-a] section 0 172.30.0.2 172.30.0.254
[*HUAWEI-ip-pool-a] commit
[~HUAWEI-ip-pool-a] quit
- 配置認證方案rdp,認證方法為RADIUS-PROXY。
[~HUAWEI] aaa
[*HUAWEI-aaa] authentication-scheme rdp
[*HUAWEI-aaa-authen-rdp] authentication-mode radius-proxy
[*HUAWEI-aaa-authen-rdp] commit
[~HUAWEI-aaa-authen-rdp] quit
- 配置計費方案rds,計費方法為RADIUS。
[*HUAWEI-aaa] accounting-scheme rds
[*HUAWEI–aaa-accounting-rds] accounting-mode radius
[*HUAWEI-aaa-accounting-rds] commit
[~HUAWEI–aaa-accounting-rds] quit
2 . 配置radiusproxy域,在域下應用認證方案rdp、計費方案rds、RADIUS服務器組shiva
[~HUAWEI-aaa] domain radiusproxy
[*HUAWEI-aaa-domain-radiusproxy] authentication-scheme rdp
[*HUAWEI-aaa-domain- radiusproxy] accounting-scheme rds
[*HUAWEI-aaa-domain- radiusproxy] radius-server group shiva
[*HUAWEI-aaa-domain- radiusproxy] ip-pool a
3 . 配置RADIUS代理。
[*HUAWEI] radius-client 10.1.0.201 server-group shiva shared-key-cipher !QAZ2wsx
說明:
radius-client關鍵字後面配置的IP地址為AC設備發送RADIUS報文的端口IP。在本例中,域下應用的RADIUS服務器組和RADIUS代理的RADIUS服務器組為同一個。但事實上,域下應用的RADIUS服務器組和RADIUS代理的服務器組可以不同。
4 . 配置可供AC訪問的IP地址
[~HUAWEI] interface GigabitEthernet 0/1/2
[*HUAWEI-GigabitEthernet0/1/2] ip address 10.1.0.197 8
[*HUAWEI-GigabitEthernet0/1/2] commit
[~HUAWEI-GigabitEthernet0/1/2] quit
說明:
配置該地址是為了供AC訪問。AC上發起的RADIUS認證報文應該發往這個地址。如果設備上有其他和AC聯通的IP地址,可以不用配這個IP。
5 . 在接口下配置BAS接入
[~HUAWEI] license
[HUAWEI-license] active bas slot 1
[~HUAWEI-license] quit
[~HUAWEI] interface GigabitEthernet 0/1/1
[*HUAWEI-GigabitEthernet0/1/1] bas
[*HUAWEI-GigabitEthernet0/1/1-bas] access-type layer2-subscriber default-domain authentication radiusproxy
[*HUAWEI-GigabitEthernet0/1/1-bas] authentication-method bind
[*HUAWEI-GigabitEthernet0/1/1-bas] commit
[~HUAWEI-GigabitEthernet0/1/1-bas] quit
[~HUAWEI-GigabitEthernet0/1/1] quit
說明:
接口下的配置和正常的IPoE用戶上線是一致的,目前RADIUS代理接入方式僅支持IPoE用戶,不支持PPPoE用戶。
6 . 檢查配置結果
- 在設備上執行display radius-server configuration group shiva命令後,可以看到該RADIUS服務器組的配置與要求一致。
[~HUAWEI] display radius-server configuration group shiva
-------------------------------------------------------
Server-group-name : shiva
Authentication-server: IP:10.1.123.151 Port:1812 Weight[0] [UP]
Vpn: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Accounting-server : IP:10.1.123.151 Port:1813 Weight[0] [UP]
Vpn: -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Protocol-version : radius
Shared-secret-key : ******
Retransmission : 3
Timeout-interval(s) : 5
Acct-Stop-Packet Resend : NO
Acct-Stop-Packet Resend-Times : 0
Traffic-unit : B
ClassAsCar : NO
User-name-format : Domain-included
Option82 parse mode : -
Attribute-translation: NO
Packet send algorithm: Master-Backup
Tunnel password : cipher
在設備上執行display domain命令後,可以查看域的配置。
[~HUAWEI] display domain radiusproxy
------------------------------------------------------------------------------
Domain-name : radiusproxy
Domain-state : Active
Authentication-scheme-name : rdp
Accounting-scheme-name : rds
Authorization-scheme-name : -
Primary-DNS-IP-address : -
Second-DNS-IP-address : -
Primary-DNS-IPV6-address : -
Second-DNS-IPV6-address : -
Web-server-URL-parameter : No
Portal-server-URL-parameter : No
Primary-NBNS-IP-address : -
Second-NBNS-IP-address : -
Time-range : Disable
Idle-cut direction : Both
Idle-data-attribute (time,flow) : 0, 60
User detect interval : 0s
User detect retransmit times : 0
Install-BOD-Count : 0
Report-VSM-User-Count : 0
Value-added-service : default
User-access-limit : 283648
Online-number : 0
Web-IP-address : -
Web-URL : -
Web-auth-server : -
Web-auth-state : -
Web-server-mode : get
Slave Web-IP-address : -
Slave Web-URL : -
Slave Web-auth-server : -
Slave Web-auth-state : -
Portal-server-IP : -
Portal-URL : -
Portal-force-times : 2
Service-policy(Portal) : -
PPPoE-user-URL : Disable
AdminUser-priority : 16
IPUser-ReAuth-Time : 300s
mscg-name-portal-key : -
Portal-user-first-url-key : -
User-session-limit : 4294967295
Ancp auto qos adapt : Disable
L2TP-group-name : -
User-lease-time-no-response : 0s
RADIUS-server-template : shiva
Two-acct-template : -
RADIUS-server-pre-template : -
-
-
HWTACACS-server-template : -
Bill Flow : Disable
Tunnel-acct-2867 : Disable
Qos-profile-name inbound : -
Qos-profile-name outbound : -
Flow Statistic:
Flow-Statistic-Up : Yes
Flow-Statistic-Down : Yes
Source-IP-route : Disable
IP-warning-threshold : -
IP-warning-threshold(Low) : -
IPv6-warning-threshold : -
IPv6-warning-threshold(Low) : -
Multicast Forwarding : Yes
Multicast Virtual : No
Max-multilist num : 4
Multicast-profile : -
Multicast-profile ipv6 : -
IP-address-pool-name : a
Quota-out : Offline
Service-type : -
User-basic-service-ip-type : -/-/-
PPP-ipv6-address-protocol : Ndra
IPv6-information-protocol : Stateless dhcpv6
IPv6-PPP-assign-interfaceid : Disable
IPv6-PPP-NDRA-halt : Disable
IPv6-PPP-NDRA-unicast : Disable
Trigger-packet-wait-delay : 60s
Peer-backup : Enable
Reallocate-ip-address : Disable
Cui enable : Disable
Igmp enable : Enable
L2tp-user radius-force : Disable
Accounting dual-stack : Separate
Radius server domain-annex : -
Dhcp-option64-service : Disable
Parse-separator : -
Parse-segment-value : -
Dhcp-receive-server-packet : -
Http-hostcar : Disable
Public-address assign-first : Disable
Public-address nat : Enable
Dhcp-user auto-save : Disable
IP-pool usage-status threshold : 255 , 255
Select-Pool-Rule : gateway + local priority
AFTR name : -
Traffic-rate-mode : Separate
Traffic-statistic-mode : Separate
Rate-limit-mode-inbound : Car
Rate-limit-mode-outbound : Car
Service-change-mode : Stop-start
DAA Direction : both
------------------------------------------------------------------------------
在設備上執行display radius-client configuration命令後,可以查看RADIUS代理的配置。
[~HUAWEI] display radius-client configuration
-----------------------------------------------------------------------------
IP-Address VPN-instance Shared-key Group
Domain-authorization Roam-domain
-----------------------------------------------------------------------------
10.1.0.201 -- ****** shiva
NO --
-----------------------------------------------------------------------------
1 Radius client(s) in total
配置文件
#
sysname HUAWEI
#
license
active bas slot 5
#
radius-server group shiva
radius-server authentication 10.1.123.151 1812 weight 0
radius-server accounting 10.1.123.151 1813 weight 0
#
aaa
authentication-scheme rdp
authentication-mode radius-proxy
#
accounting-scheme rds
accounting-mode radius
#
domain radiusproxy
authentication-scheme rdp
accounting-scheme rds
radius-server group shiva
ip-pool a
#
interface GigabitEthernet 0/1/2
undo shutdown
ip address 10.1.0.197 255.0.0.0
#
interface GigabitEthernet 0/1/1
undo shutdown
bas
#
access-type layer2-subscriber default-domain authentication radiusproxy
authentication-method bind
#
#
ip pool a bas local
gateway 172.30.0.1 255.255.255.0
section 0 172.30.0.2 172.30.0.254
#
return
分享到:
閱讀更多 弱電Bar 的文章
