介绍配置WLAN用户通过RADIUS代理认证接入示例,结合配置组网图来理解业务的配置过程。配置示例包括组网需求、配置思路、操作步骤和配置文件。
适用产品和版本
适用于V800R010C00及以后版本的NE40E/ME60系列产品。
组网环境
如图1-21所示,WLAN用户要访问网络,需要先通过EAP认证方式在AC上进行RADIUS认证,然后通过路由器进行RADIUS计费。用户上线的过程如下:
- WLAN用户发送EAP报文到AC,AC终结EAP报文,发送RADIUS报文到路由器。
- 路由器作为RADIUS代理,侦听AC发给RADIUS服务器的认证报文,转发给RADIUS服务器,侦听RADIUS服务器发送的认证回应报文,转发给AC,在代理过程中保存RADIUS服务器下发给该账号的授权信息。
- 认证通过后,用户发送DHCP报文到路由器获取地址,地址获取过程中路由器根据该用户MAC查询在代理过程中保存的账号授权信息,如果该用户账号的授权信息存在,那么给用户分配空闲IP地址,并且使用保存的授权信息给用户授权。同时路由器发送开始计费报文到RADIUS服务器,对用户做计费。
- 对于AC发送的计费报文做直接回应,不发给RADIUS服务器。
图1-21 WLAN用户通过RADIUS代理认证接入组网图
配置思路
采用如下思路配置WLAN用户通过RADIUS代理认证接入:
- 配置RADIUS服务器组、认证方案、计费方案、地址池。
- 在域下应用RADIUS服务器组、认证方案、计费方案和地址池。
- 配置RADIUS代理功能。
- 在接口配置BAS接入。
- 在接口下配置可供AC访问的IP地址。
数据准备
- RADIUS认证服务器的IP地址。
- RADIUS计费服务器的IP地址。
- AC发送RADIUS报文的端口IP地址。
操作步骤
1 . 配置RADIUS服务器组、认证方案、计费方案、地址池
- 配置RADIUS服务器组shiva。
<huawei> system-view
[~HUAWEI] radius-server group shiva
[*HUAWEI-radius-shiva] radius-server authentication 10.1.123.151 1812
[*HUAWEI-radius-shiva] radius-server accounting 10.1.123.151 1813
[*HUAWEI-radius-shiva] commit
[~HUAWEI-radius-shiva] quit
/<huawei>
- 配置本地地址池a。
[HUAWEI] ip pool a bas local
[*HUAWEI-ip-pool-a] gateway 172.30.0.1 24
[*HUAWEI-ip-pool-a] section 0 172.30.0.2 172.30.0.254
[*HUAWEI-ip-pool-a] commit
[~HUAWEI-ip-pool-a] quit
- 配置认证方案rdp,认证方法为RADIUS-PROXY。
[~HUAWEI] aaa
[*HUAWEI-aaa] authentication-scheme rdp
[*HUAWEI-aaa-authen-rdp] authentication-mode radius-proxy
[*HUAWEI-aaa-authen-rdp] commit
[~HUAWEI-aaa-authen-rdp] quit
- 配置计费方案rds,计费方法为RADIUS。
[*HUAWEI-aaa] accounting-scheme rds
[*HUAWEI–aaa-accounting-rds] accounting-mode radius
[*HUAWEI-aaa-accounting-rds] commit
[~HUAWEI–aaa-accounting-rds] quit
2 . 配置radiusproxy域,在域下应用认证方案rdp、计费方案rds、RADIUS服务器组shiva
[~HUAWEI-aaa] domain radiusproxy
[*HUAWEI-aaa-domain-radiusproxy] authentication-scheme rdp
[*HUAWEI-aaa-domain- radiusproxy] accounting-scheme rds
[*HUAWEI-aaa-domain- radiusproxy] radius-server group shiva
[*HUAWEI-aaa-domain- radiusproxy] ip-pool a
3 . 配置RADIUS代理。
[*HUAWEI] radius-client 10.1.0.201 server-group shiva shared-key-cipher !QAZ2wsx
说明:
radius-client关键字后面配置的IP地址为AC设备发送RADIUS报文的端口IP。在本例中,域下应用的RADIUS服务器组和RADIUS代理的RADIUS服务器组为同一个。但事实上,域下应用的RADIUS服务器组和RADIUS代理的服务器组可以不同。
4 . 配置可供AC访问的IP地址
[~HUAWEI] interface GigabitEthernet 0/1/2
[*HUAWEI-GigabitEthernet0/1/2] ip address 10.1.0.197 8
[*HUAWEI-GigabitEthernet0/1/2] commit
[~HUAWEI-GigabitEthernet0/1/2] quit
说明:
配置该地址是为了供AC访问。AC上发起的RADIUS认证报文应该发往这个地址。如果设备上有其他和AC联通的IP地址,可以不用配这个IP。
5 . 在接口下配置BAS接入
[~HUAWEI] license
[HUAWEI-license] active bas slot 1
[~HUAWEI-license] quit
[~HUAWEI] interface GigabitEthernet 0/1/1
[*HUAWEI-GigabitEthernet0/1/1] bas
[*HUAWEI-GigabitEthernet0/1/1-bas] access-type layer2-subscriber default-domain authentication radiusproxy
[*HUAWEI-GigabitEthernet0/1/1-bas] authentication-method bind
[*HUAWEI-GigabitEthernet0/1/1-bas] commit
[~HUAWEI-GigabitEthernet0/1/1-bas] quit
[~HUAWEI-GigabitEthernet0/1/1] quit
说明:
接口下的配置和正常的IPoE用户上线是一致的,目前RADIUS代理接入方式仅支持IPoE用户,不支持PPPoE用户。
6 . 检查配置结果
- 在设备上执行display radius-server configuration group shiva命令后,可以看到该RADIUS服务器组的配置与要求一致。
[~HUAWEI] display radius-server configuration group shiva
-------------------------------------------------------
Server-group-name : shiva
Authentication-server: IP:10.1.123.151 Port:1812 Weight[0] [UP]
Vpn: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Authentication-server: -
Accounting-server : IP:10.1.123.151 Port:1813 Weight[0] [UP]
Vpn: -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Accounting-server : -
Protocol-version : radius
Shared-secret-key : ******
Retransmission : 3
Timeout-interval(s) : 5
Acct-Stop-Packet Resend : NO
Acct-Stop-Packet Resend-Times : 0
Traffic-unit : B
ClassAsCar : NO
User-name-format : Domain-included
Option82 parse mode : -
Attribute-translation: NO
Packet send algorithm: Master-Backup
Tunnel password : cipher
在设备上执行display domain命令后,可以查看域的配置。
[~HUAWEI] display domain radiusproxy
------------------------------------------------------------------------------
Domain-name : radiusproxy
Domain-state : Active
Authentication-scheme-name : rdp
Accounting-scheme-name : rds
Authorization-scheme-name : -
Primary-DNS-IP-address : -
Second-DNS-IP-address : -
Primary-DNS-IPV6-address : -
Second-DNS-IPV6-address : -
Web-server-URL-parameter : No
Portal-server-URL-parameter : No
Primary-NBNS-IP-address : -
Second-NBNS-IP-address : -
Time-range : Disable
Idle-cut direction : Both
Idle-data-attribute (time,flow) : 0, 60
User detect interval : 0s
User detect retransmit times : 0
Install-BOD-Count : 0
Report-VSM-User-Count : 0
Value-added-service : default
User-access-limit : 283648
Online-number : 0
Web-IP-address : -
Web-URL : -
Web-auth-server : -
Web-auth-state : -
Web-server-mode : get
Slave Web-IP-address : -
Slave Web-URL : -
Slave Web-auth-server : -
Slave Web-auth-state : -
Portal-server-IP : -
Portal-URL : -
Portal-force-times : 2
Service-policy(Portal) : -
PPPoE-user-URL : Disable
AdminUser-priority : 16
IPUser-ReAuth-Time : 300s
mscg-name-portal-key : -
Portal-user-first-url-key : -
User-session-limit : 4294967295
Ancp auto qos adapt : Disable
L2TP-group-name : -
User-lease-time-no-response : 0s
RADIUS-server-template : shiva
Two-acct-template : -
RADIUS-server-pre-template : -
-
-
HWTACACS-server-template : -
Bill Flow : Disable
Tunnel-acct-2867 : Disable
Qos-profile-name inbound : -
Qos-profile-name outbound : -
Flow Statistic:
Flow-Statistic-Up : Yes
Flow-Statistic-Down : Yes
Source-IP-route : Disable
IP-warning-threshold : -
IP-warning-threshold(Low) : -
IPv6-warning-threshold : -
IPv6-warning-threshold(Low) : -
Multicast Forwarding : Yes
Multicast Virtual : No
Max-multilist num : 4
Multicast-profile : -
Multicast-profile ipv6 : -
IP-address-pool-name : a
Quota-out : Offline
Service-type : -
User-basic-service-ip-type : -/-/-
PPP-ipv6-address-protocol : Ndra
IPv6-information-protocol : Stateless dhcpv6
IPv6-PPP-assign-interfaceid : Disable
IPv6-PPP-NDRA-halt : Disable
IPv6-PPP-NDRA-unicast : Disable
Trigger-packet-wait-delay : 60s
Peer-backup : Enable
Reallocate-ip-address : Disable
Cui enable : Disable
Igmp enable : Enable
L2tp-user radius-force : Disable
Accounting dual-stack : Separate
Radius server domain-annex : -
Dhcp-option64-service : Disable
Parse-separator : -
Parse-segment-value : -
Dhcp-receive-server-packet : -
Http-hostcar : Disable
Public-address assign-first : Disable
Public-address nat : Enable
Dhcp-user auto-save : Disable
IP-pool usage-status threshold : 255 , 255
Select-Pool-Rule : gateway + local priority
AFTR name : -
Traffic-rate-mode : Separate
Traffic-statistic-mode : Separate
Rate-limit-mode-inbound : Car
Rate-limit-mode-outbound : Car
Service-change-mode : Stop-start
DAA Direction : both
------------------------------------------------------------------------------
在设备上执行display radius-client configuration命令后,可以查看RADIUS代理的配置。
[~HUAWEI] display radius-client configuration
-----------------------------------------------------------------------------
IP-Address VPN-instance Shared-key Group
Domain-authorization Roam-domain
-----------------------------------------------------------------------------
10.1.0.201 -- ****** shiva
NO --
-----------------------------------------------------------------------------
1 Radius client(s) in total
配置文件
#
sysname HUAWEI
#
license
active bas slot 5
#
radius-server group shiva
radius-server authentication 10.1.123.151 1812 weight 0
radius-server accounting 10.1.123.151 1813 weight 0
#
aaa
authentication-scheme rdp
authentication-mode radius-proxy
#
accounting-scheme rds
accounting-mode radius
#
domain radiusproxy
authentication-scheme rdp
accounting-scheme rds
radius-server group shiva
ip-pool a
#
interface GigabitEthernet 0/1/2
undo shutdown
ip address 10.1.0.197 255.0.0.0
#
interface GigabitEthernet 0/1/1
undo shutdown
bas
#
access-type layer2-subscriber default-domain authentication radiusproxy
authentication-method bind
#
#
ip pool a bas local
gateway 172.30.0.1 255.255.255.0
section 0 172.30.0.2 172.30.0.254
#
return
分享到:
閱讀更多 弱電Bar 的文章
