信锐无线AC做portal认证服务器与华三设备对接解读

最近总接到这样的咨询电话，客户已经部署了一套华三的无线设备（包括无线控制器和 无线AP） ，目前需要做 portal 认证（微信认证） ，不知道是否可以单独购买信锐的无线控制器来满足认证的需求呢？

一、部署网络拓扑

1、在测试之前的拓扑中，测试一直无法弹出 portal 页面，原因是当华三的控制器开启认证后无线用户与 NAC控制器之间无法通信，只有单独在放通无线终端的 IP 地址后才可以重定向到我们的认证页面（此时是已经放通了控制器 IP 的）

2、最后修改网络架构为全网 vlan1 使用华三的 IMC 协议对接；

二、NAC portal 配置截图

1、基础网络配置

设备以单臂模式部署在客户网络中，h3c 无线控制器和 portal 设备在同一局域网，华三的无线控制器做集中转发，通过 portal 的微信连 WiFi 功能认证。

2、配置认证服务器

除 portal 服务器地址外其他参数默认即可，内置 radius 服务器的密钥固定为 123456。

3、配置 web 认证策略

协议这里需要注意，默认华三的控制器依然采用的是 CMCC 的 portal2.0 协议，配置时需要与华三工程师确认修改为 IMC 协议（也可以采用 portal2.0，也测试过可以通过认证）确保我司 portal 服务器与华三的控制器的端口正常通信。

三、华三控制器配置截图
       1、web 页面认证配置步骤（此处与深信服 portal 服务器与 H3C 对接文档中的截图类似，只是地址不相同而已）

①首先新建 radius 认证服务器

②配置 AAA：点击认证->AAA，填写域名，并且应用

③点击认证，按如下的配置进行配置，最后点击应用

④点击认证->portal 认证->新建

⑤选端口名称选择之前配置好的 vlan 口  ，portal 服务器选择新建 portal 服务器，认证方式选择 Direct，认证域选择刚才配好的认证域，填写新建 portal 服务器信息（服务器 ip 为 portal的 ip）点击确定

2、需要注意的是还需要放通固定的一些地址段（如下图）

①portal 服务器的 IP 地址

②华三控制器的通信 IP 地址

③网关地址、以及整个认证网段（这样表示华三无线进行免认证，只是重定向 url 即可）

④DNS 地址放通

四、  华三后台调试命令说明

1、  接口配置

interface Vlan-interface1

ip address 192.168.0.17 255.255.0.0

portal server WAC method direct

portal domain WAC

2、指向 URL 配置及对接协议

指向：portal server NAC ip 192.168.0.18 key cipher

$c$3$OSyoILh5AXh+i5w5wf0+5xVS2+DI0KLQRg== url http://192.168.0.18/?url_id=1408525

server-type imc

3、通免认证的白名单地址

认证网段为 192.168.0.0/16 的网段

白名单：portal free-rule 17 source ip any destination ip 192.168.0.135 mask 255.255.255.255

白名单：portal free-rule 18 source ip any destination ip 192.168.0.0 mask 255.255.0.0

4、RADIUS 认证配置

192.168.0.18 是我司 portal 服务器

radius scheme WAC

server-type extended

primary authentication 192.168.0.18

key authentication cipher $c$3$DaE5mTBMcI3LkbA4eqmoIIBS5l5LPFZsFw==

user-name-format without-domain

retry stop-accounting 10

5、域设置配置

domain WAC

authentication portal radius-scheme WAC

authorization portal radius-scheme WAC

access-limit disable

accounting optional

state active  

idle-cut enable 15 10000

self-service-url disable
       

说明：如果不配置 “accounting optional”这条命令就会出现当用户 portal 认证通过后被设备踢出，网上查出描述如下

五、测试后效果

1、认证通过后的系统状态截图

六、排查问题过程

1、portal 页面无法弹出

配置完后终端无法弹出 portal 页面，通过抓包确认终端未有任何数据包到 NAC，说明华三的无线控制器并没有重定向 url 成功；

2、认证成功后的用户被踢下，需要马上重新认证（反复认证）

a) 我们 NAC 已经认证通过了，见 radius accept 包

b) 华三主动发起了踢人动作

从华三设备的 2000 端口（portal 协议通信端口）发到 NAC 的 50100 端口（注销消息接受端口）

注意：最好是用命令后台配置，如果只在页面配置可能会出现功能不生效的问题。