I. 无线CMCC认证
i.功能介绍及应用场景
1、功能简介:
Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证。
未认证用户使用浏览器上网时,网络设备会强制浏览器访问特定站点,也就是Web认证服务器,通常称为Portal/Radius服务器。用户无需认证即可享受Portal服务器上的服务,比如下载安全补丁、阅读公告信息等。当用户需要访问认证服务器以外的其它网络资源时,就必须通过浏览器在Radius服务器上进行身份认证,只有认证通过后才可以使用网络资源。
除了认证上的便利性之外,由于Portal服务器和用户的浏览器有页面交互,可以利用这个特性在Portal服务器页面放置一些广告、通知、业务链接等个性化的服务。
2、应用场景
CMCC认证属于WEB认证的一种模式,当前我司的WEB认证分3种版本,不同版本的Web认证流程不同,分为一代web认证、二代web认证和内置web认证,其中ICT市场常用的为二代web认证,因此本文档中描述的web认证都指二代web认证。其中二代web认证又分为符合中移动portal认证规范的CMCC认证和符合锐捷私有规范的普通二代WEB认证。以上2种认证的认证流程上基本一致,但是由于对接的portal/radius服务器不同,因此在重定向url格式有所区别。
CMCC认证主要用于对接中移动portal认证规范的portal/radius服务器,例如亚信、中兴、华为的服务器,因此要求AC在认证流程、重定向url格式、认证报文属性满足中移动portal认证规范。
ii.配置案例
1、组网需求
(1)AP通过二、三层设备加入AC中。
(2)采用中国移动ePortal服务器作为Portal服务器。
(3)采用符合中国移动WLAN企业标准要求的RADIUS服务器作为认证/计费服务器。
(4)WLAN 100,SSID为CMCC,采用Open Authentication无线加密方式,开启Web认证功能,使用wlansec接口下指定的Portal服务器和认证、记账方法。
(5)用户主机(Station)通过SSID CMCC接入无线网络中,通过手动配置或者DHCP获取一个IP地址进行认证。在通过中国移动Portal Web认证之前,只能访问中国移动Portal服务器。在通过中国移动Portal Web认证之后,可访问非免费的网络资源。
2、组网拓扑
3、配置要点
(1)必须在中国移动Portal服务器和中国移动RADIUS服务器中,为该AC设备配置相应的信息。
(2)AC设备中,必须配置正确portal/radius服务器信息及控制器设备编号。
4、配置步骤
1)配置portal服务器模板
Ruijie(config)#portal-server CMCC ip 172.16.10.11 url http://172.16.10.11/login.html fmt cmcc-normal
CMCC 配置模板名称为CMCC
172.16.10.11 配置portal服务器ip地址
http://172.16.10.11/login.html 配置重定向url
cmcc-normal 配置重定向url格式为cmcc-nomal
注意:不同服务器要求的重定向url格式不同,我司支持多种url格式,配置时根据不同服务器要求选择正确的fmt模式
2)开启AAA功能,并配置radius服务器
Ruijie(config)#aaa new-model ----->开启AAA功能
Ruijie(config)#radius-server host 172.16.10.10 acct-port 1813 auth-port 1812 key ruijie----->配置radius服务器,包括ip、计费端口、认证端口、key,要求与服务器端保持一致
3)配置AAA认证组,并添加radius服务器
Ruijie(config)#aaa group server radius CMCC ----->配置AAA认证组,组名为CMCC
Ruijie(config-gs-radius)#server 172.16.10.10 ----->添加radius服务器,注意计费端口和认证端口,默认情况下,计费端口为1813,认证端口为1812
Ruijie(config-gs-radius)#exit
4)配置WEB认证/计费的方法列表,与对应的AAA认证组名关联
Ruijie(config)#aaa accounting network CMCC start-stop group CMCC ----->配置计费方法列表
Ruijie(config)#aaa authentication web-auth CMCC group CMCC ----->配置认证方法列表
5)配置控制器的设备编号为2001.0591.035.00
Ruijie(config)# ac-controller
Ruijie(config-ac)# ac-name 2001.0591.035.00
Ruijie(config-ac)#exit
6)配置WLAN 100的NAS-ID为2011059103500460
Ruijie(config)# wlan-config 100
Ruijie(config-wlan)# nas-id 2011059103500460
Ruijie(config-wlan)#exit
7)在WLAN上应用Web认证
Ruijie(config)# wlansec 100
Ruijie(config-wlansec)#web-auth portal CMCC ----->wlan接口下指定portal模板
Ruijie(config-wlansec)#web-auth accounting v2 CMCC ----->wlan接口下指定计费方法列表
Ruijie(config-wlansec)#web-auth authentication v2 CMCC ----->wlan接口下指定认证方法列表
Ruijie(config-wlansec)#webauth ----->开启web认证功能
注意:wlan接口下指定的portal模板、认证/计费方法列表只对该wlan生效,也可在全局下指定portal模板、认证/计费方法列表,当wlan接口下未配置时,则使用全局配置的portal和认证/计费方法列表。
Ruijie(config-wlansec)#end
Ruijie#write
5、功能验证
1)查看AAA认证方法的配置情况
Ruijie(config)#show aaa method-list
Authentication method-list:
aaa authentication web-auth CMCC group CMCC
Accounting method-list:
aaa accounting network CMCC start-stop group CMCC
Authorization method-list:
2)查看中国移动Portal服务器的配置情况
WS(config)#show web-auth portal
V2 Portal Information:
Portal Server: eportalv2
IPv6 Address: ::
Redirect-URL:
UDP Port: 50100
URL Format:ruijie
status: Enable
Portal Server: CMCC
IPv4 Address: 172.16.10.11
Redirect-URL: http://172.16.10.11/login.html
UDP Port: 50100
URL Format:cmcc-normal
status: Enable
Intra Portal Information:
Server name : iportal
Page suite name : default
Announcement page url :
Homepage url :
Authentication method list: default
Accounting method list : default
3)查看Web认证的WLAN受控情况
Ruijie(config)#show web-auth control
------------------------- -------- --------------------- -------------------- -----------------