I.无线CMCC融合(域认证)
i.功能介绍及应用场景
1、功能简介:
在多域环境下,同一台NAS(Network Access Switch)可为不同域中的用户提供AAA服务,各域中用户的属性(例如用户名及密码、服务类型、权限等)有可能各不相同,因此有必要通过设置域的方法把它们区分开,并为每个域单独配置包括AAA服务方法列表(例如使用的RADIUS)在内的属性集。
设备基于域名的AAA服务基本原理如下:
1)、解析用户携带的域名称
2)、根据域名称查找用户所配置的域
3)、根据设备上域配置信息查找相应的AAA服务的方法列表名
4)、根据方法列表名在系统中查找对应的方法列表
5)、使用该方法列表提供AAA服务
2、应用场景
适用于为了满足中国移动的SSID融合需求的场景,在同一个SSID下,通过不同用户携带不同域名的形式,将不同域名的用户指向不同的认证服务器上进行认证。中移动目前主要是正对WEB认证的SSID进行融合,因此以下介绍以WEB认证的域认证为例。
ii.配置案例
1、组网需求
(1)AP通过二、三层设备加入AC中。
(2)AC分别连接省内AAA认证平台和集团AAA认证平台。
(3)用户关联CMCC后,AC将域名为@cmcc.fj的用户指向省内AAA认证平台进行认证上线,将域名为@cmcc.jt的用户指向集团AAA认证平台进行认证上线。
2、组网拓扑
3、配置要点
(1)需要在配置CMCC认证的基础上增加域认证相关配置
(2)配置AAA服务的方法列表
(3)创建域
(4)配置域属性集
4、配置步骤
1)配置portal服务器模板
Ruijie(config)#portal-server CMCC ip 172.16.10.11 url http://172.16.10.11/login.html fmt cmcc-normal
CMCC 配置模板名称为CMCC
172.16.10.11 配置portal服务器ip地址
http://172.16.10.11/login.html 配置重定向url
cmcc-normal 配置重定向url格式为cmcc-nomal
注意:不同服务器要求的重定向url格式不同,我司支持多种url格式,配置时根据不同服务器要求选择正确的fmt模式
2)开启AAA功能,并配置2个radius服务器
Ruijie(config)#aaa new-model ----->开启AAA功能
Ruijie(config)#radius-server host 172.16.10.12 acct-port 1813 auth-port 1812 key ruijie
Ruijie(config)#radius-server host 172.16.10.10 acct-port 1813 auth-port 1812 key ruijie----->配置radius服务器,包括ip、计费端口、认证端口、key,要求与服务器端保持一致
3)配置AAA认证组,并添加radius服务器
Ruijie(config)#aaa group server radius CMCC-FJ----->配置AAA认证组,组名为CMCC-FJ
Ruijie(config-gs-radius)#server 172.16.10.10 ----->添加radius服务器,注意计费端口和认证端口,默认情况下,计费端口为1813,认证端口为1812
Ruijie(config-gs-radius)#exit
Ruijie(config)#aaa group server radius CMCC-JT ----->配置AAA认证组,组名为CMCC-JT
Ruijie(config-gs-radius)#server 172.16.10.12 ----->添加radius服务器,注意计费端口和认证端口,为配置情况下,计费端口为1813,认证端口为1812
Ruijie(config-gs-radius)#exit
4)配置WEB认证/计费的方法列表,与对应的AAA认证组名关联
Ruijie(config)#aaa accounting network cmcc-fj start-stop group CMCC-FJ ----->配置计费方法列表
Ruijie(config)#aaa authentication web-auth cmcc-fj group CMCC-FJ ----->配置认证方法列表
Ruijie(config)#aaa accounting network cmcc-jt start-stop group CMCC-JT ----->配置计费方法列表
Ruijie(config)#aaa authentication web-auth cmcc-jt group CMCC-JT ----->配置认证方法列表
5)配置控制器的设备编号为2001.0591.035.00,需认证服务器提供
Ruijie(config)# ac-controller
Ruijie(config-ac)# ac-name 2001.0591.035.00
Ruijie(config-ac)#exit
6)配置WLAN 100的NAS-ID为2011059103500460,需认证服务器提供
Ruijie(config)# wlan-config 100
Ruijie(config-wlan)# nas-id 2011059103500460
Ruijie(config-wlan)#exit
7)使能域认证服务器
Ruijie (config)#aaa domain enable
8)创建域并配置域属性集
Ruijie(config)#aaa domain cmcc.fj----->创建域名为cmcc.fj的域
Ruijie(config-aaa-domain)#authentication web-auth cmcc-fj ----->配置该域指定的认证方法列表
Ruijie(config-aaa-domain)# accounting network cmcc-fj ----->配置该域指定的计费方法列表
Ruijie(config-aaa-domain)#username-format without-domain ----->配置该域在radius认证请求报文中的用户名不携带域名(根据radius服务器的要求进行配置)
Ruijie(config-aaa-domain)#exit
Ruijie(config)#aaa domain cmcc.jt ----->创建域名为cmcc.jt的域
Ruijie(config-aaa-domain)#authentication web-auth cmcc-jt ----->配置该域指定的认证方法列表
Ruijie(config-aaa-domain)# accounting network cmcc-jt ----->配置该域指定的计费方法列表
Ruijie(config-aaa-domain)#username-format without-domain ----->配置该域在radius认证请求报文中的用户名不携带域名(根据radius服务器的要求进行配置)
Ruijie(config-aaa-domain)#exit
9)在WLAN上应用Web认证
Ruijie(config)# wlansec 100
Ruijie(config-wlansec)#web-auth portal CMCC ----->wlan接口下指定portal模板
Ruijie(config-wlansec)#webauth ----->开启web认证功能
注意:wlan接口下指定的portal模板,也可在全局下指定portal模板、认证/计费方法列表,当wlan接口下未配置时,则使用全局配置的portal。
Ruijie(config-wlansec)#end
Ruijie#write
5、注意事项
WEB和1x都支持域认证功能,使能域认证后,默认web和1x都同时使能域认证,若1x用户认证的用户名不携带域名,则需要配置defaul域,在default域中指定1x的认证/计费方法列表,以满足1x部署需求。
6、功能验证
1)查看AAA域及其属性集的配置情况
Ruijie(config)#show aaa domain
=============Domain cmcc.fj=============
State: Active
Username format: Without-domain
Access limit: No limit
Access statistic: 0
Selected method list:
authentication web-auth cmcc-fj
accounting network cmcc-fj
=============Domain cmcc.jt=============
State: Active
Username format: Without-domain
Access limit: No limit
Access statistic: 0
Selected method list:
authentication web-auth cmcc-jt
accounting network cmcc-jt