Agile controller认证部分

流过昼夜 提交于 2020-01-12 01:08:27

1 802.1X认证操作指导
1.1 登录Agile controller
使用https://10.10.10.100:8443

配置思路

1.2 添加设备
资源>设备管理>增加
<AC6605> display accounting-scheme acco_scheme

1.3 设置策略
1.3.1 定义认证规则

1.3.2 定义授权结果

1.3.3 定义授权规则

2 portal认证操作指导

2.1 添加设备
资源>设备管理>增加

2.2 添加SSID

2.3 设置策略
2.3.1 定义认证规则

2.3.2 定义授权结果

2.3.3 定义授权规则
通过以上认证规则、授权结果在授权规则中调用

2.4 定制portal界面

2.5 设置portal推送策略

2.6 设置MAC优先

3 MAC免认证操作指导
3.1 增加设备组

3.2 在设备组中添加MAC

3.3 设置策略
3.3.1 添加认证规则(旁路部署)

3.3.2 添加授权结果

3.3.3 添加授权规则

4 短信认证操作指导
4.1 AC配置
AC完成基本的portal认证配置;
4.2 Agile Controller配置
在Agile Controller上添加接入设备:选择“资源->设备->设备管理”,单击增加;
配置短信服务器,使得系统能够正常发送短信:选择“系统 > 服务器配置 > 短信服务器配置”,设置短信服务器的参数;

Http地址为:http://189.180.0.130:8889/httpsmstest/HttpTest
要根据当前计算机(安装httptest的计算机)的IP地址来;
属性为:password={PASSWORD}
userName=sa
to={TELEPHONENUMBER}
content={MSGCONTENT}
密码为:sa;
成功标识为:OK;
配置访客帐号策略:选择“策略 > 准入控制 > 访客管理 > 访客帐号策略”;

定制认证页面,访客未认证访问网络时,自动跳转到访客认证页面;选择“策略 > 准入控制 > 页面定制 > 页面定制”,点击添加,选择手机快速认证模板;

配置Portal页面推送策略,对访客推送定制的认证页面,选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”,单击“增加”,设置Portal页面推送策略。

认证页面跳转选择继续访问原页面,AC上配置的“redirect-url”字段的值必须为“url”。

4.3 Httptest配置
安装Httptest,打开bin文件夹,点击startup.bat文件启动程序;

终端关联信号,访问Internet,被重定向至访客认证页面。访客输入手机号码,单击“获取密码”,在软件上会收到发送的密码,访客输入手机号码和密码,单击“登录”,页面自动跳转到认证前访问的页面。

5 Portal二维码审批操作指导
5.1 定义访问账号策略

5.2 页面定制

5.3 设置portal推送策略

5.4 账号审批记录

6 Portal邮件推送操作指导
6.1 邮箱设置

6.2 策略设定

7 全局设置
7.1 用户名密码设置

使用备份恢复工具备份的程序只能通过备份恢复工具恢复,不能通过手工方式恢复。

  1. 从企业技术支持网站或光盘获取“Agile_Controller-Campus_xxx_MaintainTool_Windows.zip”。
  2. 解压后运行“MaintainTool.bat”。
  3. 单击“运行备份恢复工具”。

在老Agile Controller-Campus获取License失效码。
登录老Agile Controller-Campus管理界面,选择“系统 > License管理 > License信息查看”。
单击“失效License”,获取失效码。
在新Agile Controller-Campus获取ESN。
登录新Agile Controller-Campus管理界面,选择“系统 > License管理 > License信息查看”。
单击“获取ESN”。
根据失效码和新服务器ESN,在ISDP网站获取新的License文件。
登录http://app.huawei.com/isdp。
在左侧菜单选择“License调测与维护 > ESN变更”。
输入失效码,单击“验证失效码”。

<HUAWEI> ftp 192.168.1.1 //输入帐号密码,可以在IPOP设置帐号密码
[ftp] put vrpcfg.zip //在操作终端的FTP服务器设置路径查看,如D:\S7706_CFG

准入场景 取消准入控制操作
802.1X 1. 强制在线用户下线。
在AAA视图执行命令cut access-user interface interface-type interface-number。interface-type interface-number为认证控制接口。

  1. 全局取消802.1X认证。
    系统视图执行命令undo dot1x enable。
    Portal 在系统视图执行命令portal free-rule 0 destination any source any。
    SACG 在防火墙选择“网络 > SACG > 基本配置”,启用“服务器状态检测”,并将“最小活跃服务器个数”设为1。

终端无法打开Portal认证页面,但是可以正常访问“http://Portal服务器-IP:8080/portal”。
可能原因
通过IP地址能够直接访问Portal服务器,说明终端和Portal服务器之间的网络连接正常,则出现无法打开Portal认证页面的原因可能有:
接入控制设备上VLANIF接口下未绑定Portal服务器模板。
接入控制设备上URL模板中配置的Portal认证页面的URL地址不正确,导致交换机/AC无法将终端的http请求重定向至Portal服务器。
终端在未进行身份认证的情况下访问的是HTTPS网站。
DNS服务器未配置到认证前域,导致终端认证通过前无法访问DNS服务器,进而无法解析域名。
终端上没有配置DNS服务器,导致终端无法解析域名,进而无法产生HTTP流量触发Portal认证页面。

Portal认证成功,无法访问后域的可能原因有:
接入控制设备上配置的认证后域ACL中放行的后域资源不正确。
终端的IP地址没有加入到接入控制设备管辖的IP地址池。
终端与业务控制器之间存在NAT。

时隔一段时间就掉线
在接入控制设备上执行命令dis aaa abnormal-offline-record mac <H-H-H>,查看用户下线的原因。
如果下线原因显示Web user request,请按照如下步骤排查:
检查终端认证成功后是否关闭了认证成功页面或者管理员在Agile Controller-Campus上设置的无线接入终端Web认证会话超时时间是否太短。
在桌面终端上认证成功的页面不可以关闭,否则就会引起终端用户掉线,进而无法访问认证后域中的网络资源。因为Web浏览器定期(心跳周期可以在全局参数中配置)会向Portal服务器发送心跳报文,如果认证页面被关闭,Web浏览器无法向Portal服务器发送心跳报文,终端用户会话产生超时而被迫下线。

  1. • 在移动终端上,认证成功页面在会话超时之前是可以关闭的,移动终端用户下线时间取决于管理员在全局参数中配置的“无线接入终端Web认证会话超时时间”,如果“无线接入终端Web认证会话超时时间”设置的很短,达到会话超时时间后,也会导致用户下线。

如果管理员启动了MAC优先的Portal认证功能,Portal服务器会自动保留终端用户的MAC地址和SSID,则在MAC优先的Portal认证会话有效期之内关闭认证成功页面,AC会自动使用终端的MAC地址向Portal服务器发起MAC认证,故不会影响访问认证后域中的网络资源。
MAC优先的Portal认证相关配置请参见无线环境中的Portal接入(含MAC优先)。

  1. 检查Agile Controller-Campus上是否配置了用户在线时长限制。
    登录Agile Controller-Campus,选择“系统 > 终端参数配置 > 局部参数”,在“用户在线时长限制”中检查用户在线时长是否设置的合理。

两个账号互相踢
管理员在“系统 > 终端参数配置 > 局部参数”中配置了“同一帐号接入数控制”,并且将“最大接入数”设置为了“1”,将“达到最大接入数时的动作”设置为了“允许接入(强制已在线用户下线)”。虽然通过MAC优先上线的终端是通过MAC地址上线的,但是MAC地址和帐号是绑定的,一个帐号只能在一台终端上线,所以后上线的会将先上线的踢下线。

<AC> system-view
[AC] mac-authen quiet-times 5
[AC] mac-authen timer quiet-period 15
[AC] quit
<AC> save

portal captive-bypass enable

放行苹果站点
portal free-rule 1 destination ip 223.111.109.13 mask 32
portal free-rule 1 destination ip 17.142.160.82 mask 32
portal free-rule 1 destination ip 17.172.224.102 mask 32
portal free-rule 1 destination ip 17.178.96.96 mask 32
portal free-rule 1 destination ip 223.119.150.170 mask 32

如果终端和准入控制设备之间是二层网络,支持终端登录日志中显示终端MAC地址。
在AC上配置的URL模板中需要配置URL参数携带终端MAC地址user-mac。
[AC] url-template name huawei
[AC-url-template-huawei] url http://172.18.1.1:8080/portal
[AC-url-template-huawei] url-parameter ssid ssid user-mac usermac redirect-url url

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!