门户身份验证通常适用于用户分散、流动性高的场景
1 .网络互操作性配置
(1)设定终端的IP地址
)2)建立WLAN,允许通过vlan,保证网络畅通
[LSW1]vlan batch 11 12
[ ls w1-vlanif 11 ] ipadd 10.1.11.124
[ ls w1-vlanif 12 ] ipadd 10.1.12.124
[ ls w1 -千兆以太网0/0/1 ]端口链接-类型访问
[ ls w1 -千兆以太网0/0/1 ] portdefaultvlan 11
[ ls w1 -千兆以太网0/0/2 ]端口链接-类型访问
[ ls w1 -千兆以太网0/0/2 ] portdefaultvlan 12
2.AAA的配置
(1) radius服务器模板的配置
[ ls w1 ] radius-servertemplateabc 1
[ ls w1-radius-ABC1] radius-serverauthentication 10.1.11.111812
[ ls w1-radius-ABC1] radius -服务器会计10.1.11.111813
[ ls w1-radius-ABC1] radius-server shared-keycipherabcabc @ 123
)2)建立aaa认证方案,将认证方式设置为radius
[LSW1]aaa
[ ls w1-AAA ]身份验证方案ABC 1
[ ls w1-AAA-authen-ABC1]认证操作模式radius
[ ls w1-AAA ]会计-方案ABC 1
[ ls w1-AAA-accounting-ABC1] accounting-mode radius
(3)创建认证域abc1.com,绑定aaa认证方案和radius服务器模板
[LSW1-aaa]domain abc1.com
[ ls w1-AAA-domain-ABC1.com ]身份验证-方案ABC 1
[ ls w1-AAA-domain-ABC1.com ] radius-server ABC 1
)4)测试用户能否通过radius模板的认证
[ ls w1 ] test-aaatestabcabc @ 123 radius-templateabc 1
显示: info :帐户测试成功,表示认证通过
3 .配置门户认证
(1)将配置模式切换为统一模式)默认情况下,NAC配置模式为统一模式。 从传统模式切换到统一模式后,管理员必须保存配置并重新启动设备,才能启用新配置模式中的每个功能。
[ ls w1 ]认证统一模式
(2)门户服务器模板的配置
[LSW1] web-auth-server abc1
[ ls w1-we B- auth-server-ABC1]服务器- IP 10.1.11.11
[ ls w1-we B- auth-server-ABC1]端口50200
[ ls w1-we B- auth-server-ABC1] URL http://10.1.11.1133608080 /门户
[ ls w1-we B- auth-server-ABC1] shared-keycipherabcabc @ 123
(3)配置门户访问模板
[ ls w1 ]门户访问配置文件名称ABC 1
[ ls w1 -门户-访问配置文件- ABC1] we B- auth-server ABC1direct
)4)配置认证模板,绑定门户模板,指定认证模板下的用户强制认证域,指定用户访问模式为多用户个人认证,指定最大访问用户模式为100
[ ls w1 ]认证动作-性能分析名称ABC 1
[交换机- authen-profile-ABC1]门户访问- profile ABC 1
[交换机- authen-profile-ABC1]访问域ABC1.com force
[交换机- authen-profile-ABC1] authentication modemulti-authen max-user 100
(5)在接口上绑定认证模板,启用门户认证
[ ls w1 -千兆以太网0/0/2 ]认证认证配置文件ABC 1
)6)配置指定VLAN中用户脱机检测消息的源IP地址和源MAC地址。 用户建议脱机将消息的源IP地址和源MAC地址设置为用户网关的IP地址和MAC地址。 此功能对三层门户认证用户无效
[ ls w1 ]访问用户检测VLAN 12 IP地址10.1.12.1 MAC -地址222-1111-1234
4 .验证配置结果
(1)用户打开浏览器并输入任意网络地址后,将重定向至门户认证页面。 然后,用户可以输入用户名和密码进行认证。
)2)如果正确验证了用户输入的用户名和密码,门户认证页面将显示认证成功信息,用户可以访问网络。
)3)用户联机后,管理员可以在设备上运行命令display access-user access-type dot 1x查看联机802.1X用户信息。