目录

前提条件

一、IPsec VPN配置

二、IMC平台的配置

1.组网

​编辑

2.核心设备配置

3.AAA服务器侧配置

 4.创建认证的用户

5.登录测试

三、AC无线控制器图形界面配置

1.认证配置

1.1 新增ISP域

​编辑​编辑 

1.2新增 RADIUS

1.3 Portal认证配置​编辑​编辑​编辑​编辑​编辑

1.4 无线配置

四、命令行配置(无线控制器&核心交换机二选一即可)

1.无线控制器关键配置

2.核心交换机关键配置

---

前提条件

总部有IMC无线认证平台，分公司新增了AC 无线控制器来管理AP，要求分公司的Wi-Fi也要走portal认证。

首先要保证分公司和总部的ipsec VPN通信，因为这个基础没有做好导致本次部署踩了不少坑。

一、IPsec VPN配置

首先因为分公司有多条宽带，为了冗余和节省成本，用固定IP结合商务专线，所以组ipsec VPN需要配置接口，而不是vlan，配置如下：

下面有监控信息说明配置成功，配置的时候需要信息一致，包括高级设置重点安全提议，共享密钥等等。

但是！划重点，监控信息有了代表打通了，但是不代表通信正常，我就是踩坑了

因为出口有多条宽带，所以静态路由要配置目的地址和下一跳，我太相信分公司的工程师了，导致一直有问题，没有正确指下一跳，然后一直通信单向可以，双向不行。哭晕厕所

二、IMC平台的配置

Portal 认证

1.组网

2.核心设备配置

#// 配置portal服务器ip，共享密钥，重定向url

portal server cr ip 10.88.15.168 key cipher $c$3$qiSrOppsTOkm1ng73jIo47u5LrTI8Q== url http://10.88.15.168:8080/portal 

#放通客户端到DNS的地址，使其不通过认证就能正常访问DNS进行域名解析

portal free-rule 1 source ip any destination ip 8.8.8.8 mask 255.255.255.255

#

radius scheme portal  //创建radius方案，指定认证AAA服务器IP

 server-type extended

 primary authentication 10.88.15.168 key cipher $c$3$70jzrXmeaOruE4toknNgfLTdotj+

 primary accounting 10.88.15.168 key cipher $c$3$xiaRSUGlQ4lX4eq4jdi0HynHq65F

 user-name-format with-domain  //用户带域名认证

nas-ip 10.88.14.194

#              

domain 123   //创建域123调用radius方案

 authentication portal radius-scheme portal

 authorization portal radius-scheme portal

 accounting portal radius-scheme portal

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

interface Vlan-interface 88   //接口下使能portal认证

ip address 10.88.14.194 23

portal server cr method direct

#

3.AAA服务器侧配置

接入策略>接入设备管理>接入设备配置：共享密钥与设备侧填写的要一致，由于imc端只能填写一个密钥，所以接入设备侧添加的认证计费密钥要配置相同

选择手工增加设备，添加设备ip，若设备上配置nas ip，此处填nas ip地址

接入策略管理>接入策略管理>添加接入策略：配置接入终端的接入策略

接入策略管理>接入服务器管理>添加接入服务：调用之前配置的接入策略

配置portal相关服务，点开接入策略管理>portal服务管理>服务器配置，一般不做修改采用默认的配置参数即可

用户>接入策略管理>portal服务管理>设备配置：添加portal设备

用户>接入策略管理>portal服务管理>设备配置：添加portal设备相关参数

接入策略管理>portal服务管理>ip地址组配置：添加portal用户

接入策略管理>portal服务管理>ip地址组配置：添加portal用户地址

接入策略管理>portal服务管理>设备配置：端口组信息管理

接入策略管理>portal服务管理>设备配置：添加端口信息组

接入策略管理>portal服务管理>设备配置：配置端口信息组相关参数，调用ip地址组

用户>接入策略管理>接入策略管理>增加接入策略：创建策略，配置相关参数

用户>接入策略管理>接入服务管理：创建接入服务，调用接入策略，由于接入设备上配置带域名发送，则此处需配置服务后缀，与域名相同

 4.创建认证的用户

创建portal用户

用户>添加用户：填写用户基本信息

用户>接入用户：增加接入用户

用户>接入用户>增加接入用户：配置账号属性，选择服务，完成创建

5.登录测试

打开页面输入网址

↓↓url重定向

用户登录，带域名认证

查看在线用户信息

使用iNode客户端登陆

三、AC无线控制器图形界面配置

1.认证配置

1.1 新增ISP域

 

1.2新增 RADIUS

1.3 Portal认证配置

1.4 无线配置

然后在AP或者AP组上绑定这个SSID

四、命令行配置(无线控制器&核心交换机二选一即可)

如果要控制有线无线都认证，那需要在核心上面配置

如果只要控制无线，可以在AC上面配置

1.无线控制器关键配置

2.核心交换机关键配置