联动对接设置主要用于对接第三方设备,包括控制器对接、Radius认证服务器、跨三层取MAC三大模块。
控制器对接包括深信服设备对接和第三方控制器对接,适用于多分支场景。其中深信服设备对接用于总部AC作为认证中心的时候,结合分支深信服设备做认证托管统一推送认证页面。第三方控制器用于AC做统一认证服务器时,对接无线控制器实现统一认证页面推送,实现统一认证,权随人行。
深信服设备
用于AC作为认证中心的时候,对接深信服设备完成认证托管功能。
认证中心设置:用于设置认证中心参数。
• 接入密钥:用于分支AC接入的密钥,需与分支深信服设备的对接密钥保持一致。
• 通信端口:用于AC认证中心与分支深信服设备通信的端口,默认为390,可修改,需与分支深信服设备的认证中心端口保持一致。
:
AC认证中心完成配置后,需到分支AC/SG设备配置认证托管,可参考认证托管章节。有BBC环境配置请参考多分支组网场景章节。
第三方控制器
<新增>按钮添加一条新的对接第三方控制器策略。
控制器信息
• 名称:用于设置第三方Portal服务器的名称。
• 描述:对服务器的描述信息。
• Portal协议:支持的Portal协议类型,目前支持和标准的CMCC1.0、CMCC2.0、华为Portal 2.0/IMC协议、cisco外部Portal web认证协议、Aruba协议对接。
• 对接URL:选择相关的协议之后,会自动生成一个URL地址。例如启用二维码微信连WIFI时,需要控制器配置对接URL时支持携带oauthurl和extend参数
• 控制器IP:第三方Portal控制器的IP地址,可填写端口,如果不填写端口号和认证中心对接的时候默认使用2000端口。
• 使用外部Radius服务器认证:认证中心结合第三方控制器认证,当用户信息维护在第三的方Radius服务器上面的时候,需要勾选;当认证中心本身充当Radius服务器的时候,则不需要勾选,但是需要在[接入管理/接入认证/联动对接设置/radius认证服务器]启用认证端口和设置共享密钥。
客户端参数字段配置
• IP地址字段:从数据包获取或者是从URL参数获取。
• MAC地址字段:第三方控制器的mac地址信息。
• vlan1字段和vlan2字段:第三方控制器数据包含的字段信息。
• bssid字段:和控制器保持一致。
• 认证前URL字段:和控制器保持一致。
当有多条第三方控制器的信息配置的,可以利用右上角的搜索框来搜索。
当需要把设备作为Radius认证服务器时,需要勾选<启用>,然后设置认证端口、计费端口及其共享密钥,点击<提交>,即可将AC配置为Radius认证服务器,默认只支持PAP(密码认证协议)。
:
计费端口与认证端口使用相互独立的密钥。
认证端口:默认为1812,可修改。共享密钥设置和对接的设备一致。
计费端口:默认为1813,可修改。共享密钥设置和对接的设备一致。
跨三层取MAC主要功能是AC设备作为SNMP的客户端通过SNMP协议向客户内网三层设备(作为SNMP服务器)获取IP和MAC的对应关系,来实现过三层网络设备后,设备依然正常识别终端用户的MAC地址。跨三层取MAC提供两种方式。
第一种:通过镜像读取内网用户的MAC(推荐)。
勾选<抓取ARP包或者DHCP包获取MAC>,将AC任意一个空闲的网口接到交换机,交换机对应的接口启用镜像,将相关数据包镜像到AC,此方法不需要交换机启用SNMP协议。
第二种:配置跨三层取MAC。
内网用户绑定MAC地址或者限定了用户的MAC地址范围,并且内网是跨三层的环境下,需要启用<跨三层取MAC>的功能,用于获取内网用户的MAC地址。使用此功能的前提是内网交换机支持SNMP功能,AC通过SNMP协议获取交换机上内网用户真实的MAC地址。
原理:设备上会定期发SNMP Request到三层交换机请求交换机的ARP表,并保存在设备内存中。此时如果三层交换机其它网段的电脑经过设备上网时,如一台PC 192.168.1.2(和设备LAN口不在同一网段)经过设备上网,该PC数据包经过设备时,设备校验此数据包的MAC是三层交换机的MAC,则对此MAC不做处理,而根据192.168.1.2这个IP去内存中查找其真实的MAC地址,实现对用户真实MAC的验证。
操作步骤
步骤1.在三层交换机上开启SNMP功能,且需要配置读取权限的团体名。
步骤2.在[接入管理/接入认证/Portal认证/联动对接设置/跨三层取MAC]进行设置,在设备界面勾选<启用跨三层MAC识别>。
步骤3.在[SNMP服务器列表]点击<新增>把需要获取MAC地址的三层交换机信息,配置完成,点击<提交>即可。
• IP地址:填写交换机IP地址,一般是PC网关设备。
• IP OID和MAC OID:默认OID是标准的,不需要修改,标准的SNMP协议均支持,可根据不同厂商设备的OID修改。
• Community:只读权限的团体名称即可,与交换机配置一样即可。
• 超时时间:设置AC获取SNMP信息的超时时间。
• 获取时间间隔:设置AC多久发一次SNMP请求获取信息。
• 每次获取的最大个数:设置每次获取的SNMP条目的最大个数。
步骤4.点击<查看服务器信息>,用于查看SNMP服务器即交换机的上的SNMP信息,可测试能否从交换机获取PC的IP和MAC,有返回结果则能正常获取。
步骤5.填写内网交换机的MAC地址,避免这部分MAC被用户绑定。
步骤6.除了上一步手动填写交换机的MAC地址外,设备还可以自动发现三层交换机的MAC地址。
步骤7.点击<查看每MAC统计结果>查看统计的结果。当客户不清楚自己三层交换机地址,如果是三层MAC,当一个MAC对应多个不同的IP地址,AC会统计出十分钟内每个MAC对应的IP,可根据查看MAC统计结果,找到对应一个MAC的记录将MAC添加到排除列表。
步骤8.如果勾选[自动添加排除MAC],设备会根据设置的[IP地址记录数],自动将超过IP记录数的MAC地址添加到MAC地址排除列表中。
步骤9.勾选[自动添加排除MAC功能告警],用于在自动添加MAC后,发送告警邮件给管理员。告警选项在[系统管理/系统配置/告警选项]中设置。
步骤10.在[接入管理/接入认证/PORTAL认证/认证策略],点击新增一条策略,启用该策略,配置认证范围:填写测试PC所在的网段。支持根据IP地址段、MAC段匹配认证策略。
步骤11.认证方式选择不需要认证,用户名推荐选择以IP地址作为用户名。
步骤12.认证后处理选择自动录入绑定关系,其他设置根据自定义需求设置。
步骤13.点击<提交>,AC和三层交换机的配置已完成。
建议使用Chrome浏览器访问!
