xgNEFQ,wx2500 portal认证对接宁盾问题

1679584885,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

AC对接宁盾做Portal认证，AC到宁盾是可达的，宁盾是portal和radius认证的服务器。现在在AC测抓包发现AC没有发出radius报文，这可能是什么原因造成的，检查了AAA配置，是没什么问题的。

组网及组网描述：

8小时前提问

我这个是对接宁盾的手册 可以参考一下配置

环境条件：H3C控制器、软件版本V7、本地转发模式
网络架构：H3C控制器旁挂核心，AC+AP本地转发模式，所以控制器只要创建一个vlan和一个IP地址
本文：
1、不阐述本地转发和集中转发的两种原理和两种配置方式
2、只列出关于认证的配置步骤，无线基础配置、无线优化配置or其他命令行步骤省略

无线SSID

vlan

认证模式

认证方式

　

staff

77

网页portal认证

输入账户密码

180天内二次免认证

guest

2

网页portal认证

二维码协助扫码

授权1-7天

 

version 7.1.064, ESS 5423P04

#

 sysname test-ac

#

vlan 19

#

Int vlan 19

 Ip add 134.1

#

Int g1/0/1

 Port link-type trunk     //由于是本地转发，可以选配access模式

 Port trunk permit vlan all

#

radius dynamic-author server [kc1]  

 client ip 134.119.11.148 key simple 123456

#

portal mac-trigger-server mts [kc2]  

 ip 134.119.11.148

 server-type cmcc

 free-traffic threshold 1024000

 aaa-fail nobinding enable

#

portal server staff [kc3]  

 ip 134.119.11.148 key simple 123456

 server-type cmcc

 

 

#

radius session-control enable [kc4]  

 

radius scheme nd [kc5]  

 primary authentication 134.119.11.148

 primary accounting 134.119.11.148

 key authentication simple 123456

 key accounting simple 123456

 user-name-format without-domain

 nas-ip 134.1

 

#

domain nddomain [kc6]  

 authorization-attribute idle-cut 15 1024

 authentication portal radius-scheme nd

 authorization portal radius-scheme nd

 accounting portal radius-scheme nd

#

portal web-server [kc7]   staff

 url http://134.119.11.148:8080/am/portal/serviceId/SN190505730295/ac/chuansha-test-ac/ssid/staff [kc8]  

 server-type cmcc

 url-parameter ssid ssid

 url-parameter wlanacname value AC

 url-parameter wlanuserip source-address [kc9]  

#

portal web-server [kc10]   guest

 url http://134.119.11.148:8080/am/portal/serviceId/SN190505730295/ac/chuansha-test-ac/ssid/guest

 server-type cmcc

 url-parameter ssid ssid

 url-parameter wlanacname value AC

 url-parameter wlanuserip source-address

 

#

portal host-check enable

portal free-rule 0 source ip any destination ip 134.119.11.148 255.255.255.255 [kc11]  

#

#

 

 

wlan service-template 1 [kc12]  

 ssid staff

 vlan 77

 client forwarding-location ap vlan 77    //本地转发

 portal enable method direct

 portal domain nddomain

 portal bas-ip 134.1

 portal apply web-server staff

 portal apply mac-trigger-server mts

 service-template enable

#

wlan service-template 2 [kc13]  

 ssid guest

 vlan 2

 client forwarding-location ap vlan 2

 portal enable method direct

 portal domain nddomain

 portal bas-ip 134.1

 portal apply web-server guest

 portal apply mac-trigger-server mts

 service-template enable

---

  [kc1] DAE配置  [kc1] ，单独配置，不需要被其他命令调用

 

DAE（Dynamic Authorization Extensions，动态授权扩展）协议是RADIUS 协议的一个扩展，它用于强制认证用户下线，或者更改在线用户授权信息。DAE采用客户端/服务器通信模式，由DAE客户端（DAC，Dynamic Authorization Client）和DAE服务器（DAS，Dynamic Authorization Server）组成

  [kc2] 配置mac无感知认证，配置MAC绑定服务器，被无线服务模板调用  [kc2]

 

实际上、mac绑定服务器和宁顿平台是一个东西，同一台服务器

  [kc3] 配置远端portal服务器，单独配置，不需要被其他命令调用

 

  [kc4] 开启踢用户下线功能

  [kc5] 创建名为nd的radius方案，指向宁盾平台

  [kc6] 创建名为nddomain的domain域，调用上面的名为nd的方案，然后该domain被staff和guest无线服务模板调用

  [kc7] 创建名字为staff的web-server，被staff无线服务模板调用

  [kc8] 该URL从宁盾后台的设备中获取，该url将在用户连接staff这个信号的时候，推送给用户电脑，用户电脑并自动弹出，访问这个网页，从而出现认证界面

  [kc9] 用户电脑除了以上url弹出认证页面，并且在无线控制器的层面上，在用户电脑浏览器的地址栏中，在上述url后面多加一些信息，便于维护。可选配置

  [kc10] 同上述三条批注

  [kc11] 全局开启host检测功能

 

并在终端电脑在认证之前，配置免认证规则，能访问宁盾服务器，要不然终端不能获得到认证页面

  [kc12] 创建无线服务模板1,用于创建staff的SSID，并调用上面的认证配置，

 

  [kc13] 创建无线服务模板1,用于创建guest的SSID，并调用上面的认证配置，

8小时前回答 (7)

有集中转发的对接配置吗？

集中转发的没有

集中转发也差不多的 基本上一样

我看了下 配置基本都对的上 但是就是在portal的web输入密码后点击登录时就出现问题报错 Login error, please check AC/gateway authentication and RADIUS configuration.

radius 密钥错误 你要问宁顿要 然后你ac上要跟他宁盾密码一致

是这个吧 radius scheme ningdun primary authentication 10.18.68.102 key cipher $c$3$7zZTWjl9WdCJPD9lqyy+HYO9qbLoafWZ7G70jg== primary accounting 10.18.68.102 key cipher $c$3$9G25Pg33pelxdykQCxjm5vzXln5+5H999dkhmw== key authentication cipher $c$3$qjJbi1bF53GusWdksbj+34m8iszRdEPSrD6LjQ== key accounting cipher $c$3$IuzRAX6XGzJcaNxTkWWhVrQdjnL49HkWDPPbZQ== user-name-format without-domain nas-ip 10.33.98.251 #

是的

你看下radius报文交互的时间段及过程，先看下portal报文交互是否正常

8小时前回答 (4)

我看了下 配置基本都对的上 但是就是在portal的web输入密码后点击登录时就出现问题报错 Login error, please check AC/gateway authentication and RADIUS configuration.

你看下radius的密码和宁盾上的是否一致，宁都是否正确添加了ac的nas ip

叫我靓仔

是radius scheme 中的密钥么？

是的

叫我靓仔

你正在,wx2500 portal认证对接宁盾问题