认证泛域名绑定

知AAAPortalwlan接入李军飞2012-01-04发表WX系列AC本地Portal认证情况下实现不同SSID绑定不同Radius服务器功能的配置WX系列AC本地Portal认证情况下实现不同SSID绑定不同Radius服务器功能的配置一、组网图:二、组网需求:1、AP部署位置可灵活变动,只要能获得IP地址和DNS地址(包括有线用户地址段),就可以在AC上完成注册并提供无线使用环境.
2、两个SSID:teacher、student,用户自动获取IP地址,用户网关和地址池在AC上,两个SSID分属不同的网段.
3、使用AC本地portal认证,为teacher和student提供portal认证界面,teacher用户在radiusserver-1上认证,student用户在radiusserver-2上认证,radius服务器不开启携带服务后缀的功能.
三、需求分析与实现:1、AP采用DNS方式注册,可达到要求.
2、配置AC达到组网需求3、配置AC本地portal,由于radiusserver中没有配置认证服务携带服务后缀,所以需要在AC上将用户domain进行区分,并在不同的radiusserver认证.
分别创建两个radius认证方案和domain.

radius配置部分:radiusschemeserver1server-typeextended//使用我司cams计费系统,故采用扩展的radiusprimaryauthenticationX.
X.
X.
XprimaryaccountingX.
X.
X.
Xkeyauthentication123keyaccounting123user-name-formatwithout-domain//用户不携带域名nas-ipY.
Y.
Y.
Yradiusschemeserver2//使用友商计费系统primaryauthenticationZ.
Z.
Z.
ZprimaryaccountingZ.
Z.
Z.
Zkeyauthentication123keyaccounting123user-name-formatwithout-domainnas-ipY.
Y.
Y.
Ydomain配置部分domainstudentauthenticationportalradius-schemeserver1authorizationportalradius-schemeserver1accountingportalradius-schemeserver1access-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainteacherauthenticationportalradius-schemeserver2authorizationportalradius-schemeserver2accountingportalradius-schemeserver2access-limitdisablestateactiveidle-cutdisableself-service-urldisable用户认证部携带域名的情况下,区分用户domain的方法:interfaceVlan-interface116//student网段ipaddressX.
X.
X.
XX.
X.
X.
XportalserverPORTALmethoddirectportaldomainstudent//绑定studentDomaininterfaceVlan-interface1162//teacher网段ipaddressX.
X.
X.
XX.
X.
X.
XportalserverPORTALmethoddirectportaldomainteacher//绑定teacherDomainradius认证流程图学生用户上网弹出portal认证页面,输入用户名test密码test,开始认证.
没有携带域名,使用手工绑定的域名并在对应的radius认证方案中进行认证,根据radius方案中认证服务器地址,完成认证.
四、实施效果:实施完成后,连接不同的SSID测试,需要输入对应的用户名和密码认证.
至此,实现了连接不同SSID,需要在相对应的radius服务器认证.
此方案在大型园区网中,用户数量大时可以采用.