职场拓扑:出口防火墙--核心交换机(旁挂双AC)--接入交换机--AP
职场与总部建立IPSec,radius服务器在总部端。
职场当前已有SSID:SSID1(802.1X认证)在总部认证
		SSID2(portal认证)在本地portal服务器认证
需求:新加SSID3,在总部的portal服务器认证。
总部portal服务器地址:172.31.1.10
职场AC管理地址:10.10.10.10

#
url-template name SSID3		#自定义url模板名称
 url http://portal.test.com:8080/portal 	#总部portal地址
 url-parameter ssid ssid redirect-url url
#
web-auth-server ZB-Portal 	#自定义名称
 server-ip 172.31.1.10 		#总部portal服务器IP
 port 50200 			#总部portal服务器端口
 shared-key cipher Admin@123 	#总部portal服务器共享密钥
 url-template SSID3 		#调用url模板
 source-ip 10.10.10.10 		#职场AC管理地址,与总部portal通信
 server-detect interval 100 max-times 5 action log
#
portal-access-profile name SSID3	#自定义portal接入模板
 web-auth-server ZB-Portal direct	#关联web-auth-server
#
aaa
 authentication-scheme SSID3		#新建认证方案
  authentication-mode radius		#认证方式为radius
 accounting-scheme SSID3		#新建计费方案
  accounting-mode radius		#计费方式为radius
  accounting realtime 15
#   
authentication-profile name SSID3	#自定义认证模板
 portal-access-profile SSID3		#关联portal接入模板
 authentication-scheme SSID3		#关联aaa的认证方案
 accounting-scheme SSID3		#管理aaa的计费方案
 radius-server ZB-radius		#关联已配置好的radius模板
#
wlan
 ssid-profile name SSID3		#wlan视图新加SSID模板
  ssid SSID3				#新加的SSID名称
 security-profile name SSID3-portal	#新建安全模板,portal认证下无需配置其它
 vap-profile name SSID3			#新建VAP模板
  service-vlan vlan-id 220		#关联新加SSID的终端业务vlan
  ssid-profile SSID3			#关联SSID模板
  security-profile SSID3-portal		#关联安全模板
  authentication-profile SSID3		#关联认证模板
 ap-group name AP
  radio 0
   vap-profile SSID3 wlan 10		#在AP的射频中关联新加SSID的VAP模板
  radio 1
   vap-profile SSID3 wlan 10
  radio 2
   vap-profile SSID3 wlan 10 

新加SSID3的终端IP:200.200.0.1--200.200.0.253
终端连接SSID3后,无法获取200段IP

1、检查DHCP服务器配置,在本端防火墙的DMZ区域
地址池:起始地址200.200.0.1,结束地址200.200.0.253
作用域选项:路由器值200.200.0.254
	   DNS服务器值10.10.1.1
地址租用:空

确定DHCP服务器的配置没有问题。

2、防火墙pingDHCP服务器正常
3、核心交换机pingDHCP服务器正常
   interface Vlanif220
     description To-SSID3
     ip address 200.200.0.254 255.255.255.0
     dhcp select relay
     dhcp relay binding server group dhcp-server
4、接入交换机pingDHCP服务器正常
5、在接入交换机新建vlanif220,接口下配置自动获取IP
   interface vlanif 200 
     ip address dhcp-alloc
   查看无法获取IP
6、在AC配置
   diagnose
     station-trace sta-mac 终端mac地址
   t m
   t d

WSRV/7/BTRACE:(BTRACE)(WLAN_AP)(c8e2-xxxx-xxxx):sta is before auth state
WSRV/7/BTRACE:(BTRACE)(WLAN_AP)(c8e2-xxxx-xxxx):Sta name info:sta name len  = 13
WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][C8E2-xxxx-xxxx]:vap: 25, vip flag: 0, Auth flag: 0,old vip flag 0, old Auth flag: 0 ; Before VipStaNumVap: 2, VipStaNumIc: 2
WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][C8E2-xxxx-xxxx]:vap: 25, vip flag: 0, Auth flag: 0,old vip flag: 0, old Auth flag: 0 ; Before VipStaNumVap: 2, VipStaNumIc: 2
WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][C8E2-xxxx-xxxx]:SeqNo[14516] [DHCP] DHCP discover Recved from target
WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][C8E2-xxxx-xxxx]:SeqNo[14516] [DHCP] DHCP discover elapsed[0 ms] Entering rx reorder
WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][C8E2-xxxx-xxxx]:SeqNo[14516] [DHCP] DHCP discover elapsed[0 ms] Exiting rx reorder for release
WIFI/7/BTRACE:[BTRACE][WLAN_WIFI][C8E2-xxxx-xxxx]:SeqNo[14516] [DHCP] DHCP discover elapsed[0 ms] Success to send pkt to software switch
WSRV/7/KEYPRO_TRACE:STA=c8e2-xxxx-xxxx:Dhcp Adapt receive dhcppackt(dhcp:1, dhcpv6:0).
WSRV/7/KEYPRO_TRACE:STA=c8e2-xxxx-xxxx:[DHCP] DHCP adapt receive DHCP packet, v4 flag:1, v6 flag:0. LINE: 2429.
WSRV/7/KEYPRO_TRACE:STA=c8e2-xxxx-xxxx:[DHCP] DHCP receive DHCP v4 packet from Ether. LINE 2510
查看到终端发送DHCP请求,DHCP服务器未响应,需检查交换机到DHCP服务器,怀疑是防火墙安全策略禁止。

7、在防火墙新加安全策略允许新地址段200.200.0.0/16到AC/核心交换机管理段10.10.10.0/24
  终端可以正常获取200.200.0.10地址
终端无法弹出portal页面
终端ping portal地址172.31.1.10不通,总部portal地址有限制,需在职场将200地址段转换为10.13.0.1/24(自定义地址段),访问portal服务器是以10.13.0.1去访问,在职场防火墙NAT策略添加后,终端可以弹出portal页面。

终端一直反复弹portal页面。
url-template name SSID3		
 url http://portal.test.com:8080/portal 	
 url-parameter ssid ssid redirect-url url user-ipaddress userip #携带用户源地址认证

终端portal页面正常。

提示:新加portal服务器,需要在AC-Campus的设备管理中找到职场的AC设备开启portal,并输入共享密钥,新的终端地址段。
image.png

出现新的终端连接了SSID3,却不能正常匹配认证规则和授权规则,需要在AC-Campus中‘资源-用户-终端IP地址范围’填加新的地址段,在认证规则和授权规则的位置信息中的终端IP地址范围关联新加终端IP地址范围即可。

Y.


    Network engineer