我们知道华为的企业级无线基础功能是没有自带短信认证的,如果客户想要应用在商城环境中,如何解决这个问题呢?
我们可以借助华为自己的短信认证平台或者利用第三方的设备进行,比如深信服的AC行为管理设备。
该文档为之前的配置案例,仅供大家参考和学习。
本文档主要介绍了如何将华为无线控制器与深信服AC设备结合,实现短信认证功能,以满足企业级无线网络在商场等环境中的应用需求。在没有自带短信认证的情况下,通过华为自身的短信认证平台或第三方设备(如深信服AC)来完成用户的身份验证。
配置过程分为两个部分:深信服AC端的配置和华为无线控制器的配置。
**深信服AC端配置**
1. **对接华为无线控制器**:设置与华为设备的通信接口,确保双方能够互相识别和通信。
2. **配置radius服务器**:深信服AC作为radius服务器,负责处理认证请求。
3. **配置认证策略**:定义用户接入网络时需要遵循的认证规则。
**华为无线控制器配置**
1. **新增外部portal服务器**:将深信服AC作为外部认证服务器添加到华为无线控制器中。
2. **配置radius服务器**:同样需要在华为无线控制器上配置radius服务器信息,与深信服AC保持一致。
3. **创建SSID模板**:定义无线网络的服务集标识符,供用户识别和连接。
4. **配置安全模板为open**:设置无线连接为开放模式,允许所有设备尝试连接。
5. **新建认证模板**:定义认证方式,通常与radius服务器相关联。
6. **创建portal模板**:定义portal页面的显示样式和认证流程。
7. **MAC接入模板**:通常可以使用系统默认模板,除非有特殊需求。
8. **配置免认证模板**:设置特定地址(如深信服AC地址和DNS服务器地址)无需认证即可访问。
9. **创建认证方案模板**:定义认证顺序,将radius设置为首选认证方式。
10. **创建VAP**:虚拟接入点,将所有配置的模板关联到VAP上。
11. **AP组中关联VAP**:将VAP分配给相应的AP组,确保所有接入点使用相同的配置。
12. **上线配置**:确认SSID的转发模式,配置DHCP VLAN池,并启用MAC优先,确保配置生效。
**故障排查**
在实施过程中可能会遇到终端无法弹出portal认证界面的问题,排查方法包括:
1. **检查公网IP访问**:通过尝试访问公网IP来判断网络是否正常,能否跳转至登录界面。
2. **检查AC对接配置**:核对华为无线控制器和深信服AC的配置,包括URL、共享密钥和对接IP。
3. **测试认证URL**:直接在终端浏览器输入认证URL,看能否正常打开认证界面。
4. **检查网络可达性**:确保客户端与深信服AC之间的网络连通性,同时检查免认证列表。
5. **DNS解析问题**:如果上述步骤均无误,可能是DNS解析问题,需要在免认证列表中添加DNS服务器,特别是华为R19版本。
在华为R20版本中,可能已经包含了DNS劫持功能,因此在某些情况下可能不再需要显式添加DNS到免认证列表。成功配置短信认证需要精确地同步两台设备的设置,并在出现故障时进行细致的排查,以确保用户能够顺利通过短信认证接入无线网络。
