中移动mac无感知认证   

i.功能介绍及应用场景  

1、应用场景    

    适用于为了满足中国移动的MAC短信认证需求的场景，由于手机终端的局限性和操作性，现有具备Portal认证方式和客户端需要多步操作才能完成认证过程，与2G/3G体验差距较大，而EAP-SIM认证受限于终端和网络，无法在短期内形成规模，因此该方案主要针对手机终端进行认证方案优化，提出普遍支持的终端MAC作为认证的交互信息，同时通过短信进行身份信息校验，实现MAC+短信的创新认证方案，附着即认证，可有效提升用户体验。      

MAC简化认证方案可适配所有Wi-Fi终端，用户通过短信开通MAC快速认证功能，即进行用户名绑定操作后，无需客户端或浏览器，附着热点后即可上网，大大降低了手机用户操作复杂度，同时兼容现网Web认证功能，客户端不受影响。    

2、功能简介：    

    MAC简化认证功能，是在用户关联后，NAS通过报文交互咨询绑定portal，用户是否进行了用户名绑定，若是未绑定，则AC向用户推送重定向链接，进行正常的二代认证流程，若绑定portal响应用户已进行用户名绑定，则AC不向用户推送重定向链接，等待绑定portal用户发起认证请求，此时直接由portal发起认证请求，无需用户在认证页面上提交用户名密码，达到简化用户认证操作的复杂度。    

    ii.     配置案例     

1、组网需求    

（1）AP通过二、三层设备加入AC中。      

（2）AC分别连接认证radius、绑定portal、重定向portal，其中绑定portal和重定向portal可以为同一个portal。    

2、组网拓扑    

3、配置要点    

（1）需要在配置CMCC认证的基础上增加MAC简化认证的相关配置      

（2）MAC简化认证和CMCC认证配置的主要区别在与wlansec接口下的配置    

4、配置步骤    

  1）配置portal服务器模板    

      Ruijie(config)#web-auth template CMCC-MAC v2  ----->配置模板名称为CMCC-MAC        

      Ruijie(config.tmplt.CMCC)#ip 172.16.10.11----->配置portal服务器ip地址    

      Ruijie(config.tmplt.CMCC)#url http://172.16.10.11/login.html  ----->配置portal重定向页面        

      Ruijie(config.tmplt.CMCC)#fmt cmcc-ext1  ----->配置重定向url格式为cmcc-ext1    

      注意：MAC简化认证要求url格式为fmt cmcc-ext1。    

      Ruijie(config.tmplt.CMCC)#exit

  2）开启AAA功能，并配置radius服务器    

      Ruijie(config)#aaa new-model  ----->开启AAA功能      

      Ruijie(config)#radius-server host 172.16.10.10 acct-port 1813 auth-port 1812 key ruijie  ----->配置radius服务器，包括ip、计费端口、认证端口、key，要求与服务器端保持一致        

  3）配置AAA认证组，并添加radius服务器    

      Ruijie(config)#aaa group server radius CMCC-MAC  ----->配置AAA认证组，组名为CMCC-MAC    

      Ruijie(config-gs-radius)#server 172.16.10.10  ----->添加radius服务器，注意计费端口和认证端口，默认情况下，计费端口为1813，认证端口为1812        

      Ruijie(config-gs-radius)#exit

  4）配置WEB认证/计费的方法列表，与对应的AAA认证组名关联    

      Ruijie(config)#aaa accounting network CMCC-MAC start-stop group CMCC-MAC  ----->配置计费方法列表        

      Ruijie(config)#aaa authentication web-auth CMCC-MAC group CMCC-MAC  ----->配置认证方法列表    

  5）配置sms流量检测参数    

      Ruijie(config)#web-auth sms-flow interval 1 threshold 102400  ----->用户关联SSID后，1分钟内放行该用户，流量超过102400B后，才会发起mac绑定查询        

  6）配置WLAN 100的NAS-ID为2011059103500460        

      Ruijie(config)# wlan-config 100        

      Ruijie(config-wlan)# nas-id 2011059103500460    

      Ruijie(config-wlan)# exit

  7）配置控制器的设备编号为2001.0591.035.00    

      Ruijie(config)# ac-controller        

      Ruijie(config-ac)# ac-name 2001.0591.035.00    

      Ruijie(config-ac)#exit

  8）在WLAN上应用Web认证    

      Ruijie(config)# wlansec 100        

      Ruijie(config-wlansec)#web-auth wlan-ac-ip 172.16.11.110  ----->配置wlan-ac-ip，即NAS-IP    

      Ruijie(config-wlansec)#web-auth winterface ruijie.ac.com  ----->配置winterface    

      Ruijie(config-wlansec)#web-auth bind-portal CMCC-MAC type local-spec  ----->配置绑定portal，及type，local-spec表示支持浙江移动的mac短信认证规范，group-spec表示支持中移动集团mac短信认证规范        

      Ruijie(config-wlansec)#web-auth portal CMCC-MAC  ----->wlan接口下指定重定向portal，此处根据实际组网，可配置重定向portal和绑定portal为同一个portal或不同portal        

      Ruijie(config-wlansec)#web-auth accounting v2 CMCC-MAC  ----->wlan接口下指定计费方法列表    

      Ruijie(config-wlansec)#web-auth authentication v2 CMCC-MAC  ----->wlan接口下指定认证方法列表        

      Ruijie(config-wlansec)#webauth  ----->开启web认证功能        

      Ruijie(config-wlansec)#end

      Ruijie#write

5、功能验证    

1）查看wlansec下的配置情况    

Ruijie(config)#show run | be wlansec 100        

 wlansec 100        

 web-auth wlan-ac-ip 172.16.11.110        

 web-auth winterface ruijie.ac.com        

 web-auth bind-portal CMCC-MAC type local-spec        

 web-auth accounting v2 CMCC-MAC        

 web-auth authentication v2 CMCC-MAC        

 web-auth portal CMCC-MAC        

 webauth    

2）查看sms流量检测的配置    

Ruijie (config)#show run | in sms        

web-auth sms-flow interval 1 threshold 102400