华为无线控制器对接深信服AC做短信认证

我们知道华为的企业级无线基础功能是没有自带短信认证的，如果客户想要应用在商城环境中，如何解决这个问题呢？ 我们可以借助华为自己的短信认证平台或者利用第三方的设备进行，比如深信服的AC行为管理设备。 该文档为之前的配置案例，仅供大家参考和学习。 本文档主要介绍了如何将华为无线控制器与深信服AC设备结合，实现短信认证功能，以满足企业级无线网络在商场等环境中的应用需求。在没有自带短信认证的情况下，通过华为自身的短信认证平台或第三方设备（如深信服AC）来完成用户的身份验证。 配置过程分为两个部分：深信服AC端的配置和华为无线控制器的配置。 **深信服AC端配置** 1. **对接华为无线控制器**：设置与华为设备的通信接口，确保双方能够互相识别和通信。 2. **配置radius服务器**：深信服AC作为radius服务器，负责处理认证请求。 3. **配置认证策略**：定义用户接入网络时需要遵循的认证规则。 **华为无线控制器配置** 1. **新增外部portal服务器**：将深信服AC作为外部认证服务器添加到华为无线控制器中。 2. **配置radius服务器**：同样需要在华为无线控制器上配置radius服务器信息，与深信服AC保持一致。 3. **创建SSID模板**：定义无线网络的服务集标识符，供用户识别和连接。 4. **配置安全模板为open**：设置无线连接为开放模式，允许所有设备尝试连接。 5. **新建认证模板**：定义认证方式，通常与radius服务器相关联。 6. **创建portal模板**：定义portal页面的显示样式和认证流程。 7. **MAC接入模板**：通常可以使用系统默认模板，除非有特殊需求。 8. **配置免认证模板**：设置特定地址（如深信服AC地址和DNS服务器地址）无需认证即可访问。 9. **创建认证方案模板**：定义认证顺序，将radius设置为首选认证方式。 10. **创建VAP**：虚拟接入点，将所有配置的模板关联到VAP上。 11. **AP组中关联VAP**：将VAP分配给相应的AP组，确保所有接入点使用相同的配置。 12. **上线配置**：确认SSID的转发模式，配置DHCP VLAN池，并启用MAC优先，确保配置生效。 **故障排查** 在实施过程中可能会遇到终端无法弹出portal认证界面的问题，排查方法包括： 1. **检查公网IP访问**：通过尝试访问公网IP来判断网络是否正常，能否跳转至登录界面。 2. **检查AC对接配置**：核对华为无线控制器和深信服AC的配置，包括URL、共享密钥和对接IP。 3. **测试认证URL**：直接在终端浏览器输入认证URL，看能否正常打开认证界面。 4. **检查网络可达性**：确保客户端与深信服AC之间的网络连通性，同时检查免认证列表。 5. **DNS解析问题**：如果上述步骤均无误，可能是DNS解析问题，需要在免认证列表中添加DNS服务器，特别是华为R19版本。 在华为R20版本中，可能已经包含了DNS劫持功能，因此在某些情况下可能不再需要显式添加DNS到免认证列表。成功配置短信认证需要精确地同步两台设备的设置，并在出现故障时进行细致的排查，以确保用户能够顺利通过短信认证接入无线网络。