V7iMCportal认证典型配置案例解析

“微信连WIFI”Portal认证开局指导(V7)

portal free-rule 19 destination hostname
portal free-rule 20 destination hostname
portal free-rule 21 destination hostname
#
portal free-rule 13 destination hostname
portal free-rule 14 destination hostname
portal free-rule 15 destination hostname
#
portal web-server p1
if-match original-url http://10.1.0.6/redirect redirect-url http://y.y.y.y url-param-encryption
des key simple xxxxxxxx
#
注意事项2：
特殊重定向auth部分携带的用户属性，同portal重定向URL中的属性，需要携带哪
（根据经验看，以上 free-rule 就够用了，一般不需要配下面的）
portal free-rule 99 destination hostname *.weixin.*
2016-07-06
H3C 机密，未经许可不得扩散
第 4 页, 共 5 页
文档名称
文档密级
（前后要加个“.”再加“*”，避免太粗放） # 注意事项5：
2 配置方法及注意事项
微信连WIFI认证，基础还是Portal认证，首先按照常规portal进行配置。
注意事项1：（与版本有关）必须在web-server下配置下列特殊命令。蓝色部分是固定格式不能修改；

IMC平台S5500-EI交换机进行Portal认证典型配置

iMC与H3C S5500-EI交换机进行Portal 认证的典型配置组网图iMC配置以下配置均以V3.60-E6301版本为例，以系统管理员admin的权限登录iMC配置台(%iMCIP%:8080/imc，如bbb://192.168.1.133:8080/imc/ )，缺省密码为admin。

1.Portal配置创建portal位置组，这个位置组需包括所有认证客户端的IP位置，但注意要排除S55的位置和portal服务器的位置。

添加portal设备这个IP位置必须配置为启用portal认证的接口位置。

在某些设备的新版本中，可以通过portal nas-ip命令指定这个位置，但如果没有配置或者设备不支持该命令的情况下，必须配置为启用portal认证的接口位置，在本例中就是99.99.99.1。

配置端口组信息管理将刚才定义的IP位置组加入进来。

2.配置“服务”配置服务3.账号开户，申请定义好的服务4.增加接入设备增加了一个接入设备，若交换机上有多个位置，优先填写上行口位置。

立即生效基本配置至此完毕，可以用在客户端进行测试了。

交换机配置以下以H3C交换机S5500-EI作为BAS接入设备做配置介绍。

配置IP位置及路由IP、掩码、路由等需要根据实际情况修改配置，达到接入设备与iMC三层可达（即可以ping 通）的目的。

配置Radius认证策略及域配置Radius认证策略：[H3C]radius scheme imc[H3C-radius-imc]server-type extended --认证协议（扩展）[H3C-radius-imc]primary authentication 172.16.100.200 --iMC认证IP、端口[H3C-radius-imc]primary accounting 172.16.100.200 --iMC计费IP、端口[H3C-radius-imc]key authentication imc --认证密钥[H3C-radius-imc]key accounting imc --计费密钥(必须与认证密钥相同)[H3C-radius-imc]user-name-format without-domain –用户名格式（无域名）[H3C-radius-imc]nas-ip 172.16.100.1 –指定交换机向iMC发送报文的IP位置配置认证域：[H3C]domain imc[H3C-isp-imc]authentication portal radius-scheme imc[H3C-isp-imc]authorization portal radius-scheme imc[H3C-isp-imc]accounting portal radius-scheme imc注意：若交换机版本为comware v5版本，则domain配置命令略有不同。

直接portal认证实验总结

无线直接portal认证1.组网需求●用户通过无线SSID接入，根据业务需求，接入用户通过vlan20、vlan30和vlan40，3个网段接入，AP管理地址使用vlan10网段，所有网关在AC上，并且通过AC上的DHCP 获取地址。

●用户接入时需要启用portal认证。

2.组网图3.配置思路●在WX3024E上配置portal功能●配置IMC服务器4.配置信息●AC配置如下：[H3C_AC-1]disp cu#version 5.20, Release 3507P18#sysname H3C_AC-1#domain default enable h3c#telnet server enable#port-security enable#portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description _User#vlan 30description to_User#vlan 40description to_User#vlan 100description to_IMC#vlan 1000description to_Router#radius scheme imcserver-type extendedprimary authentication 192.168.1.11primary accounting 192.168.1.11key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38inas-ip 192.168.1.254#domain h3cauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 8.8.8.8option 43 hex 80070000 01C0A80A FE#dhcp server ip-pool vlan20network 172.16.20.0 mask 255.255.255.0gateway-list 172.16.20.254dns-list 8.8.8.8#dhcp server ip-pool vlan30network 172.16.30.0 mask 255.255.255.0gateway-list 172.16.30.254dns-list 8.8.8.8#dhcp server ip-pool vlan40network 172.16.40.0 mask 255.255.255.0gateway-list 172.16.40.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$v9m2UEc3AWP3KbkKm480OAgOcpMkD0pD authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 cryptossid H3C-VLAN20bind WLAN-ESS 20cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 2 cryptossid H3C-VLAN30bind WLAN-ESS 30cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 3 cryptossid H3C-VLAN40bind WLAN-ESS 40cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan ap-group default_groupap ap1#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 #interface NULL0#interface Vlan-interface1ip address 192.168.0.100 255.255.255.0#interface Vlan-interface10description to_Userip address 192.168.10.254 255.255.255.0#interface Vlan-interface20description to_Userip address 172.16.20.254 255.255.255.0portal server imc method direct#interface Vlan-interface30description to_Userip address 172.16.30.254 255.255.255.0#interface Vlan-interface40description to_User_vlan40ip address 172.16.40.254 255.255.255.0#interface Vlan-interface100description to_IMCip address 192.168.1.254 255.255.255.0#interface Vlan-interface1000description to_Routerip address 10.1.1.2 255.255.255.252#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface GigabitEthernet1/0/2port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface WLAN-ESS20port access vlan 20port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 #interface WLAN-ESS30port access vlan 30port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-ESS40port access vlan 40ort-security port-mode pskpport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 wlan ap ap1 model WA3620i-AGN id 1serial-id 210235A1BBC146000073radio 1service-template 1service-template 2service-template 3radio enableradio 2channel 6service-template 1service-template 2service-template 3radio enable#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#wlan ipsmalformed-detect-policy defaultsignature deauth_flood signature-id 1signature broadcast_deauth_flood signature-id 2 signature disassoc_flood signature-id 3 signature broadcast_disassoc_flood signature-id 4 signature eapol_logoff_flood signature-id 5 signature eap_success_flood signature-id 6 signature eap_failure_flood signature-id 7 signature pspoll_flood signature-id 8signature cts_flood signature-id 9signature rts_flood signature-id 10signature addba_req_flood signature-id 11 signature-policy defaultcountermeasure-policy defaultattack-detect-policy defaultvirtual-security-domain defaultattack-detect-policy defaultmalformed-detect-policy defaultsignature-policy defaultcountermeasure-policy default#dhcp server forbidden-ip 192.168.10.254 dhcp server forbidden-ip 172.16.20.254 dhcp server forbidden-ip 172.16.30.254 dhcp server forbidden-ip 172.16.40.254 #dhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return交换机配置如下<H3C-SW01>disp cu#version 5.20, Release 3507P18#sysname H3C-SW01#domain default enable system#telnet server enable#oap management-ip 192.168.0.100 slot 1 #password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description to_User-vlan20#vlan 30description to_User-vlan30#vlan 40description to_User-vlan40#vlan 100description to_IMC#vlan 1000description to_Router#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher $c$3$078okxl+RPQFofPe76YXbYryBRI3uMKv authorization-attribute level 3service-type telnet#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000#interface NULL0#interface Vlan-interface1ip address 192.168.0.101 255.255.255.0#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 20 30 40port trunk pvid vlan 10poe enable#interface GigabitEthernet1/0/2port access vlan 100poe enable#interface GigabitEthernet1/0/3port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 1000poe enable#interface GigabitEthernet1/0/4 poe enable#interface GigabitEthernet1/0/5 poe enable#interface GigabitEthernet1/0/6 poe enable#interface GigabitEthernet1/0/7 poe enable#interface GigabitEthernet1/0/8 poe enable#interface GigabitEthernet1/0/9 poe enable#interface GigabitEthernet1/0/10 poe enable#interface GigabitEthernet1/0/11 poe enable#interface GigabitEthernet1/0/12 poe enable#interface GigabitEthernet1/0/13 poe enable#interface GigabitEthernet1/0/14 poe enable#interface GigabitEthernet1/0/15 poe enable#interface GigabitEthernet1/0/16 poe enable#interface GigabitEthernet1/0/17 poe enable#interface GigabitEthernet1/0/18poe enable#interface GigabitEthernet1/0/19poe enable#interface GigabitEthernet1/0/20poe enable#interface GigabitEthernet1/0/21poe enable#interface GigabitEthernet1/0/22poe enable#interface GigabitEthernet1/0/23poe enable#interface GigabitEthernet1/0/24poe enable#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#interface GigabitEthernet1/0/29port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#interface GigabitEthernet1/0/30port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#user-interface aux 0user-interface vty 0 4authentication-mode schemeuser-interface vty 5 15#Return5.IMC配置：配置接入设备：在导航栏中选择“用户->接入策略管理->接入设备管理->接入设备配置”，点击<增加>按钮。

H3C 无线认证无感知登录

本地Portal无感知认证典型配置（V7）关键词:•本地portal•portal无感知作者：杨攀 2017年7月31日发布功能需求本案例介绍本地Portal认证无感知的典型配置，当客户端数量较少，且没有Portal服务器时，那么可以采用本地Portal认证无感知的方式来实现客户的无感知需求。

本案例不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本案例中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本案例假设您已了解Portal认证的特性。

组网信息及描述如图1所示，DHCP服务器为AP和Client分配IP地址。

现要求：·AC同时承担Portal Web服务器、Portal认证服务器职责。

·采用直接方式的Portal认证配置步骤一、配置AC（1）配置AC的接口# 创建VLAN1及其对应的VLAN接口，并为该接口配置IP地址。

AP将获取该IP地址与AC建立CAPWAP隧道。

<AC> system-view[AC] vlan 1[AC-vlan100] quit[AC] interface vlan-interface 1[AC-Vlan-interface100] ip address 192.168.0.20 24[AC-Vlan-interface100] quit# 在交换机上配置路由，保证启动Portal之前各Client和AC之间的路由可达。

（略）（2）配置客户端的网关# 创建VLAN 10 及其对应的VLAN接口，并为该接口配置IP地址,给客户端分配地址。

<AC> system-view[AC] vlan 10[AC-vlan10] quit[AC] interface vlan-interface 10[AC-Vlan-interface10] ip address 192.168.100.1 24[AC-Vlan-interface10] quit(3)配置无线服务# 创建无线服务模板st1，并进入无线服务模板视图。

iMC LDAP用户Portal快速认证一个常见配置问题

iMC LDAP用户Portal快速认证一个常见配置问题一、组网需求：无二、问题描述：触发条件1.iMC上设置有与Open LDAP对接的同步策略，且LDAP策略选择将LDAP密码同步到iMC上。

2.对LDAP用户启用Portal快速认证。

终端第一次上线，可以推出portal认证页面正常进行认证，且查看账号详细信息已绑定智能终端信息，Portal快速认证已生效。

但是，在终端下线后，再次关联网络，不推送页面且无法上线。

iMC配置台上接入失败日志中无相应账号认证失败记录。

三、问题分析：查看Portal调试日志有如下提示：2014-09-19 11:18:19.592[Portal服务器][调试(0)][16][ProxyRequestHandler::run]10.204.168.70 ; PORTAL_FAST_AUTH_QUERY(48) ; 60668 ; 199.204.0.222:2000 ; MAC地址绑定查询报文处理成功。

(0)……2014-09-19 11:18:19.593[Portal服务器][错误(160016)][174][RequestProcessor::loginEventProcess]用户名称xxxxxx或密码{SSHA}/vJY6ygo94TkbREwiMJEsjrvVaZKwFRNFnw=超长2014-09-19 11:18:19.593[Portal服务器][调试(0)][174][RequestProcessor::sendLoginRespToUser]errorCode = 1252014-09-19 11:18:19.593[Portal服务器][调试(0)][19][ProxyResponseDeviceHandler::run]10.204.168.70 ; PORTAL_FAST_AUTH_QUERY_RESPONSE(49) ; 60668 ; 199.204.0.222:2000 ; 用户智能终端的MAC地址已绑定，直接进行Radius认证。

iMC V7 EIA Portal自定义页面定制典型案例

一、组网需求：iMC UAM从V7版本开始除了改名为EIA外，还新增了很多功能特性，其中包括“终端页面定制功能”，之前版本如果客户有自定义Portal页面的需求，工作量很大，可能还涉及付费定制。

而V7 EIA版本开始，提供的“终端页面定制功能”缺省提供了丰富的Portal页面模板，包括PC和PHONE两种终端类型模板，用户可以非常方便地修改模板，包括增加链接、文字格式、背景图片等操作。

本文详细介绍了Portal页面定制的操作方法。

二、组网图：无。

三、配置步骤：Portal页面定制是指以直观的方式去绘制页面。

只需要用鼠标进行单击、拖拽等一些简单操作，即可轻松完成页面的绘制。

页面定制仅将生成的Portal页面呈现给终端用户，原有的Portal认证逻辑不变。

1.Portal页面定制的两种方式1.1使用EIA的Portal页面定制工具定制Portal页面，详细介绍如下：1)EIA的Portal页面定制工具菜单栏说明上图为EIA的Portal页面工具的菜单栏，说明如下：增加区段单击【增加区段】菜单，会在页面编辑窗口区域增加一个编辑层，操作员可以对此层进行任意编辑。

如下图所示：预览预览查看页面生成效果。

推荐使用IE10,Chrome,Firefox进行页面定制。

注：在IE10以下预览Phone定制页面进不支持模板背景色渐变的风格显示。

IE9以下有支持按钮，输入框圆角的显示。

不同手机浏览器显示的页面效果有所不同，因此Phone定制页面效果以实际显示在手机屏幕的效果为准。

保存保存绘制的页面，当单击绘制窗口中【保存】菜单时，会将定制页面中的内容保存至数据库中，下次打开绘制页面可以继续绘制。

发布单击【发布】菜单后，页面中的定制内容将会从数据库中取出保存至相应的jsp 文件中并发布到各个服务器。

同时注意，定制页面保存只是保存当前定制到数据库中，而发布命令执行的是先保存后发布。

设置单击【设置】菜单则弹出设置窗口，如下图所示：“显示服务类型”即是否显示登录框中的服务类型选项。

imc portal认证原理

imc portal认证原理IMC Portal是一个用于身份认证和授权的平台，它采用了先进的认证原理来确保用户的身份安全和数据的保密性。

本文将详细介绍IMC Portal的认证原理，并逐步解释其运作过程。

第一步：用户访问IMC Portal用户通过输入IMC Portal的网址或使用移动应用程序访问IMC Portal。

在访问之前，用户可以通过注册流程创建一个账户，或者直接使用现有的账户。

第二步：用户认证请求一旦用户访问IMC Portal，就会向服务器发送一个认证请求。

该请求包含了用户的标识信息，如用户名和密码。

除了标识信息，还可能包含其他认证因素，如二次验证码、指纹扫描或面部识别。

第三步：服务器接收认证请求服务器接收到认证请求后，会立即对请求进行验证。

验证的方式可以采用多种安全协议和算法，如SSL/TLS、HTTP Digest认证或OAuth。

这些协议和算法能够确保认证请求的机密性和完整性。

第四步：用户身份验证一旦服务器接收到认证请求，系统会使用存储在数据库中的用户信息与请求中的标识信息进行比对验证。

密码通常会进行加密处理，以确保用户信息的安全。

如果用户信息匹配成功，则表示用户通过了身份验证。

第五步：访问授权当用户通过身份验证后，服务器将根据用户的权限决定是否授权其访问IMC Portal。

授权信息通常也存储在用户数据库中，以便服务器能够根据用户的角色和权限进行决策。

如果用户被授权访问，则可以继续进入IMC Portal系统。

第六步：会话管理一旦用户被授权访问IMC Portal，服务器会创建一个唯一的会话标识，并将其与用户的认证信息关联起来。

会话标识通常是一个加密的令牌，用于确保用户的行为在整个会话期间都是可信的。

服务器还会检测会话是否过期、是否存在异常行为，以及是否需要重新验证用户身份。

第七步：访问IMC Portal一旦用户通过身份验证和访问授权，可以开始访问IMC Portal。

imc短信认证案例

imc短信认证案例
H3C iMC UAM（用户接入管理）不仅支持Portal认证，还针对Portal认证场景提供了简易注册页面，并结合短信平台、短信猫等发短信功能，让移动用户快速注册并接入网络。

以下是一个H3C iMC UAM的短信认证案例：
场景：旅客在机场需要关联机场提供的免费WIFI，并在注册页面输入手机号码，通过短信获取到账号和密码进行认证上网。

解决方案：
1. 在EIA（Easy IP Access）中配置短信认证功能，包括配置短信平台（如亿美通信网关）的相关参数，以及设置发送短信的内容和格式。

2. 在Portal页面上添加简易注册页面，用户输入手机号码并提交后，EIA 会自动向该手机号码发送包含帐号和密码的短信。

3. 用户收到短信后，可以直接使用帐号和密码进行上网认证。

以上方案可以满足用户在机场等场所快速注册并接入网络的需求，同时保证网络接入的安全性。

请注意，此方案需要亿美短信平台的授权信息（序列号、序列号密码和序列号Key），且网络必须路由可达。

如选择其他厂商短信平台，需要进行二次开发，请联系相关技术人员。

以上内容仅供参考，更多信息建议咨询H3C相关技术部门。

直接portal认证实验总结

无线直接portal认证1.组网需求●用户通过无线SSID接入，根据业务需求，接入用户通过vlan20、vlan30和vlan40，3个网段接入，AP管理地址使用vlan10网段，所有网关在AC上，并且通过AC上的DHCP 获取地址。

●用户接入时需要启用portal认证。

2.组网图3.配置思路●在WX3024E上配置portal功能●配置IMC服务器4.配置信息●AC配置如下：[H3C_AC-1]disp cu#version 5.20, Release 3507P18#sysname H3C_AC-1#domain default enable h3c#telnet server enable#port-security enable#portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description _User#vlan 30description to_User#vlan 40description to_User#vlan 100description to_IMC#vlan 1000description to_Router#radius scheme imcserver-type extendedprimary authentication 192.168.1.11primary accounting 192.168.1.11key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38inas-ip 192.168.1.254#domain h3cauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 8.8.8.8option 43 hex 80070000 01C0A80A FE#dhcp server ip-pool vlan20network 172.16.20.0 mask 255.255.255.0gateway-list 172.16.20.254dns-list 8.8.8.8#dhcp server ip-pool vlan30network 172.16.30.0 mask 255.255.255.0gateway-list 172.16.30.254dns-list 8.8.8.8#dhcp server ip-pool vlan40network 172.16.40.0 mask 255.255.255.0gateway-list 172.16.40.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$v9m2UEc3AWP3KbkKm480OAgOcpMkD0pD authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 cryptossid H3C-VLAN20bind WLAN-ESS 20cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 2 cryptossid H3C-VLAN30bind WLAN-ESS 30cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 3 cryptossid H3C-VLAN40bind WLAN-ESS 40cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan ap-group default_groupap ap1#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 #interface NULL0#interface Vlan-interface1ip address 192.168.0.100 255.255.255.0#interface Vlan-interface10description to_Userip address 192.168.10.254 255.255.255.0#interface Vlan-interface20description to_Userip address 172.16.20.254 255.255.255.0portal server imc method direct#interface Vlan-interface30description to_Userip address 172.16.30.254 255.255.255.0#interface Vlan-interface40description to_User_vlan40ip address 172.16.40.254 255.255.255.0#interface Vlan-interface100description to_IMCip address 192.168.1.254 255.255.255.0#interface Vlan-interface1000description to_Routerip address 10.1.1.2 255.255.255.252#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface GigabitEthernet1/0/2port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface WLAN-ESS20port access vlan 20port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 #interface WLAN-ESS30port access vlan 30port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-ESS40port access vlan 40ort-security port-mode pskpport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 wlan ap ap1 model WA3620i-AGN id 1serial-id 210235A1BBC146000073radio 1service-template 1service-template 2service-template 3radio enableradio 2channel 6service-template 1service-template 2service-template 3radio enable#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#wlan ipsmalformed-detect-policy defaultsignature deauth_flood signature-id 1signature broadcast_deauth_flood signature-id 2 signature disassoc_flood signature-id 3 signature broadcast_disassoc_flood signature-id 4 signature eapol_logoff_flood signature-id 5 signature eap_success_flood signature-id 6 signature eap_failure_flood signature-id 7 signature pspoll_flood signature-id 8signature cts_flood signature-id 9signature rts_flood signature-id 10signature addba_req_flood signature-id 11 signature-policy defaultcountermeasure-policy defaultattack-detect-policy defaultvirtual-security-domain defaultattack-detect-policy defaultmalformed-detect-policy defaultsignature-policy defaultcountermeasure-policy default#dhcp server forbidden-ip 192.168.10.254 dhcp server forbidden-ip 172.16.20.254 dhcp server forbidden-ip 172.16.30.254 dhcp server forbidden-ip 172.16.40.254 #dhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return交换机配置如下<H3C-SW01>disp cu#version 5.20, Release 3507P18#sysname H3C-SW01#domain default enable system#telnet server enable#oap management-ip 192.168.0.100 slot 1 #password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description to_User-vlan20#vlan 30description to_User-vlan30#vlan 40description to_User-vlan40#vlan 100description to_IMC#vlan 1000description to_Router#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher $c$3$078okxl+RPQFofPe76YXbYryBRI3uMKv authorization-attribute level 3service-type telnet#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000#interface NULL0#interface Vlan-interface1ip address 192.168.0.101 255.255.255.0#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 20 30 40port trunk pvid vlan 10poe enable#interface GigabitEthernet1/0/2port access vlan 100poe enable#interface GigabitEthernet1/0/3port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 1000poe enable#interface GigabitEthernet1/0/4 poe enable#interface GigabitEthernet1/0/5 poe enable#interface GigabitEthernet1/0/6 poe enable#interface GigabitEthernet1/0/7 poe enable#interface GigabitEthernet1/0/8 poe enable#interface GigabitEthernet1/0/9 poe enable#interface GigabitEthernet1/0/10 poe enable#interface GigabitEthernet1/0/11 poe enable#interface GigabitEthernet1/0/12 poe enable#interface GigabitEthernet1/0/13 poe enable#interface GigabitEthernet1/0/14 poe enable#interface GigabitEthernet1/0/15 poe enable#interface GigabitEthernet1/0/16 poe enable#interface GigabitEthernet1/0/17 poe enable#interface GigabitEthernet1/0/18poe enable#interface GigabitEthernet1/0/19poe enable#interface GigabitEthernet1/0/20poe enable#interface GigabitEthernet1/0/21poe enable#interface GigabitEthernet1/0/22poe enable#interface GigabitEthernet1/0/23poe enable#interface GigabitEthernet1/0/24poe enable#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#interface GigabitEthernet1/0/29port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#interface GigabitEthernet1/0/30port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#user-interface aux 0user-interface vty 0 4authentication-mode schemeuser-interface vty 5 15#Return5.IMC配置：配置接入设备：在导航栏中选择“用户->接入策略管理->接入设备管理->接入设备配置”，点击<增加>按钮。

华三无线v7简单配置案例

1. 组网需求如图1-10所示，AC旁挂在Switch上，Switch同时作为DHCP server为AP和Client 分配IP地址。

通过配置客户端在链路层使用WEP密钥12345接入无线网络。

2. 组网图图1-1 共享密钥认证配置组网图3. 配置步骤(1)创建无线服务模板# 创建无线服务模板service1。

<AC> system-view[AC] wlan service-template service1# 配置无线服务的SSID为service。

[AC-wlan-st-service1] ssid service(2)配置WEP并使能无线服务模板# 配置使用WEP40加密套件，配置密钥索引为2，使用明文的字符串12345作为共享密钥。

[AC-wlan-st-service1] cipher-suite wep40[AC-wlan-st-service1] wep key 2 wep40 pass-phrase simple 12345[AC-wlan-st-service1] wep key-id 2# 使能无线服务模板。

[AC-wlan-st-service1] service-template enable[AC-wlan-st-service1] quit(3)将无线服务模板绑定到radio1上# 创建手工AP，名称为ap1，并配置序列号。

[AC] wlan ap ap1 model WA4320i-ACN[AC-wlan-ap-ap1] serial-id 219801A0CNC138011454# 进入Radio 1视图。

[AC-wlan-ap-ap1] radio 1# 将无线服务模板绑定到Radio 1上，并开启射频。

[AC-wlan-ap-ap1-radio-1] service-template service1[AC-wlan-ap-ap1-radio-1] radio enable[AC-wlan-ap-ap1-radio-1] return4. 验证配置# 配置完成后，在AC上执行display wlan service-template命令，可以看到无线服务模板下安全信息的配置情况如下：<AC> display wlan service-template service1Service template name : service1SSID : serviceSSID-hide : DisabledUser-isolation : DisabledService template status : EnabledMaximum clients per BSS : 64Frame format : Dot3Seamless roam status : Disabled Seamless roam RSSI threshold : 50 Seamless roam RSSI gap : 20VLAN ID : 1AKM mode : Not configuredSecurity IE : Not configuredCipher suite : WEP40WEP key ID : 2TKIP countermeasure time : 0PTK lifetime : 43200 secGTK rekey : EnabledGTK rekey method : Time-basedGTK rekey time : 86400 secGTK rekey client-offline : EnabledUser authentication mode : BypassIntrusion protection : DisabledIntrusion protection mode : Temporary-blockTemporary block time : 180 secTemporary service stop time : 20 secFail VLAN ID : Not configured802.1X handshake : Disabled802.1X handshake secure : Disabled802.1X domain : Not configuredMAC-auth domain : Not configuredMax 802.1X users : 4096Max MAC-auth users : 4096802.1X re-authenticate : DisabledAuthorization fail mode : OnlineAccounting fail mode : OnlineAuthorization : PermittedKey derivation : N/APMF status : DisabledHotspot policy number : Not configuredForwarding policy status : Disabled Forwarding policy name : Not configuredFT status : DisabledQoS trust : PortQoS priority : 0(2)配置身份认证与密钥管理模式为PSK模式、加密套件为CCMP、安全信息元素为WPA并使能无线服务模板# 配置AKM为PSK，配置PSK密钥，使用明文的字符串12345678作为共享密钥。

Portal直接认证上下线过程简析

Portal直接认证上下线过程简析一、Portal直接认证上下线过程可以分为四个阶段1．客户端、接入设备之间的交互过程（HTTP重定向）客户端访问任意IP地址（1.1.1.1）的目的网页，AC作为接入设备在配置了Portal认证的接口伪装成客户端想要访问的目的网页，并通过HTTP重定向将Portal服务器的认证页面返回客户端。

客户端、接入设备、Portal服务器之间的交互过程（HTTP重定向）对应下图的HTTP-GET、HTTP重定向。

2．客户端、Portal服务器、接入设备之间的交互过程（认证前）客户端访问重定向的Portal服务器认证页面，输入用户名和密码，通过点击上线提交用户名和密码给Portal服务器。

Portal服务器通过与接入设备交互INFO 报文获取客户端相关信息，Portal服务器通过与接入设备交互CHALLENGE报文协商用于CHAP加密的Challenge（Portal服务器采用CHAP认证方式的情况，采用PAP认证方式时没有此过程）。

客户端、Portal服务器、接入设备之间的交互过程（认证前）对应下图的HTTP上线请求、REQ_INFO、ACK_INFO、REQ_CHALLENGE、ACK_CHALLENGE。

3．Portal服务器、接入设备、Radius服务器之间的交互过程（认证中）Portal服务器通过REQ_AUTH向接入设备发起认证，接入设备与Radius服务器进行通信，对用户信息进行认证，如果认证成功，接入设备回应Portal服务器ACK_AUTH告知客户端认证成功，Portal服务器通过AFF_ACK_AUTH对此再进行一次回应。

最后，接入设备向Radius服务器发起计费开始过程。

Portal服务器、接入设备、Radius服务器之间的交互过程（认证中）对应下图的REQ_AUTH、Access-Request、Access-Accept、ACK_AUTH、AFF_ACK_AUTH、Accouting- Request、Accouting- Response。

Portal网络技术协议介绍

Portal Server：使用本地的 50100 端口监听 BAS 设备发送的非响应类报文，使用目的端口2000 向 BAS 设备发送所有报文。
BAS：使用本地的 2000 端口监听 Portal Server 发送的所有报文。使用目的端口 50100 向Portal Server 发送非响应类报文。
CODE_PP_LOGOUT_REQUEST CODE_PP_LOGOUT_RESPONSE
REQ_LOGOUT
ACK_LOGOUT Radius-AccountingRequest Radius-AccountingResponse
16
Portal认证流程－iNode客户端认证方式
创建客户端Portal连接
portal server server-name ip ip-address [ key key-string | port port-id | url url-string ] *
配置举例： portal server iMC ip 192.168.0.1 key sharekey port 50100 url
19
异常情况分析（一）
PC异常下线（如PC掉电、直接关闭认证网页、iNode客户端异常退出）
BAS
iNode
Portal Kernel
CODE_PP_HANDSHAKE CODE_PP_HANDSHAKE_RESPONSE
AAA Server
REQ_LOGOUT ACK_LOGOUT
..... Timeout
portal server imc user-sync //使能用户心跳
27
目录
Portal概述 Portal典型组网 Portal协议原理 Portal典型配置 FAQ

V7.1iMCEIAPortal无感知认证的典型配置全解

V7.1 iMC EIA Portal无感知认证的典型配置一、组网需求：在企业、学校或其他环境中使用智能终端进行Portal认证上线，并且在使用过程中可能会出现频繁的上线、下线操作。

而Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。

用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。

用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAC地址保存到数据库中。

当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。

本案例主要实现智能终端如何进行Portal无感知认证以及如何让非智能终端也实现Portal无感知认证。

二、组网图：无。

版本：iMC EIA 7.1 E0303三、配置步骤：第一部分：iMC侧配置1.增加需要无感知认证的终端IP地址组2.增加portal设备输入设备名“5004”、IP地址“192.168.55.1”和密钥\确认密钥“admin”，并选择组网方式直连，其他参数保持默认即可。

几个注意点：1）密钥必须与设备上配置的Portal服务器密钥保持一致。

2）增加的Portal设备IP地址必须和设备上配置的Portal nas-ip保持一致，设备上如果没有手工指定的话则Portal nas-ip默认为启用Portal认证的接口IP地址。

3）组网方式需要和设备上配置的Portal server xx method direct对应。

其中认证的客户端IP如果和设备启用Portal认证的接口IP属于同网段则为直连方式，跨网段则为三层方式。

3.增加Portal设备的端口组信息，注意无感知认证这一项选择“支持”，否则用户在该端口组对应的端口上不能进行Portal无感知认证。

4.查看Portal服务器配置这里有两个需要注意的地方：1）设备上配置的Portal server URL必须和此处的Portal主页URL保持一致。

IPV6环境结合iMC UAM做Portal认证配置案例

IPV6环境结合iMC UAM做Portal认证配置案例一、组网二、配置1、iMC配置IPV6环境的Portal认证和IPV4基本一致，在开局规划阶段最好给IMC服务器规划出一个V4/V6的双栈地址。

在安装部署UAM时分别配置上V4/V6地址。

1）配置用户服务，用户接入管理>>服务配置管理2)配置接入设备。

用户接入管理》接入设备管理》增加接入设备，点击增加IPV6设备。

3)配置PORTAL服务。

用户接入管理》PORTAL服务管理》服务器配置，增加服务类型（方便认证时可以通过下拉框的方式选取对应的服务）。

4)配置IP地址组，用户接入管理》Portal服务管理》IP地址组管理，点击增加。

IP地址组用于Portal认证的用户地址组。

5)增加PORTAL网关设备。

用户接入管理》Portal服务管理》设备管理。

点击增加,PORTAL版本选取3.0，这里输入的IP地址是用户的PORTAL网关地址。

6)配置PORTAL网关设备的端口组信息。

点击表中的端口组信息管理图标，进入配置页面。

点击增加端口组信息。

默认配置，IP地址组选为以上配置的V6地址组。

7)添加平台用户，账号之后所有关于IMC的配置完毕，但是还需要修改下系统参数配置。

如图。

用户接入配置》业务参数配置》系统配置。

启用IPV6选项改为是。

该配置需要重启IMC或者进程或者点击系统参数手工生效，才能生效。

2、设备侧配置。

PORTAL的设备侧配置Portal server iMC ipv6 3001::3 key cipher $c$3$AH6WozZlggEI39ZPYnWs84Lb0/UvcPrdurl http://[3001::3]:8080/Portal//开启PORTAL服务名称IMCradius scheme ipv6server-type extendedprimary authentication ipv6 3001::0003primary accounting ipv6 3001::0003key authentication cipher $c$3$XTwA6nu6Xq1vRhgQvvY+6oAVpcG4vkwT key accounting cipher $c$3$cut2e+1uljuwJgFtF8t+v5KBDfEN1A3Inas-ip ipv6 3001::0001 //配置AAA认证服务器。

关于iMC作员登录控制的典型配置

关于iMC操作员登录控制的典型配置一、组网需求：使用iMC产品的配置前台，需要先使用操作员登录进入管理前台，然后才能执行各种业务功能和操作。

二、组网图：实际参考iMC服务器的部署组网即可。

三、配置步骤：iMC操作员登录控制特性提供如下管理手段：1)不同的认证方式：操作员可以使用iMC内嵌的操作员管理功能对操作员进行认证，也可以与RADIUS或LDAP服务器联动实现操作员的身份认证。

2)登录地址控制：iMC可以控制客户端的登录地址，只允许用户从特定的地址（范围）登录iMC。

3)密码控制策略：如果操作员在iMC系统上进行密码认证，则可以控制密码的强度、失效日期等。

4)密码防破解：iMC可以有效防范通过连续尝试的方式破解密码的非法行为。

iMC管理员可使用不同的登录认证方式。

iMC提供三种操作员登录认证方式：1)简单密码认证：使用iMC系统数据库中存放的操作员密码进行身份认证，是最常用的身份认证方式。

2)RADIUS认证：使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名，以及用户在登录时输入的密码，到RADIUS服务器进行身份认证。

3)LDAP认证：使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名，以及用户在登录时输入的密码，到LDAP服务器进行身份认证。

通过如下步骤，可配置不同的登录认证方式：步骤一：配置操作员的登录认证方式。

在增加或修改操作员界面，选择“登录认证方式”中的一种。

如果选择了“简单密码认证”，则必须输入“登录密码”和“登录密码确认”；如果选择了“RADIUS认证”或“LDAP 认证”，则无需输入登录密码信息。

参考界面如下：图1-1 配置登录认证方式步骤二：如果使用“RADIUS认证”或“LDAP认证”，则同时需要对认证服务器进行配置。

使用iMC的管理员登录iMC配置台，在“系统管理”中，点击“认证服务器配置”，根据需要对RADIUS认证服务器或LDAP 认证服务器进行配置。

Portal典型配置举例

1。

18.1 Portal直接认证配置举例1。

组网需求•用户主机与接入设备Router直接相连，采用直接方式的Portal认证。

用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后,可以使用此IP地址访问非受限的互联网资源。

•采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

•采用RADIUS服务器作为认证/计费服务器。

2。

组网图图1-4 配置Portal直接认证组网图配置Router•配置RADIUS方案# 创建名字为rs1的RADIUS方案并进入该方案视图.〈Router> system-view[Router］ radius scheme rs1# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

［Router-radius—rs1］ primary authentication 192.168.0.112[Router—radius—rs1］ primary accounting 192.168。

0.112[Router-radius-rs1] key authentication simple radius[Router—radius-rs1］ key accounting simple radius＃配置发送给RADIUS服务器的用户名不携带ISP域名。

[Router—radius-rs1］ user—name—format without—domain［Router-radius-rs1] quit＃使能RADIUS session control功能。

［Router］ radius session-control enable•配置认证域＃创建并进入名字为dm1的ISP域。

［Router] domain dm1＃配置ISP域使用的RADIUS方案rs1。

imcportal无感知认证不生效问题解决办法

一、问题现象：在iMC侧配置portal无感知不生效，每次认证时都会弹出认证页面且认证通过；二、问题排查Porta无感知认证方案需要iMC与AC（目前只支持H3C无线AC设备）配合实现，所以需要检查两边的配置是否正确；1.AC侧配置[AC]portal server imc key xxx ip 1.1.1.1 url http://1.1.1.1:8080/portal[AC] portal mac-trigger server ip 1.1.1.1[AC-Vlan-interface6]portal server imc method direct[AC-Vlan-interface6]portal mac-tragger enable注意：接口下引用的portal server必须在全局视图下配置了portal无感知，否则即使配置了portal mac-trigger enable也不会生效；如下面配置，inter-vlan6下的配置的无感知就不会生效[AC]portal server imc key xxx ip 1.1.1.1 url http://1.1.1.1:8080/portal[AC]portal server portal key xxx ip 1.1.1.2 url http://1.1.1.1:8080/portal[AC] portal mac-trigger server ip 1.1.1.1[AC-Vlan-interface6]portal server portal method direct[AC-Vlan-interface6]portal mac-tragger enable2．iMC侧配置2.1 端口组配置Figure 1确认portal端口组开启了无感知功能；2.2 服务配置Figure 2 确认用户引用的服务中勾选了Portal无感知认证2.3 用户配置Figure 3 确认portal无感知认证最大绑定数不为02.4 绑定数限制Figure 4启用Portal无感知认证的终端都会在上图列表中，确认认账帐号已绑定的无感知终端数（图4）小于帐号设置里面设置的最大绑定终端数（图3）2.5 浏览器问题有的浏览器发出的HTTP报文头格式不标准，该报文头不包含认证终端的HTTP User Agent 值或者特征值不规范，Portal server无法根据该HTTP报文头匹配系统现有的HTTP特征值，对于这种情况可以如下处理：A:更换浏览器测试；B:抓包将该浏览器发出的HTTP报文头里面的USER-agent添加到EIA的HTTP特征库中；C:在EIA的HTTP特征库（图5、图6均添加）里面添加一条为ALL的特征值（不建议）；Figure 5Figure 62.6 手机可以无感知认证，PC不生效系统默认只有智能终端才可以实现无感知功能，普通PC不能做无感知认证，如果现场PC也需要实现无感知功能，则需要在图6里面添加PC的HTTP特征值，PC具体的特征值可以从图5里面查询得到，以win7为例：A:从图5里面查到win7的特征值为Windows NT 6.1B:将Winodws NT 6.1添加到图6里面如下C:win 7再次上线以后即可实现无感知功能。