H3C AC进行Portal认证

公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批，采购设备，抽休息时间把无线网络进行了改造，并加入了Portal 认证，方便来宾用户，记录下整个安装配置流程。

在网络的前期规划中，使用了三层交换机，将地址分段，并开启DHCP，192.168.0.1 为路由器，192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组，192.168.3.0/24 分配给无线设备使用，扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉，接入WX3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是 Office-WIFI （办公使用） Office-WIFI-5G （办公5G频段）Office-Guest （无密码提供给来宾使用，需要Portal 认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块，无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖，直接使用二层模式即可，不用配置交换面板。

配置无线控制器IP，将WX3010E的1端口连接PC，设置PC网卡IP 192.168.0.2 子网255.255.255.0 给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome 浏览器，在使用IE11和Firefox 中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9 步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

问题描述：Portal网页认证时认证页面无法弹出;解决方案：1.页面提示“portal server获取不到设备信息或者没有回应req_info报文”时，请参考百度文库“portal server获取不到设备信息或者没有回应req_info报文时的解决办法”；2.浏览器的HTTP报文头不符合规范时会导致portal页面无法弹出，表现为部分终端正常，部分终端弹出空白页面，对于v7版本iMC需要将如下选项改成“否”对于V5版本iMC需要修改配置文件iMC\portal\conf\portal.properties解决，将如下参数修改为“false”即可；3.使用IE8有问题，使用其他浏览器没有问题；IE8浏览器本身有些问题，建议更换浏览器使用；4.确认认证终端是否可以ping通portal server服务器的IP地址；portal认证时，确认认证终端可以ping通服务器地址，否则页面无法弹出；5.确认jserver（plat与eia集中式部署）或者webserver（分布式部署）进程是否正常；6.确认中间网络防火墙有无放开对应的端口，portal页面认证时需要放通终端到iMC服务器的8080或者80端口；7.输入IP地址可以弹出，输入域名无法弹出portal页面，这是由于认证终端不能访问DNS服务器导致，在设备侧增加一条到NDS server的free-rule即可；8.确认设备侧配置的重定向URL是否正确，正确配置为：Portal server xx ip x.x.x.x key xxx url http://x.x.x.x:8080/portal附：portal认证典型配置iMC UAM结合WX 3010做无线portal认证并基于不同SSID/操作系统推送不同认证页面的典型配置一、组网需求：Portal网页认证方式简单，无需客户端，且适用于各种终端如PC、手机、pad等。

本案例介绍了无线AC结合iMC进行portal网页的认证方式，并且能够实现根据不同的SSID或者操作系统推送不同的认证页面，从而满足客户多样化的需求。

不能修改默‎认的页面。

您可以自行‎主备por‎t al 认证页面，我司不提供‎p orta‎l页面。

然后参考以‎下案例配置‎：1 配置举例1.1 组网需求本配置举例‎中的AC使‎用的是H3‎CWX50‎00系列无‎线交换机设‎备，IP地址为‎192.168.0.1/24。

Clien‎t和AP通‎过DHCP‎服务器获取‎IP地址。

WX AC上VL‎A N1地址‎为192.168.0.254、VLAN2‎地址为19‎2.168.1.254。

WA222‎0X-AG属于V‎L AN1，无线客户端‎属于VLA‎N2。

图1-1 本地Por‎tal Serve‎r组网图1.2 配置思路配置Por‎t al定制‎包并上传配置本地P‎o rtal‎认证1.3 使用版本[AC]_di verH3C Comwa‎r e Platf‎o rm Softw‎a reComwa‎r e Softw‎a re, Versi‎o n 5.20, Beta 1107P‎01Comwa‎r e Platf‎o rm Softw‎a re Versi‎o n COMWA‎R EV50‎0R002‎B58D0‎08 H3C WX500‎2 Softw‎a re Versi‎o n V100R‎001B5‎8D008‎Copyr‎i ght (c) 2004-2008 Hangz‎h ou H3C Tech. Co., Ltd. All right‎s reser‎v ed. Compi‎l ed Oct 14 2008 15:44:07, RELEA‎S E SOFTW‎A REH3C WX500‎2 uptim‎e is 0 week, 0 day, 0 hour, 50 minut‎e sCPU type: BCM MIPS 1250 700MH‎z512M bytes‎DDR SDRAM‎Memor‎y32M bytes‎Flash‎Memor‎yPcb Versi‎o n: BLogic‎ Versi‎o n: 1.0Basic‎ BootR‎O M Versi‎o n: 1.16Exten‎d BootR‎O M Versi‎o n: 1.16[SLOT 1]CON (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/2 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]M-E1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[AC]1.4 配置步骤1. 配置信息：#versi‎o n 5.20, Beta 1107P‎01#sysna‎m e AC#domai‎n defau‎l t enabl‎e syste‎m#telne‎t serve‎r enabl‎e#port-secur‎i ty enabl‎e#porta‎l serve‎r local‎ip 192.168.0.254porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n anyporta‎l local‎-serve‎r httpporta‎l local‎-serve‎r bind ssid porta‎l file http.zip#vlan 1#vlan 2 to 3#domai‎n syste‎macces‎s-limit‎disab‎l estate‎activ‎eidle-cut disab‎l eself-servi‎c e-url disab‎l e#dhcp serve‎r ip-pool 1netwo‎r k 192.168.0.0 mask 255.255.255.0gatew‎a y-list 192.168.0.254dns-list 20.20.20.1#dhcp serve‎r ip-pool 2netwo‎r k 192.168.1.0 mask 255.255.255.0gatew‎a y-list 192.168.1.254#dhcp serve‎r ip-pool 3netwo‎r k 192.168.2.0 mask 255.255.255.0gatew‎a y-list 192.168.2.254#user-group‎syste‎m#local‎-user 1passw‎o rd simpl‎e 1servi‎c e-type porta‎llocal‎-user admin‎passw‎o rd simpl‎e admin‎autho‎r izat‎i on-attri‎b ute level‎3servi‎c e-type telne‎tlocal‎-user porta‎lpassw‎o rd simpl‎e porta‎lservi‎c e-type porta‎l#wlan rrmdot11‎a manda‎t ory-rate 6 12 24dot11‎a suppo‎r ted-rate 9 18 36 48 54dot11‎b manda‎t ory-rate 1 2dot11‎b suppo‎r ted-rate 5.5 11dot11‎g manda‎t ory-rate 1 2 5.5 11dot11‎g suppo‎r ted-rate 6 9 12 18 24 36 48 54 #wlan radio‎-polic‎y 1clien‎t max-count‎4#wlan servi‎c e-templ‎a te 1 clear‎ssid porta‎lbind WLAN-ESS 1servi‎c e-templ‎a te enabl‎e#wlan servi‎c e-templ‎a te 2 clear‎ssid porta‎l2bind WLAN-ESS 2servi‎c e-templ‎a te enabl‎e#inter‎f ace NULL0‎#inter‎f ace Vlan-inter‎f ace1‎ip addre‎s s 192.168.0.254 255.255.255.0 #inter‎f ace Vlan-inter‎f ace2‎ip addre‎s s 192.168.1.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Vlan-inter‎f ace3‎ip addre‎s s 192.168.2.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/2#inter‎f ace M-Ether‎n et1/0/1#inter‎f ace WLAN-ESS1port acces‎s vlan 2#inter‎f ace WLAN-ESS2port acces‎s vlan 3#wlan ap a model‎WA222‎0X-AGseria‎l-id 21023‎5A29G‎007C0‎00010‎radio‎1radio‎2servi‎c e-templ‎a te 1servi‎c e-templ‎a te 2radio‎enabl‎e#dhcp enabl‎e#load xml-confi‎g urat‎i on#user-inter‎f ace aux 0user-inter‎f ace vty 0 4authe‎n tica‎t ion-mode schem‎euser privi‎l ege level‎3#retur‎n[AC]2. 主要配置步‎骤# 配置por‎t al定制‎包,在AC Flash‎中新建一个‎名为por‎t al的文‎件夹<AC>mkdir‎porta‎l# 通过dir‎查看Fla‎s h中的创‎建文件的信‎息#查看当前p‎o rtal‎文件夹信息‎<AC>cd porta‎l<AC>dir# 上传por‎t al的定‎制文件ht‎t p.zip到f‎l ash:/porta‎l中<AC>tftp 192.168.1.1 get http.zip# 配置por‎t al本地‎认证的用户‎[AC]local‎-user porta‎l[AC-luser‎-porta‎l]servi‎c e-type porta‎l[AC-luser‎-porta‎l]passw‎o rd simpl‎e porta‎l# 配置无线服‎务模板[AC]wlan servi‎c e-templ‎a te 1 clear‎[AC-wlan-st-1]ssid porta‎l[AC-wlan-st-1]bind WLAN-ESS 1[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit[AC]wlan servi‎c e-templ‎a te 2 clear‎[AC-wlan-st-1]ssid porta‎l2[AC-wlan-st-1]bind WLAN-ESS 2[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit# 配置无线口‎，将无线口添‎加到起Po‎r tal的‎v lan [AC]inter‎f ace WLAN-BSS 1[AC-WLAN-BSS1] port acces‎s vlan 2[AC-WLAN-BSS1]quit[AC]inter‎f ace WLAN-BSS 2[AC-WLAN-BSS2] port acces‎s vlan 3[AC-WLAN-BSS2]quit# 在AC下绑‎定无线服务‎模板[AC-wlan-ap-a]seria‎l-id 21023‎5A29G‎007C0‎00010‎[AC-wlan-ap-a]radio‎2[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 1[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 2[AC-wlan-ap-a-radio‎-2]radio‎enabl‎e[AC-wlan-ap-a-radio‎-2]quit# 配置Por‎t al Serve‎r和免认证‎规则[AC]porta‎l serve‎r local‎ip 192.168.0.254[AC]porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n any [AC]porta‎l local‎-serve‎r http[AC]porta‎l local‎-serve‎r bind ssid porta‎l file http.zip[AC]inter‎f ace Vlan-inter‎f ace 2[AC-Vlan-inter‎f ace2‎]ip addre‎s s 192.168.1.254 255.255.255.0[AC-Vlan-inter‎f ace2‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace2‎]quit[AC]inter‎f ace Vlan-inter‎f ace 3[AC-Vlan-inter‎f ace3‎]ip addre‎s s 192.168.2.254 255.255.255.0[AC-Vlan-inter‎f ace3‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace3‎]quit3. 验证结果连接ssi‎d:porta‎l在STA‎上IE直接‎输入任意I‎P地址,会推出定制‎的http‎认证页面.(1) 认证页面(2) 输入用户名‎和密码,登录成功.(3)(4) 推出por‎t al认证‎下线成功页‎面连接ssi‎d:porta‎l2在ST‎A上IE直‎接输入任意‎I P地址,会推出定制‎的http‎认证页面.(5) 认证页面(6)(7) 输入用户名‎和密码,登录成功(8) .(9) 推出por‎t al认证‎下线成功页‎面(10)4. 在AC上查‎看认证结果‎使用dis‎p lay porta‎l user inter‎f ace Vlan-inter‎f ace 查看不同s‎s id （且属于不同‎网段）连接上来的‎p orta‎l认证用户‎。

h3c无线ac管理ap管理web配置公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批，采购设备，抽休息时间把无线网络进行了改造，并加入了Portal认证，方便来宾用户，记录下整个安装配置流程。

在网络的前期规划中，使用了三层交换机，将地址分段，并开启DHCP，192.168.0.1为路由器，192.168.1.0/24段分配给内部服务器使用,192.168.2.0/24分配给工作组，192.168.3.0/24分配给无线设备使用，扩容升级直接将原有192.168.3.0/24段的2台AP拿掉，接入W某3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是Office-WIFI（办公使用）Office-WIFI-5G（办公5G频段）Office-Guet（无密码提供给来宾使用，需要Portal认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal认证则多花费了一点时间。

W某3010E无线控制器内部包含了一个交换面板和无线控制器两个模块，无线控制器WEB网管默认IP为192.168.0.100交换面板WEB网管默认IP为192.168.0.101用户名密码均为admin,因需求只需要实现无线覆盖，直接使用二层模式即可，不用配置交换面板。

配置无线控制器IP，将W某3010E的1端口连接PC，设置PC网卡IP192.168.0.2子网255.255.255.0给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome浏览器，在使用IE11和Firefo某中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

华三AC对接外部Portal开通aWiFi操作手册杭州华三通信技术有限公司2015年06月华三AC开通aWiFi操作手册1 BAS侧准备工作说明1、提前规划好aWiFi所用的业务vlan，须与目前ChinaNet的内外层业务vlan均不相同。

2、分配给无线客户端的公网IP地址在BAS上可以和ChinaNet共用地址池。

2 AC版本要求华三AC的软件版本应为V5.20-R2308P14版本，如低于此版本则无法与Aruba的认证平台互通，请各分公司联系华三升级AC版本。

3AC插卡全局设置1、在AC插卡的上联端口开启dhcp-snooping trust信任端口功能。

WCMB型号AC插卡：[H3C-AC]interface Ten-GigabitEthernet1/0/1[H3C-AC-Ten-GigabitEthernet1/0/1]dhcp-snooping trustWCMD型号AC插卡：[H3C-AC]interface BridgeAggrigation1[H3C-AC-BridgeAggrigation1]dhcp-snooping trust注：WX6103、S7506E和WX7306型号机框配套的都是WCMB型号的AC插卡，仅有Ten-GigabitEthernet1/0/1上联。

而WX6108E型号机框配套的是WCMD型号AC插卡，dhcp-snooping trust仅需在BridgeAggrigation1汇聚端口下启用，无需在其成员的Ten-GigabitEthernet 1/0/1和1/0/2接口下启用，否则会造成ChinaNet用户获取不到IP地址。

2、全局开启DHCP-SNOOPING功能。

[H3C-AC]dhcp-snooping注：必须先启用上联端口的trust功能再全局启用dhcp-snooping功能，否则会造成ChinaNet用户获取不到IP地址。

3、创建用于aWiFi的无线业务接口，并设置归属具体vlan，如vlan1500。

公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批，采购设备，抽休息时间把无线网络进行了改造，并加入了Portal 认证，方便来宾用户，记录下整个安装配置流程。

在网络的前期规划中，使用了三层交换机，将地址分段，并开启DHCP，192.168.0.1 为路由器，192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组，192.168.3.0/24 分配给无线设备使用，扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉，接入WX3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是Office-WIFI （办公使用）Office-WIFI-5G （办公5G频段）Office-Guest （无密码提供给来宾使用，需要Portal 认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块，无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖，直接使用二层模式即可，不用配置交换面板。

配置无线控制器IP，将WX3010E的1端口连接PC，设置PC网卡IP 192.168.0.2 子网 255.255.255.0 给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome 浏览器，在使用IE11和Firefox 中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9 步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

无线portal 认证流程无线Portal认证流程指的是用户通过无线网络上网时，需要进行身份验证和登录的流程。

以下是一个典型的无线Portal认证流程。

1.打开无线设备：用户首先打开他们的无线设备（如手机、笔记本电脑、平板电脑等）。

设备将会扫描附近的无线网络。

2.选择网络：在扫描结果中，用户将会看到附近可用的无线网络列表。

用户需要选择要连接的网络，通常是提供免费无线网络服务的公共场所、酒店、咖啡店等。

3. 开始认证：一旦选择了网络，设备将与该网络建立连接。

连接建立后，用户尝试访问任何网站或者应用程序时，他们将被自动重定向到无线Portal认证页面。

4.登录/注册：用户在认证页面上需要提供身份验证信息。

这可能包括手机号码、电子邮件地址、用户名和密码等。

如果用户之前没有注册过，他们可能需要先注册一个帐户。

5.接受使用条款：用户在认证页面上需要接受使用条款和隐私政策。

这通常是一个勾选框或按钮，用户必须勾选或点击才能继续。

6.认证验证：一旦用户提供了所需的信息并接受了使用条款，认证服务器将验证用户的信息。

验证可能包括检查用户名和密码的正确性，发送验证码到用户提供的手机号码或电子邮件地址等。

7.认证成功：如果用户提供的信息是有效的且认证验证通过，用户将被授予使用无线网络的权限。

此时用户可以开始上网，访问因认证限制而受到限制的网站和应用。

8. 帐期管理：在无线Portal认证过程中，用户可能还需要提供一些附加信息，以便进行帐期管理。

例如，他们可能需要提供信用卡信息以便支付上网费用或者验证他们已经支付了费用。

以上是一个典型的无线Portal认证流程。

在实际应用中，可能会有一些流程上的差异，特别是在不同的无线网络提供商之间。

然而，总体来说，这个流程是相似的，旨在确保用户的身份和访问控制。

公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批，采购设备，抽休息时间把无线网络进行了改造，并加入了Portal 认证，方便来宾用户，记录下整个安装配置流程。

在网络的前期规划中，使用了三层交换机，将地址分段，并开启DHCP，192.168.0.1 为路由器，192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组，192.168.3.0/24 分配给无线设备使用，扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉，接入WX3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是Office-WIFI （办公使用）Office-WIFI-5G （办公5G频段）Office-Guest （无密码提供给来宾使用，需要Portal 认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块，无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖，直接使用二层模式即可，不用配置交换面板。

配置无线控制器IP，将WX3010E的1端口连接PC，设置PC网卡IP 192.168.0.2 子网 255.255.255.0 给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome 浏览器，在使用IE11和Firefox 中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9 步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

无线portal认证流程无线portal认证流程是指在使用无线网络时，通过访问一个特定网页或应用程序进行身份验证，以确保只有经过授权的用户可以访问网络。

这是无线网络安全的重要组成部分，特别是在公共场所、企事业单位和教育机构等地方。

以下是无线portal认证流程的详细介绍，包括了准备工作、身份验证、访问控制和错误处理等方面的内容。

1.准备工作在开始认证流程之前，用户需要确保自己具备以下条件：-一台支持无线网络连接的设备，如笔记本电脑、智能手机或平板电脑。

-已经连接上无线局域网（WLAN）的设备。

-一个正常工作且与无线局域网相连的无线路由器或接入点。

2.身份验证-用户连接到无线局域网后，无法访问互联网或其他资源。

这时，用户尝试访问任何网站都会自动重定向到认证页面或弹出验证窗口。

-用户输入指定的认证网址或启动认证应用程序，如浏览器、客户端等。

-认证页面或应用程序展示一个登录界面，用户需要输入自己的凭据，如用户名和密码。

-提交凭据后，认证服务器对用户进行认证，验证身份信息的正确性。

3.访问控制-如果用户输入的凭据正确，认证服务器会向用户的设备发送一个授权令牌。

-用户的设备和认证服务器之间的连接会自动刷新，以确保设备可以正常访问网络。

-设备会定期发送心跳包到认证服务器，以保持与服务器的连接和授权状态。

4.错误处理-如果用户输入的凭据错误，认证页面或应用程序会给出相应的错误提示，并要求用户重新输入凭据。

-如果用户多次输入错误的凭据，认证页面或应用程序可能会锁定用户账号一段时间，以防止恶意攻击。

无线portal认证流程是保障无线网络安全的重要手段之一、它可以限制未经授权的访问，防止黑客入侵和数据泄漏。

同时，它也可以提供用户身份追踪和访问统计等功能，便于管理者了解网络使用情况和资源分配。

因此，在设计和实施无线网络时，认证流程的安全性和有效性都需要得到充分的考虑和重视。

一、组网需求：在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。

二、组网图：三、配置步骤：1、AC版本要求WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和opti on 60（终端厂商）信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看内部版本号：<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserve d.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type，注意这里server-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJkOqX+ == url http://172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC内联口portal free-rule 0 source interface GigabitEthernet1/0/1 destination any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略，注意server-type必须选择extended模式，注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。

H3C⽆线配置5-本地转发模式下本地Portal认证典型配置举例1.组⽹需求AP和Client通过DHCP服务器获取IP地址，AC同时作为Portal认证服务器、Portal Web服务器，要求：· AC采⽤直接⽅式的Portal认证。

· Client在通过Portal认证前，只能访问Portal Web服务器；Client通过Portal认证后，可以访问外部⽹络。

· Client的数据流量直接由AP进⾏转发。

· ⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证。

2.配置思路· 为了使⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证，必须开启Portal⽤户漫游功能。

· 在采⽤本地转发模式的⽆线组⽹环境中，AC上没有Portal客户端的ARP表项，为了保证合法⽤户可以进⾏Portal认证，需要开启⽆线Portal客户端合法性检查功能。

· 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败，需要关闭Portal客户端ARP表项固化功能。

· 为了将AP的GigabitEthernet1/0/1接⼝加⼊本地转发的VLAN 200，需要使⽤⽂本⽂档编辑AP的配置⽂件，并将配置⽂件上传到AC存储介质上。

3.配置注意事项· 配置AP的序列号时请确保该序列号与AP唯⼀对应，AP的序列号可以通过AP设备背⾯的标签获取。

· 设备重定向给⽤户的Portal Web服务器的URL默认是不携带参数，需要根据实际应⽤⼿动添加需要携带的参数信息。

4.编辑AP配置⽂件# 使⽤⽂本⽂档编辑AP的配置⽂件，将配置⽂件命名为map.txt，并将配置⽂件上传到AC存储介质上。

配置⽂件内容和格式如下：System-viewvlan 200interface gigabitethernet1/0/1port link-type trunkport trunk permit vlan 2005.配置AC1）接⼝配置# 创建VLAN 100及其对应的VLAN接⼝，并为该接⼝配置IP地址。

H3C SecBlade IAG插卡Portal认证典型配置举例关键词：Portal AAA IAG 认证摘要：本文主要介绍H3C SecBalde IAG插卡Portal接入认证的典型配置。

缩略语：Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释AAA Authentication，Authorization，认证，授权，计费AccountingAC AccessController 访问控制器Point 访问点AP AccessAccessServer 宽带接入服务器BAS BroadCHAP Challenge Handshake Authentication挑战握手认证协议ProtocolWBAS Wireless Broad Access Server 无线宽带接入服务器BAS-IP 通常是接入客户端接口IPDHCP Dynamic Host Configuration Protocol 动态主机配置协议IAG Intelligent Application Gateway 智能应用网关NAI Network Access Identifier 网络访问识别NAS Network Access Server 网络访问服务器NAS-IP 通常是接portal server的接口IPRADIUS Remote Authentication Dial In User远程用户拨入服务ServiceWLAN Wireless Local Area Network 无线本地网目录1 Portal简介 (1)1.1 Portal系统组成 (1)1.2 Portal认证方式 (2)1.2.1 二层认证方式 (2)1.2.2 三层认证方式 (2)1. 直接认证方式 (2)2. 二次地址分配认证方式 (2)3. 跨网段Portal认证 (2)2 应用场合 (2)3 配置举例 (3)3.1 典型组网图 (3)3.2 使用版本 (4)3.3 配置准备 (5)3.4 典型配置 (5)3.4.1 直接Portal认证（Radius服务器认证） (5)1. 需求分析 (5)2. 组网图 (5)3. 配置步骤 (5)4. 验证结果 (12)5. 注意事项 (13)3.4.2 直接Portal认证（本地认证） (13)1. 需求分析 (13)2. 组网图 (13)3. 配置步骤 (13)4. 验证结果 (18)5. 注意事项 (19)3.4.3 直接Portal认证（IAG作为NAT网关） (19)1. 需求分析 (19)2. 组网图 (19)3. 典型配置步骤 (19)4. 验证结果 (26)5. 注意事项 (27)3.4.4 直接Portal认证（模糊VLAN终结） (27)1. 需求分析 (27)2. 组网图 (28)3. 配置步骤 (28)4. 验证结果 (29)5. 注意事项 (30)3.4.5 直接Portal认证（同时配置802.1X混合认证） (31)1. 需求分析 (31)2. 组网图 (31)3. 配置步骤 (31)4. 验证结果 (33)5. 注意事项 (37)3.4.6 直接Portal认证（双机热备） (37)1. 需求分析 (37)2. 组网图 (37)3. 配置步骤 (37)4. 验证结果 (41)5. 注意事项 (42)3.4.7 跨网段Portal认证 (43)1. 需求分析 (43)2. 组网图 (43)3. 配置步骤 (43)4. 验证结果 (44)5. 注意事项 (45)1 Portal简介Portal在英语中是入口的意思。

H3CWX系列AC实现Portal+LDAP功能的典型配置（账号的姓名使用中文）第一篇：H3C WX系列AC实现Portal+LDAP功能的典型配置(账号的姓名使用中文)WX系列AC实现Portal+LDAP功能的典型配置（账号的姓名使用中文）一、组网需求：WX系列AC、FIT AP、便携机（安装有无线网卡）、LDAP服务器二、组网图：本典型配置举例中AC使用WX5004无线控制器，AP和Client 通过DHCP方式获取IP地址。

WX5004上LDAP Server属于VLAN 100（网关192.168.100.1/24），AP属于VLAN 10（网关192.168.1.1/24），Client属于VLAN 20（网关192.168.2.1/24）。

三、特性介绍：LDAP是一种基于TCP/IP的目录访问协议，用于提供跨平台的、基于标准的目录服务。

LDAP协议的典型应用是用来保存系统的用户信息，如Microsoft的Windows操作系统就是使用了Active Directory Server来保存操作系统的用户、用户组等信息，用于用户登录Windows时的认证和授权。

LDAP的目录服务功能建立在Client/Server的基础之上。

所有的目录信息存储在LDAP服务器上。

LDAP服务器就是一系列实现目录协议并管理存储目录数据的数据库程序。

目前，Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server都是常用的LDAP服务器软件。

使用LDAP协议进行认证时，其基本的工作流程如下：（1）LDAP客户端使用LDAP服务器管理员DN与LDAP服务器进行绑定，与LDAP服务器建立连接并获得查询权限。

（2）LDAP客户端使用认证信息中的用户名构造查询条件，在LDAP服务器指定根目录下查询此用户，得到用户的DN。

H3C AC配置Port al认证之邮箱认证(V7)
组网环境：正常无线接入，AC需要具备对与邮箱服务器之间三层可通信
设备型号：W X3540H (仅举例，V7平台AC通用）
软件版本：R5223P01 (仅举例说明）
接口及I P:Mail Server 192.168.2.1 AC的V ian int20 192.168.2.2, AC的V ian i nt10 192.168.1.1 A P的I P192.168.1.2
洲Mail-Server AC AP Client
配置步骤
AC上开启D HC P服务，为无线客户端分配私网I P地址，用户通过此私网I P地址进行邮箱认证，在通过认证前，只能访问本地W e b服务器；
在通过邮箱认证后，可以访间非受限的互联网资源。

AC通过VLAN20接口连接外网与邮箱服务器通信。

(1)基本网络功能配置
＃创建VLAN10, 并进入VLAN10视图。

C lient将使用该VLAN接入无线网络。

system-view
[AC] vlan 10
[AC-vlan1 O] quit
＃创建VLAN20, 并进入VLAN20视图。

此VLAN用来配置NAT及通过D HCP获取公网IP地址。

[AC] vlan 20
[AC-vlan20] quit。

一、组网需求：在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Mac地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Ra dius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。

二、组网图：三、配置步骤：1、AC版本要求WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和optio n 60（终端厂商）信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看部版本号：<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights r eserved.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type，注意这里serve r-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJk OqX+== url 172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC联口portal free-rule 0 source interface GigabitEthernet1/0/1 destinat ion any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略，注意server-type必须选择extended模式，注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。