H3C无线本地portal认证

h3c portal免认证规则
摘要：
一、h3c portal 免认证规则简介
二、h3c portal 免认证规则的具体内容
1.设备自动发现
2.设备自动认证
3.用户手动认证
三、h3c portal 免认证规则的优势
四、h3c portal 免认证规则的应用场景
五、总结
正文：
h3c portal 免认证规则是一种网络安全策略，它允许设备在连接到网络时自动发现并认证，从而简化用户的认证流程，提高工作效率。

具体来说，h3c portal 免认证规则包含以下几个方面：
1.设备自动发现：当用户携带支持h3c portal 协议的设备连接到网络时，网络设备会自动发现并识别该设备，无需用户进行任何操作。

2.设备自动认证：在设备被发现后，网络设备会自动对该设备进行认证，认证成功后，设备即可正常访问网络资源。

3.用户手动认证：虽然h3c portal 免认证规则大大简化了认证流程，但在某些情况下，用户可能需要进行手动认证。

例如，当用户的设备不支持h3c portal 协议时，用户需要通过手动输入用户名和密码进行认证。

h3c portal 免认证规则的优势主要体现在提高了用户的工作效率，尤其是在需要频繁使用网络资源的情况下，用户无需每次都进行认证，大大节省了时间。

h3c portal 免认证规则主要应用于企业、学校等需要对大量设备进行管理的场景。

在这些场景中，设备数量庞大，如果每台设备都需要进行认证，将大大增加网络管理员的工作量。

而h3c portal 免认证规则则可以大大简化这一过程。

⽆线本地portal认证创建ISP域portal# 创建ISP域portal，并进⼊ISP域视图。

[H3C] domain portal# 为Portal⽤户配置AAA认证⽅法为本认证、不授权、不计费。

[H3C-isp-ldap]authentication portal local[H3C-isp-ldap] authorization portal none[H3C-isp-ldap] accounting portal none[H3C-isp-ldap] authorization-attribute idle-cut 15 1024[H3C] portal web-server newpt[H3C-portal-websvr-newpt] url http://192.168. 0.100/portal# 创建本地Portal Web 服务器，进⼊本地Portal Web服务器视图，并指定使⽤HTTP协议和客户端交互认证信息。

[H3C] portal local-web-server http#配置本地Portal Web服务器提供认证页⾯⽂件为xxx.zip提⽰：设备⾃带压缩包defaultfile.zip，也可以使⽤该压缩包。

[H3C–portal-local-websvr-http] default-logon-page defaultfile.zip[H3C–portal-local-websvr-http] quit配置⽆线服务[H3C] wlan service-template portal[H3C-wlan-st- portal] ssid portal[H3C-wlan-st- portal] vlan 1[H3C-wlan-st- portal] portal enable method direct[H3C-wlan-st- portal] portal domain portal[H3C-wlan-st- portal ] portal apply web-server newpt[H3C-wlan-st- portal] service-template enable添加本地⽤户#配置本地认证⽤户账号和密码[H3C]local-user test class network[H3C-luser-network-test]password simple test[H3C-luser-network-test]service-type portalportal弹窗portal free-rule 1 destination ip 114.114.114.114 32。

无线直接portal认证1.组网需求●用户通过无线SSID接入，根据业务需求，接入用户通过vlan20、vlan30和vlan40，3个网段接入，AP管理地址使用vlan10网段，所有网关在AC上，并且通过AC上的DHCP 获取地址。

●用户接入时需要启用portal认证。

2.组网图3.配置思路●在WX3024E上配置portal功能●配置IMC服务器4.配置信息●AC配置如下：[H3C_AC-1]disp cu#version 5.20, Release 3507P18#sysname H3C_AC-1#domain default enable h3c#telnet server enable#port-security enable#portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description _User#vlan 30description to_User#vlan 40description to_User#vlan 100description to_IMC#vlan 1000description to_Router#radius scheme imcserver-type extendedprimary authentication 192.168.1.11primary accounting 192.168.1.11key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38inas-ip 192.168.1.254#domain h3cauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 8.8.8.8option 43 hex 80070000 01C0A80A FE#dhcp server ip-pool vlan20network 172.16.20.0 mask 255.255.255.0gateway-list 172.16.20.254dns-list 8.8.8.8#dhcp server ip-pool vlan30network 172.16.30.0 mask 255.255.255.0gateway-list 172.16.30.254dns-list 8.8.8.8#dhcp server ip-pool vlan40network 172.16.40.0 mask 255.255.255.0gateway-list 172.16.40.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$v9m2UEc3AWP3KbkKm480OAgOcpMkD0pD authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 cryptossid H3C-VLAN20bind WLAN-ESS 20cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 2 cryptossid H3C-VLAN30bind WLAN-ESS 30cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 3 cryptossid H3C-VLAN40bind WLAN-ESS 40cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan ap-group default_groupap ap1#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 #interface NULL0#interface Vlan-interface1ip address 192.168.0.100 255.255.255.0#interface Vlan-interface10description to_Userip address 192.168.10.254 255.255.255.0#interface Vlan-interface20description to_Userip address 172.16.20.254 255.255.255.0portal server imc method direct#interface Vlan-interface30description to_Userip address 172.16.30.254 255.255.255.0#interface Vlan-interface40description to_User_vlan40ip address 172.16.40.254 255.255.255.0#interface Vlan-interface100description to_IMCip address 192.168.1.254 255.255.255.0#interface Vlan-interface1000description to_Routerip address 10.1.1.2 255.255.255.252#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface GigabitEthernet1/0/2port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface WLAN-ESS20port access vlan 20port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 #interface WLAN-ESS30port access vlan 30port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-ESS40port access vlan 40ort-security port-mode pskpport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 wlan ap ap1 model WA3620i-AGN id 1serial-id 210235A1BBC146000073radio 1service-template 1service-template 2service-template 3radio enableradio 2channel 6service-template 1service-template 2service-template 3radio enable#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#wlan ipsmalformed-detect-policy defaultsignature deauth_flood signature-id 1signature broadcast_deauth_flood signature-id 2 signature disassoc_flood signature-id 3 signature broadcast_disassoc_flood signature-id 4 signature eapol_logoff_flood signature-id 5 signature eap_success_flood signature-id 6 signature eap_failure_flood signature-id 7 signature pspoll_flood signature-id 8signature cts_flood signature-id 9signature rts_flood signature-id 10signature addba_req_flood signature-id 11 signature-policy defaultcountermeasure-policy defaultattack-detect-policy defaultvirtual-security-domain defaultattack-detect-policy defaultmalformed-detect-policy defaultsignature-policy defaultcountermeasure-policy default#dhcp server forbidden-ip 192.168.10.254 dhcp server forbidden-ip 172.16.20.254 dhcp server forbidden-ip 172.16.30.254 dhcp server forbidden-ip 172.16.40.254 #dhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return交换机配置如下<H3C-SW01>disp cu#version 5.20, Release 3507P18#sysname H3C-SW01#domain default enable system#telnet server enable#oap management-ip 192.168.0.100 slot 1 #password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description to_User-vlan20#vlan 30description to_User-vlan30#vlan 40description to_User-vlan40#vlan 100description to_IMC#vlan 1000description to_Router#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher $c$3$078okxl+RPQFofPe76YXbYryBRI3uMKv authorization-attribute level 3service-type telnet#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000#interface NULL0#interface Vlan-interface1ip address 192.168.0.101 255.255.255.0#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 20 30 40port trunk pvid vlan 10poe enable#interface GigabitEthernet1/0/2port access vlan 100poe enable#interface GigabitEthernet1/0/3port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 1000poe enable#interface GigabitEthernet1/0/4 poe enable#interface GigabitEthernet1/0/5 poe enable#interface GigabitEthernet1/0/6 poe enable#interface GigabitEthernet1/0/7 poe enable#interface GigabitEthernet1/0/8 poe enable#interface GigabitEthernet1/0/9 poe enable#interface GigabitEthernet1/0/10 poe enable#interface GigabitEthernet1/0/11 poe enable#interface GigabitEthernet1/0/12 poe enable#interface GigabitEthernet1/0/13 poe enable#interface GigabitEthernet1/0/14 poe enable#interface GigabitEthernet1/0/15 poe enable#interface GigabitEthernet1/0/16 poe enable#interface GigabitEthernet1/0/17 poe enable#interface GigabitEthernet1/0/18poe enable#interface GigabitEthernet1/0/19poe enable#interface GigabitEthernet1/0/20poe enable#interface GigabitEthernet1/0/21poe enable#interface GigabitEthernet1/0/22poe enable#interface GigabitEthernet1/0/23poe enable#interface GigabitEthernet1/0/24poe enable#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#interface GigabitEthernet1/0/29port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#interface GigabitEthernet1/0/30port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#user-interface aux 0user-interface vty 0 4authentication-mode schemeuser-interface vty 5 15#Return5.IMC配置：配置接入设备：在导航栏中选择“用户->接入策略管理->接入设备管理->接入设备配置”，点击<增加>按钮。

本地Portal无感知认证典型配置（V7）关键词:•本地portal•portal无感知作者：杨攀 2017年7月31日发布功能需求本案例介绍本地Portal认证无感知的典型配置，当客户端数量较少，且没有Portal服务器时，那么可以采用本地Portal认证无感知的方式来实现客户的无感知需求。

本案例不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本案例中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本案例假设您已了解Portal认证的特性。

组网信息及描述如图1所示，DHCP服务器为AP和Client分配IP地址。

现要求：·AC同时承担Portal Web服务器、Portal认证服务器职责。

·采用直接方式的Portal认证配置步骤一、配置AC（1）配置AC的接口# 创建VLAN1及其对应的VLAN接口，并为该接口配置IP地址。

AP将获取该IP地址与AC建立CAPWAP隧道。

<AC> system-view[AC] vlan 1[AC-vlan100] quit[AC] interface vlan-interface 1[AC-Vlan-interface100] ip address 192.168.0.20 24[AC-Vlan-interface100] quit# 在交换机上配置路由，保证启动Portal之前各Client和AC之间的路由可达。

（略）（2）配置客户端的网关# 创建VLAN 10 及其对应的VLAN接口，并为该接口配置IP地址,给客户端分配地址。

<AC> system-view[AC] vlan 10[AC-vlan10] quit[AC] interface vlan-interface 10[AC-Vlan-interface10] ip address 192.168.100.1 24[AC-Vlan-interface10] quit(3)配置无线服务# 创建无线服务模板st1，并进入无线服务模板视图。

宁盾WIFI认证平台结合H3C无线认证配置指南V2.0版20149目录一、宁盾WIFI认证平台简介 (2)1、平台构架 (2)2、平台登录方式 (2)二、认证配置 (3)1、Portal认证配置流程 (3)2、新增商户 (4)3、添加设备 (5)4、H3C WX无线控制器设备配置 (7)5、认证方式配置 (8)5.1、短信认证 (8)5.2、微信认证 (8)5.3、用户名 (11)三、页面管理 (13)四、调查问卷配置 (16)五、策略控制 (17)一、宁盾WIFI认证平台简介1、平台构架2、平台登录方式浏览器登录WIFI个性化平台http://X.X.X.X:8080（X.X.X.X为服务器IP，默认端口8080），平台管理员admin,默认密码为admin,商户自助管理平台帐号密码为热点管理员，由WIFI集中接入平台统一配置分配。

（浏览器建议IE9+，或Firefox、Chrome等）IE下载链接：/china/windows/IE/upgrade/index.aspxMozilla Firefox下载链接：/zh-CN/firefox/new/Google Chrome下载链接：/intl/zh-CN/chrome/browser/二、认证配置1、Portal认证配置流程新增商户—>添加设备(—>添加SSID或AP Group)并分配给商户—>设备配置—>选择并配置认证方式2、新增商户在集中接入管控平台【商户列表】点击【新增商户+】，编辑商户名称、缩写选择商户类型。

为商户分配管理员：在商户列表内选中商户，点击操作栏内【配置管理员】，为商户设定管理员账户（该账户只允许登录商户自助管理平台）。

3、添加设备添加BRAS/AC/胖AP设备：添加SSID或AP Group并分配给商户，如添加SSID：添加AP Group(胖AP不支持AP Group)：说明：AP Group的配置就是将位于不同位置的AP按区域分组，AP Group可包含一个或若干个AP，即添加AP分组后在AP分组下可以添加一个或若干个AP的MAC关联AP。

无线portal 认证流程无线Portal认证流程指的是用户通过无线网络上网时，需要进行身份验证和登录的流程。

以下是一个典型的无线Portal认证流程。

1.打开无线设备：用户首先打开他们的无线设备（如手机、笔记本电脑、平板电脑等）。

设备将会扫描附近的无线网络。

2.选择网络：在扫描结果中，用户将会看到附近可用的无线网络列表。

用户需要选择要连接的网络，通常是提供免费无线网络服务的公共场所、酒店、咖啡店等。

3. 开始认证：一旦选择了网络，设备将与该网络建立连接。

连接建立后，用户尝试访问任何网站或者应用程序时，他们将被自动重定向到无线Portal认证页面。

4.登录/注册：用户在认证页面上需要提供身份验证信息。

这可能包括手机号码、电子邮件地址、用户名和密码等。

如果用户之前没有注册过，他们可能需要先注册一个帐户。

5.接受使用条款：用户在认证页面上需要接受使用条款和隐私政策。

这通常是一个勾选框或按钮，用户必须勾选或点击才能继续。

6.认证验证：一旦用户提供了所需的信息并接受了使用条款，认证服务器将验证用户的信息。

验证可能包括检查用户名和密码的正确性，发送验证码到用户提供的手机号码或电子邮件地址等。

7.认证成功：如果用户提供的信息是有效的且认证验证通过，用户将被授予使用无线网络的权限。

此时用户可以开始上网，访问因认证限制而受到限制的网站和应用。

8. 帐期管理：在无线Portal认证过程中，用户可能还需要提供一些附加信息，以便进行帐期管理。

例如，他们可能需要提供信用卡信息以便支付上网费用或者验证他们已经支付了费用。

以上是一个典型的无线Portal认证流程。

在实际应用中，可能会有一些流程上的差异，特别是在不同的无线网络提供商之间。

然而，总体来说，这个流程是相似的，旨在确保用户的身份和访问控制。

Portal认证流程通常包括以下步骤：
1. 用户连接到网络：
用户通过无线或有线方式连接到提供Portal认证的网络。

2. DHCP获取IP地址：
用户设备通过DHCP协议从网络中获取一个临时的IP地址，以便在网络中通信。

3. 访问网页触发认证：
当用户尝试访问任何网页时，他们的请求会被重定向到Portal认证页面。

这通常是通过HTTP 302重定向实现的。

4. 展示Portal页面：
用户看到一个Portal认证页面，要求他们输入认证信息，如用户名、密码、验证码或者同意使用条款等。

5. 用户输入认证信息：
用户在Portal页面上输入所需的认证信息。

6. 提交认证信息：
用户提交认证信息后，这些信息会被发送到认证服务器进行验证。

7. 认证服务器验证：
认证服务器收到信息后，会根据预定义的规则和数据库中的用户信息进行验证。

8. 授权决策：
如果用户的认证信息有效，认证服务器会向接入控制设备（如路由器或交换机）发送一个授权消息，允许用户访问网络资源。

9. 用户访问网络资源：
接收到授权消息后，接入控制设备解除对用户访问网络资源的限制，用户可以正常浏览网页或使用网络服务。

10. 会话管理：
在用户认证成功并开始使用网络后，Portal系统会进行会话管理，监控用户的活动并确保其访问权限的有效性。

如果会话超时或者用户注销，需要重新进行认证。

这个流程可能会根据具体的Portal认证系统和网络环境有所不同，但基本的步骤和原理是相似的。

无线portal认证流程无线portal认证流程是指在使用无线网络时，通过访问一个特定网页或应用程序进行身份验证，以确保只有经过授权的用户可以访问网络。

这是无线网络安全的重要组成部分，特别是在公共场所、企事业单位和教育机构等地方。

以下是无线portal认证流程的详细介绍，包括了准备工作、身份验证、访问控制和错误处理等方面的内容。

1.准备工作在开始认证流程之前，用户需要确保自己具备以下条件：-一台支持无线网络连接的设备，如笔记本电脑、智能手机或平板电脑。

-已经连接上无线局域网（WLAN）的设备。

-一个正常工作且与无线局域网相连的无线路由器或接入点。

2.身份验证-用户连接到无线局域网后，无法访问互联网或其他资源。

这时，用户尝试访问任何网站都会自动重定向到认证页面或弹出验证窗口。

-用户输入指定的认证网址或启动认证应用程序，如浏览器、客户端等。

-认证页面或应用程序展示一个登录界面，用户需要输入自己的凭据，如用户名和密码。

-提交凭据后，认证服务器对用户进行认证，验证身份信息的正确性。

3.访问控制-如果用户输入的凭据正确，认证服务器会向用户的设备发送一个授权令牌。

-用户的设备和认证服务器之间的连接会自动刷新，以确保设备可以正常访问网络。

-设备会定期发送心跳包到认证服务器，以保持与服务器的连接和授权状态。

4.错误处理-如果用户输入的凭据错误，认证页面或应用程序会给出相应的错误提示，并要求用户重新输入凭据。

-如果用户多次输入错误的凭据，认证页面或应用程序可能会锁定用户账号一段时间，以防止恶意攻击。

无线portal认证流程是保障无线网络安全的重要手段之一、它可以限制未经授权的访问，防止黑客入侵和数据泄漏。

同时，它也可以提供用户身份追踪和访问统计等功能，便于管理者了解网络使用情况和资源分配。

因此，在设计和实施无线网络时，认证流程的安全性和有效性都需要得到充分的考虑和重视。

H3C WX系列不同SSID不同认证页面的本地Portal认证的典型配置关键词：Local-Server，本地Portal Server,定制web,不同ssid,不同vlan,portal摘要：本文介绍了用H3C公司WX系列AC不同ssid不同vlan做本地portal的配置。

缩略语：缩略语英文全名中文解释C3H目 录1 特性简介...............................................................................................................................................1-11.1 特性介绍.....................................................................................................................................1-11.2 特性优点.....................................................................................................................................1-1 2 应用场合...............................................................................................................................................2-1 3 注意事项...............................................................................................................................................3-2 4 配置举例...............................................................................................................................................4-24.1 组网需求.....................................................................................................................................4-24.2 配置思路.....................................................................................................................................4-24.3 使用版本.....................................................................................................................................4-24.4 配置步骤.....................................................................................................................................4-34.5 注意事项...................................................................................................................................4-11 5 相关资料.............................................................................................................................................5-115.1 相关协议和标准.........................................................................................................................5-115.2 其它相关资料............................................................................................................................5-11H3C1 特性简介1.1 特性介绍Portal基本功能的实现需要4个元素：Portal Server，RADIUS 服务器，支持Portal协议的接入设备，Portal客户端。

一、组网需求：在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。

二、组网图：三、配置步骤：1、AC版本要求WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和opti on 60（终端厂商）信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看内部版本号：<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserve d.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type，注意这里server-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJkOqX+ == url http://172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC内联口portal free-rule 0 source interface GigabitEthernet1/0/1 destination any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略，注意server-type必须选择extended模式，注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。

一、组网需求：在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Mac地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Ra dius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。

二、组网图：三、配置步骤：1、AC版本要求WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和optio n 60（终端厂商）信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看部版本号：<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights r eserved.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type，注意这里serve r-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJk OqX+== url 172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC联口portal free-rule 0 source interface GigabitEthernet1/0/1 destinat ion any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略，注意server-type必须选择extended模式，注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。

H3C⽆线配置5-本地转发模式下本地Portal认证典型配置举例1.组⽹需求AP和Client通过DHCP服务器获取IP地址，AC同时作为Portal认证服务器、Portal Web服务器，要求：· AC采⽤直接⽅式的Portal认证。

· Client在通过Portal认证前，只能访问Portal Web服务器；Client通过Portal认证后，可以访问外部⽹络。

· Client的数据流量直接由AP进⾏转发。

· ⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证。

2.配置思路· 为了使⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证，必须开启Portal⽤户漫游功能。

· 在采⽤本地转发模式的⽆线组⽹环境中，AC上没有Portal客户端的ARP表项，为了保证合法⽤户可以进⾏Portal认证，需要开启⽆线Portal客户端合法性检查功能。

· 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败，需要关闭Portal客户端ARP表项固化功能。

· 为了将AP的GigabitEthernet1/0/1接⼝加⼊本地转发的VLAN 200，需要使⽤⽂本⽂档编辑AP的配置⽂件，并将配置⽂件上传到AC存储介质上。

3.配置注意事项· 配置AP的序列号时请确保该序列号与AP唯⼀对应，AP的序列号可以通过AP设备背⾯的标签获取。

· 设备重定向给⽤户的Portal Web服务器的URL默认是不携带参数，需要根据实际应⽤⼿动添加需要携带的参数信息。

4.编辑AP配置⽂件# 使⽤⽂本⽂档编辑AP的配置⽂件，将配置⽂件命名为map.txt，并将配置⽂件上传到AC存储介质上。

配置⽂件内容和格式如下：System-viewvlan 200interface gigabitethernet1/0/1port link-type trunkport trunk permit vlan 2005.配置AC1）接⼝配置# 创建VLAN 100及其对应的VLAN接⼝，并为该接⼝配置IP地址。

iMC EIA Portal无感知认证特性说明书关键词：EIA、Portal、无感知摘要：本文档详细描述了iMC EIA Portal无感知认证的功能、用途、配置方法和实现原理等。

缩略语：目录1特性介绍 (3)2特性的优点 (3)3版本历史记录 (3)4使用指南 (4)4.1 使用场合 (4)4.2 应用方式（使用指导） (4)4.3 应用举例 (4)4.3.1 iMC EIA Portal无感知认证配置步骤 (4)4.3.2 iMC EIA Portal无感知认证操作步骤 (6)4.4 注意事项 (8)5特性实现原理（流程）介绍 (9)1 特性介绍Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。

用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。

用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAC地址保存到数据库中。

当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。

为了防止用户仿冒MAC地址后可以不输入认证信息上线，管理员和用户可以将MAC地址禁用快速认证，在这种情况下，用户每次上线时都需要输入认证信息。

2 特性的优点Portal无感知认证的优点如下：(1) 支持用户免输入认证上线。

用户只需要在第一次上线时输入认证信息，下次上线时会自动使用该认证信息认证，简化了用户操作。

(2) 支持智能终端类型配置。

智能终端与非智能终端使用不同的上线方式，使用该配置可以有效地区分这两种终端类型，方便操作员对终端类型的管理。

(3) 支持已绑定的智能终端MAC地址信息管理。

可以查询所有绑定的智能终端MAC地址信息并进行管理，方便操作员操作。

(4) 支持禁用智能终端MAC地址信息快速认证，存在手动禁用和自动禁用两种方式。

禁用快速认证后，用户使用该智能终端上线时总需要输入认证信息。

h3c portal免认证规则如何在H3C Portal中创建免认证规则。

第一步：登录H3C Portal首先，打开你的浏览器，并在地址栏中输入H3C Portal的网址。

根据你的网络设置，可能需要通过VPN来连接到H3C Portal的服务器。

一旦连接成功，你将会看到登录界面。

在登录界面中，输入你的用户名和密码，然后点击登录按钮。

如果你还没有账户，需要点击“注册”按钮来创建一个新的账户。

第二步：进入免认证规则页面登录成功后，你将进入H3C Portal的主页面。

在导航栏中，找到“认证管理”或类似的选项，并点击它。

然后，在认证管理页面中，找到“免认证规则”或类似的选项，并点击它。

第三步：创建免认证规则在免认证规则页面中，你将看到一个空白的表格，用于创建新的免认证规则。

每一行代表一条规则，你可以根据需要创建多个规则。

首先，在第一列中输入规则的名称。

这个名称可以是任意的，但最好能够清晰地描述这条规则的作用。

接下来，在第二列中选择生效的场景。

这个选项提供了多个选择，比如Wi-Fi、有线网络等，你可以根据需要来选择。

在第三列中，选择规则类型。

这个选项提供了多个选择，你需要根据你的需求选择适合的规则类型。

例如，如果你想要免认证的设备是通过MAC地址来识别的，你可以选择“免MAC认证”；如果你想要免认证的设备是通过IP地址来识别的，你可以选择“免IP认证”。

在第四列中，输入设备的标识。

根据你选择的规则类型，你需要输入相应的MAC 地址或IP地址。

你可以输入单个设备的标识，也可以输入一个地址段或一个子网的地址。

最后，在第五列中选择规则的优先级。

优先级用于确定规则的执行顺序。

如果存在多条规则，并且它们的条件有重叠，那么优先级较高的规则将会先被执行。

创建完一条规则后，你可以点击“添加”按钮来创建下一条规则。

完成所有规则的创建后，点击“保存”按钮来保存你的免认证规则。

第四步：应用免认证规则在创建完免认证规则后，需要将其应用到相应的网络环境中。

H3C SecBlade IAG插卡Portal认证典型配置举例关键词：Portal AAA IAG 认证摘要：本文主要介绍H3C SecBalde IAG插卡Portal接入认证的典型配置。

缩略语：Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释AAA Authentication，Authorization，认证，授权，计费AccountingAC AccessController 访问控制器Point 访问点AP AccessAccessServer 宽带接入服务器BAS BroadCHAP Challenge Handshake Authentication挑战握手认证协议ProtocolWBAS Wireless Broad Access Server 无线宽带接入服务器BAS-IP 通常是接入客户端接口IPDHCP Dynamic Host Configuration Protocol 动态主机配置协议IAG Intelligent Application Gateway 智能应用网关NAI Network Access Identifier 网络访问识别NAS Network Access Server 网络访问服务器NAS-IP 通常是接portal server的接口IPRADIUS Remote Authentication Dial In User远程用户拨入服务ServiceWLAN Wireless Local Area Network 无线本地网目录1 Portal简介 (1)1.1 Portal系统组成 (1)1.2 Portal认证方式 (2)1.2.1 二层认证方式 (2)1.2.2 三层认证方式 (2)1. 直接认证方式 (2)2. 二次地址分配认证方式 (2)3. 跨网段Portal认证 (2)2 应用场合 (2)3 配置举例 (3)3.1 典型组网图 (3)3.2 使用版本 (4)3.3 配置准备 (5)3.4 典型配置 (5)3.4.1 直接Portal认证（Radius服务器认证） (5)1. 需求分析 (5)2. 组网图 (5)3. 配置步骤 (5)4. 验证结果 (12)5. 注意事项 (13)3.4.2 直接Portal认证（本地认证） (13)1. 需求分析 (13)2. 组网图 (13)3. 配置步骤 (13)4. 验证结果 (18)5. 注意事项 (19)3.4.3 直接Portal认证（IAG作为NAT网关） (19)1. 需求分析 (19)2. 组网图 (19)3. 典型配置步骤 (19)4. 验证结果 (26)5. 注意事项 (27)3.4.4 直接Portal认证（模糊VLAN终结） (27)1. 需求分析 (27)2. 组网图 (28)3. 配置步骤 (28)4. 验证结果 (29)5. 注意事项 (30)3.4.5 直接Portal认证（同时配置802.1X混合认证） (31)1. 需求分析 (31)2. 组网图 (31)3. 配置步骤 (31)4. 验证结果 (33)5. 注意事项 (37)3.4.6 直接Portal认证（双机热备） (37)1. 需求分析 (37)2. 组网图 (37)3. 配置步骤 (37)4. 验证结果 (41)5. 注意事项 (42)3.4.7 跨网段Portal认证 (43)1. 需求分析 (43)2. 组网图 (43)3. 配置步骤 (43)4. 验证结果 (44)5. 注意事项 (45)1 Portal简介Portal在英语中是入口的意思。

H3C AC配置Port al认证之邮箱认证(V7)
组网环境：正常无线接入，AC需要具备对与邮箱服务器之间三层可通信
设备型号：W X3540H (仅举例，V7平台AC通用）
软件版本：R5223P01 (仅举例说明）
接口及I P:Mail Server 192.168.2.1 AC的V ian int20 192.168.2.2, AC的V ian i nt10 192.168.1.1 A P的I P192.168.1.2
洲Mail-Server AC AP Client
配置步骤
AC上开启D HC P服务，为无线客户端分配私网I P地址，用户通过此私网I P地址进行邮箱认证，在通过认证前，只能访问本地W e b服务器；
在通过邮箱认证后，可以访间非受限的互联网资源。

AC通过VLAN20接口连接外网与邮箱服务器通信。

(1)基本网络功能配置
＃创建VLAN10, 并进入VLAN10视图。

C lient将使用该VLAN接入无线网络。

system-view
[AC] vlan 10
[AC-vlan1 O] quit
＃创建VLAN20, 并进入VLAN20视图。

此VLAN用来配置NAT及通过D HCP获取公网IP地址。

[AC] vlan 20
[AC-vlan20] quit。