2019年H3C AC进行Portal认证

不能修改默‎认的页面。

您可以自行‎主备por‎t al 认证页面，我司不提供‎p orta‎l页面。

然后参考以‎下案例配置‎：1 配置举例1.1 组网需求本配置举例‎中的AC使‎用的是H3‎CWX50‎00系列无‎线交换机设‎备，IP地址为‎192.168.0.1/24。

Clien‎t和AP通‎过DHCP‎服务器获取‎IP地址。

WX AC上VL‎A N1地址‎为192.168.0.254、VLAN2‎地址为19‎2.168.1.254。

WA222‎0X-AG属于V‎L AN1，无线客户端‎属于VLA‎N2。

图1-1 本地Por‎tal Serve‎r组网图1.2 配置思路配置Por‎t al定制‎包并上传配置本地P‎o rtal‎认证1.3 使用版本[AC]_di verH3C Comwa‎r e Platf‎o rm Softw‎a reComwa‎r e Softw‎a re, Versi‎o n 5.20, Beta 1107P‎01Comwa‎r e Platf‎o rm Softw‎a re Versi‎o n COMWA‎R EV50‎0R002‎B58D0‎08 H3C WX500‎2 Softw‎a re Versi‎o n V100R‎001B5‎8D008‎Copyr‎i ght (c) 2004-2008 Hangz‎h ou H3C Tech. Co., Ltd. All right‎s reser‎v ed. Compi‎l ed Oct 14 2008 15:44:07, RELEA‎S E SOFTW‎A REH3C WX500‎2 uptim‎e is 0 week, 0 day, 0 hour, 50 minut‎e sCPU type: BCM MIPS 1250 700MH‎z512M bytes‎DDR SDRAM‎Memor‎y32M bytes‎Flash‎Memor‎yPcb Versi‎o n: BLogic‎ Versi‎o n: 1.0Basic‎ BootR‎O M Versi‎o n: 1.16Exten‎d BootR‎O M Versi‎o n: 1.16[SLOT 1]CON (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/2 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]M-E1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[AC]1.4 配置步骤1. 配置信息：#versi‎o n 5.20, Beta 1107P‎01#sysna‎m e AC#domai‎n defau‎l t enabl‎e syste‎m#telne‎t serve‎r enabl‎e#port-secur‎i ty enabl‎e#porta‎l serve‎r local‎ip 192.168.0.254porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n anyporta‎l local‎-serve‎r httpporta‎l local‎-serve‎r bind ssid porta‎l file http.zip#vlan 1#vlan 2 to 3#domai‎n syste‎macces‎s-limit‎disab‎l estate‎activ‎eidle-cut disab‎l eself-servi‎c e-url disab‎l e#dhcp serve‎r ip-pool 1netwo‎r k 192.168.0.0 mask 255.255.255.0gatew‎a y-list 192.168.0.254dns-list 20.20.20.1#dhcp serve‎r ip-pool 2netwo‎r k 192.168.1.0 mask 255.255.255.0gatew‎a y-list 192.168.1.254#dhcp serve‎r ip-pool 3netwo‎r k 192.168.2.0 mask 255.255.255.0gatew‎a y-list 192.168.2.254#user-group‎syste‎m#local‎-user 1passw‎o rd simpl‎e 1servi‎c e-type porta‎llocal‎-user admin‎passw‎o rd simpl‎e admin‎autho‎r izat‎i on-attri‎b ute level‎3servi‎c e-type telne‎tlocal‎-user porta‎lpassw‎o rd simpl‎e porta‎lservi‎c e-type porta‎l#wlan rrmdot11‎a manda‎t ory-rate 6 12 24dot11‎a suppo‎r ted-rate 9 18 36 48 54dot11‎b manda‎t ory-rate 1 2dot11‎b suppo‎r ted-rate 5.5 11dot11‎g manda‎t ory-rate 1 2 5.5 11dot11‎g suppo‎r ted-rate 6 9 12 18 24 36 48 54 #wlan radio‎-polic‎y 1clien‎t max-count‎4#wlan servi‎c e-templ‎a te 1 clear‎ssid porta‎lbind WLAN-ESS 1servi‎c e-templ‎a te enabl‎e#wlan servi‎c e-templ‎a te 2 clear‎ssid porta‎l2bind WLAN-ESS 2servi‎c e-templ‎a te enabl‎e#inter‎f ace NULL0‎#inter‎f ace Vlan-inter‎f ace1‎ip addre‎s s 192.168.0.254 255.255.255.0 #inter‎f ace Vlan-inter‎f ace2‎ip addre‎s s 192.168.1.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Vlan-inter‎f ace3‎ip addre‎s s 192.168.2.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/2#inter‎f ace M-Ether‎n et1/0/1#inter‎f ace WLAN-ESS1port acces‎s vlan 2#inter‎f ace WLAN-ESS2port acces‎s vlan 3#wlan ap a model‎WA222‎0X-AGseria‎l-id 21023‎5A29G‎007C0‎00010‎radio‎1radio‎2servi‎c e-templ‎a te 1servi‎c e-templ‎a te 2radio‎enabl‎e#dhcp enabl‎e#load xml-confi‎g urat‎i on#user-inter‎f ace aux 0user-inter‎f ace vty 0 4authe‎n tica‎t ion-mode schem‎euser privi‎l ege level‎3#retur‎n[AC]2. 主要配置步‎骤# 配置por‎t al定制‎包,在AC Flash‎中新建一个‎名为por‎t al的文‎件夹<AC>mkdir‎porta‎l# 通过dir‎查看Fla‎s h中的创‎建文件的信‎息#查看当前p‎o rtal‎文件夹信息‎<AC>cd porta‎l<AC>dir# 上传por‎t al的定‎制文件ht‎t p.zip到f‎l ash:/porta‎l中<AC>tftp 192.168.1.1 get http.zip# 配置por‎t al本地‎认证的用户‎[AC]local‎-user porta‎l[AC-luser‎-porta‎l]servi‎c e-type porta‎l[AC-luser‎-porta‎l]passw‎o rd simpl‎e porta‎l# 配置无线服‎务模板[AC]wlan servi‎c e-templ‎a te 1 clear‎[AC-wlan-st-1]ssid porta‎l[AC-wlan-st-1]bind WLAN-ESS 1[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit[AC]wlan servi‎c e-templ‎a te 2 clear‎[AC-wlan-st-1]ssid porta‎l2[AC-wlan-st-1]bind WLAN-ESS 2[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit# 配置无线口‎，将无线口添‎加到起Po‎r tal的‎v lan [AC]inter‎f ace WLAN-BSS 1[AC-WLAN-BSS1] port acces‎s vlan 2[AC-WLAN-BSS1]quit[AC]inter‎f ace WLAN-BSS 2[AC-WLAN-BSS2] port acces‎s vlan 3[AC-WLAN-BSS2]quit# 在AC下绑‎定无线服务‎模板[AC-wlan-ap-a]seria‎l-id 21023‎5A29G‎007C0‎00010‎[AC-wlan-ap-a]radio‎2[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 1[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 2[AC-wlan-ap-a-radio‎-2]radio‎enabl‎e[AC-wlan-ap-a-radio‎-2]quit# 配置Por‎t al Serve‎r和免认证‎规则[AC]porta‎l serve‎r local‎ip 192.168.0.254[AC]porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n any [AC]porta‎l local‎-serve‎r http[AC]porta‎l local‎-serve‎r bind ssid porta‎l file http.zip[AC]inter‎f ace Vlan-inter‎f ace 2[AC-Vlan-inter‎f ace2‎]ip addre‎s s 192.168.1.254 255.255.255.0[AC-Vlan-inter‎f ace2‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace2‎]quit[AC]inter‎f ace Vlan-inter‎f ace 3[AC-Vlan-inter‎f ace3‎]ip addre‎s s 192.168.2.254 255.255.255.0[AC-Vlan-inter‎f ace3‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace3‎]quit3. 验证结果连接ssi‎d:porta‎l在STA‎上IE直接‎输入任意I‎P地址,会推出定制‎的http‎认证页面.(1) 认证页面(2) 输入用户名‎和密码,登录成功.(3)(4) 推出por‎t al认证‎下线成功页‎面连接ssi‎d:porta‎l2在ST‎A上IE直‎接输入任意‎I P地址,会推出定制‎的http‎认证页面.(5) 认证页面(6)(7) 输入用户名‎和密码,登录成功(8) .(9) 推出por‎t al认证‎下线成功页‎面(10)4. 在AC上查‎看认证结果‎使用dis‎p lay porta‎l user inter‎f ace Vlan-inter‎f ace 查看不同s‎s id （且属于不同‎网段）连接上来的‎p orta‎l认证用户‎。

h3c portal免认证规则
摘要：
一、h3c portal 免认证规则简介
二、h3c portal 免认证规则的具体内容
1.设备自动发现
2.设备自动认证
3.用户手动认证
三、h3c portal 免认证规则的优势
四、h3c portal 免认证规则的应用场景
五、总结
正文：
h3c portal 免认证规则是一种网络安全策略，它允许设备在连接到网络时自动发现并认证，从而简化用户的认证流程，提高工作效率。

具体来说，h3c portal 免认证规则包含以下几个方面：
1.设备自动发现：当用户携带支持h3c portal 协议的设备连接到网络时，网络设备会自动发现并识别该设备，无需用户进行任何操作。

2.设备自动认证：在设备被发现后，网络设备会自动对该设备进行认证，认证成功后，设备即可正常访问网络资源。

3.用户手动认证：虽然h3c portal 免认证规则大大简化了认证流程，但在某些情况下，用户可能需要进行手动认证。

例如，当用户的设备不支持h3c portal 协议时，用户需要通过手动输入用户名和密码进行认证。

h3c portal 免认证规则的优势主要体现在提高了用户的工作效率，尤其是在需要频繁使用网络资源的情况下，用户无需每次都进行认证，大大节省了时间。

h3c portal 免认证规则主要应用于企业、学校等需要对大量设备进行管理的场景。

在这些场景中，设备数量庞大，如果每台设备都需要进行认证，将大大增加网络管理员的工作量。

而h3c portal 免认证规则则可以大大简化这一过程。

华三AC对接外部Portal开通aWiFi操作手册杭州华三通信技术有限公司2015年06月华三AC开通aWiFi操作手册1 BAS侧准备工作说明1、提前规划好aWiFi所用的业务vlan，须与目前ChinaNet的内外层业务vlan均不相同。

2、分配给无线客户端的公网IP地址在BAS上可以和ChinaNet共用地址池。

2 AC版本要求华三AC的软件版本应为V5.20-R2308P14版本，如低于此版本则无法与Aruba的认证平台互通，请各分公司联系华三升级AC版本。

3AC插卡全局设置1、在AC插卡的上联端口开启dhcp-snooping trust信任端口功能。

WCMB型号AC插卡：[H3C-AC]interface Ten-GigabitEthernet1/0/1[H3C-AC-Ten-GigabitEthernet1/0/1]dhcp-snooping trustWCMD型号AC插卡：[H3C-AC]interface BridgeAggrigation1[H3C-AC-BridgeAggrigation1]dhcp-snooping trust注：WX6103、S7506E和WX7306型号机框配套的都是WCMB型号的AC插卡，仅有Ten-GigabitEthernet1/0/1上联。

而WX6108E型号机框配套的是WCMD型号AC插卡，dhcp-snooping trust仅需在BridgeAggrigation1汇聚端口下启用，无需在其成员的Ten-GigabitEthernet 1/0/1和1/0/2接口下启用，否则会造成ChinaNet用户获取不到IP地址。

2、全局开启DHCP-SNOOPING功能。

[H3C-AC]dhcp-snooping注：必须先启用上联端口的trust功能再全局启用dhcp-snooping功能，否则会造成ChinaNet用户获取不到IP地址。

3、创建用于aWiFi的无线业务接口，并设置归属具体vlan，如vlan1500。

无线直接portal认证1.组网需求●用户通过无线SSID接入，根据业务需求，接入用户通过vlan20、vlan30和vlan40，3个网段接入，AP管理地址使用vlan10网段，所有网关在AC上，并且通过AC上的DHCP 获取地址。

●用户接入时需要启用portal认证。

2.组网图3.配置思路●在WX3024E上配置portal功能●配置IMC服务器4.配置信息●AC配置如下：[H3C_AC-1]disp cu#version 5.20, Release 3507P18#sysname H3C_AC-1#domain default enable h3c#telnet server enable#port-security enable#portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description _User#vlan 30description to_User#vlan 40description to_User#vlan 100description to_IMC#vlan 1000description to_Router#radius scheme imcserver-type extendedprimary authentication 192.168.1.11primary accounting 192.168.1.11key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38inas-ip 192.168.1.254#domain h3cauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 8.8.8.8option 43 hex 80070000 01C0A80A FE#dhcp server ip-pool vlan20network 172.16.20.0 mask 255.255.255.0gateway-list 172.16.20.254dns-list 8.8.8.8#dhcp server ip-pool vlan30network 172.16.30.0 mask 255.255.255.0gateway-list 172.16.30.254dns-list 8.8.8.8#dhcp server ip-pool vlan40network 172.16.40.0 mask 255.255.255.0gateway-list 172.16.40.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$v9m2UEc3AWP3KbkKm480OAgOcpMkD0pD authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 cryptossid H3C-VLAN20bind WLAN-ESS 20cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 2 cryptossid H3C-VLAN30bind WLAN-ESS 30cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 3 cryptossid H3C-VLAN40bind WLAN-ESS 40cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan ap-group default_groupap ap1#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 #interface NULL0#interface Vlan-interface1ip address 192.168.0.100 255.255.255.0#interface Vlan-interface10description to_Userip address 192.168.10.254 255.255.255.0#interface Vlan-interface20description to_Userip address 172.16.20.254 255.255.255.0portal server imc method direct#interface Vlan-interface30description to_Userip address 172.16.30.254 255.255.255.0#interface Vlan-interface40description to_User_vlan40ip address 172.16.40.254 255.255.255.0#interface Vlan-interface100description to_IMCip address 192.168.1.254 255.255.255.0#interface Vlan-interface1000description to_Routerip address 10.1.1.2 255.255.255.252#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface GigabitEthernet1/0/2port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface WLAN-ESS20port access vlan 20port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 #interface WLAN-ESS30port access vlan 30port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-ESS40port access vlan 40ort-security port-mode pskpport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 wlan ap ap1 model WA3620i-AGN id 1serial-id 210235A1BBC146000073radio 1service-template 1service-template 2service-template 3radio enableradio 2channel 6service-template 1service-template 2service-template 3radio enable#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#wlan ipsmalformed-detect-policy defaultsignature deauth_flood signature-id 1signature broadcast_deauth_flood signature-id 2 signature disassoc_flood signature-id 3 signature broadcast_disassoc_flood signature-id 4 signature eapol_logoff_flood signature-id 5 signature eap_success_flood signature-id 6 signature eap_failure_flood signature-id 7 signature pspoll_flood signature-id 8signature cts_flood signature-id 9signature rts_flood signature-id 10signature addba_req_flood signature-id 11 signature-policy defaultcountermeasure-policy defaultattack-detect-policy defaultvirtual-security-domain defaultattack-detect-policy defaultmalformed-detect-policy defaultsignature-policy defaultcountermeasure-policy default#dhcp server forbidden-ip 192.168.10.254 dhcp server forbidden-ip 172.16.20.254 dhcp server forbidden-ip 172.16.30.254 dhcp server forbidden-ip 172.16.40.254 #dhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return交换机配置如下<H3C-SW01>disp cu#version 5.20, Release 3507P18#sysname H3C-SW01#domain default enable system#telnet server enable#oap management-ip 192.168.0.100 slot 1 #password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description to_User-vlan20#vlan 30description to_User-vlan30#vlan 40description to_User-vlan40#vlan 100description to_IMC#vlan 1000description to_Router#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher $c$3$078okxl+RPQFofPe76YXbYryBRI3uMKv authorization-attribute level 3service-type telnet#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000#interface NULL0#interface Vlan-interface1ip address 192.168.0.101 255.255.255.0#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 20 30 40port trunk pvid vlan 10poe enable#interface GigabitEthernet1/0/2port access vlan 100poe enable#interface GigabitEthernet1/0/3port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 1000poe enable#interface GigabitEthernet1/0/4 poe enable#interface GigabitEthernet1/0/5 poe enable#interface GigabitEthernet1/0/6 poe enable#interface GigabitEthernet1/0/7 poe enable#interface GigabitEthernet1/0/8 poe enable#interface GigabitEthernet1/0/9 poe enable#interface GigabitEthernet1/0/10 poe enable#interface GigabitEthernet1/0/11 poe enable#interface GigabitEthernet1/0/12 poe enable#interface GigabitEthernet1/0/13 poe enable#interface GigabitEthernet1/0/14 poe enable#interface GigabitEthernet1/0/15 poe enable#interface GigabitEthernet1/0/16 poe enable#interface GigabitEthernet1/0/17 poe enable#interface GigabitEthernet1/0/18poe enable#interface GigabitEthernet1/0/19poe enable#interface GigabitEthernet1/0/20poe enable#interface GigabitEthernet1/0/21poe enable#interface GigabitEthernet1/0/22poe enable#interface GigabitEthernet1/0/23poe enable#interface GigabitEthernet1/0/24poe enable#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#interface GigabitEthernet1/0/29port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#interface GigabitEthernet1/0/30port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#user-interface aux 0user-interface vty 0 4authentication-mode schemeuser-interface vty 5 15#Return5.IMC配置：配置接入设备：在导航栏中选择“用户->接入策略管理->接入设备管理->接入设备配置”，点击<增加>按钮。

⽹络配置——portal服务器配置Portal服务器是基于web进⾏认证的机制，属于B/S架构。

通过和RADIUS进⾏配合，可以呈现⽤户连⽹弹⽹页，输⼊⽤户名密码后即可上⽹。

当前portal认真的相关版本：各家⼚家的版本各有差异，公有标准的为portal2.0标准。

⽽portal3.0是为IPv6进⾏的适配。

这⾥H3C的portal2.0是CMCC的标准。

也是通⽤标准接⼝。

H3C AC相关配置：版本V5，型号：LSQ1WCMD0（板卡式AC）配置portal认证：portal free-rule 3 source ip 10.10.160.0 mask 255.255.224.0 destination ip any #⽩名单，写⼊后⽹段或Ip地址或端⼝不⽤进⾏认证。

portal wlan ssid Expo_Center_Free server sundray_portal domain dsf-portal #SSID号和domain想对应portal mac-trigger server ip 10.0.10.22#配置URL代的参数portal url-param include user-macportal url-param include nas-ip param-name wlanacipportal url-param include ap-mac param-name apmacportal url-param include user-urlportal url-param include user-ipportal其他参数：portal host-check wlanportal silent ios optimizeportal safe-redirect enableportal safe-redirect method get postportal safe-redirect user-agent Andriodportal safe-redirect user-agent CaptiveNetworkSupport配置radius参数：radius scheme dsf-portalserver-type extendedprimary authentication 10.0.10.22primary accounting 10.0.10.22key authentication cipher $c$3$6FpFlPjx7jpCsVhgflm6nH8YiOrEnAuT+w== #默认为123456key accounting cipher $c$3$LRr7EjHcuPutYY0eopNZgytQc9FIUx7+hw== #该为计费系统的秘钥：默认123456user-name-format without-domainnas-ip 10.0.2.246accounting-on enable interval 15配置域名：domain dsf-portalauthentication portal radius-scheme dsf-portalauthorization portal radius-scheme dsf-portalaccounting portal radius-scheme dsf-portalaccess-limit disablestate activeidle-cut enable 5 10240self-service-url disable华为portal认证配置：Huawei AC6605 版本：V200R006C10SPC100radius-server template ndkey-wcc-radiusradius-server shared-key cipher %^%##]iND0f2x8p_=EWjzY2.I`(FUy/INB>`7_:+~f+I%^%#radius-server authentication 10.0.10.22 1812 weight 80radius-server accounting 10.0.10.22 1813 weight 80radius-server authorization 10.0.10.22 shared-key cipher %^%#{"E%OMEJ31zjZtU(7U*/C~Q#/n6gX+;nqtMMxI^E%^%# free-rule-template name default_free_rulefree-rule 0 destination ip 61.128.128.68 mask 255.255.255.255 source ip anyfree-rule 2 destination ip any source ip 192.168.250.0 mask 255.255.255.0portal-access-profile name portal1701web-auth-server ndkey-wcc-web-ser direct#portal-access-profile name portal1702web-auth-server ndkey-wcc-web-ser directaaaauthentication-scheme defaultauthentication-scheme radiusauthentication-mode radiusauthentication-scheme ndkey-wcc-radiusauthentication-mode radiusauthorization-scheme defaultaccounting-scheme defaultaccounting-scheme ndkey-wcc-radiusaccounting-mode radiusdomain defaultauthentication-scheme ndkey-wcc-radiusaccounting-scheme ndkey-wcc-radiusradius-server ndkey-wcc-radiusdomain default_admindomain authentication-scheme ndkey-wcc-radiusaccounting-scheme ndkey-wcc-radiusradius-server ndkey-wcc-radius。

公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批，采购设备，抽休息时间把无线网络进行了改造，并加入了Portal 认证，方便来宾用户，记录下整个安装配置流程。

在网络的前期规划中，使用了三层交换机，将地址分段，并开启DHCP，192.168.0.1 为路由器，192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组，192.168.3.0/24 分配给无线设备使用，扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉，接入WX3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是Office-WIFI （办公使用）Office-WIFI-5G （办公5G频段）Office-Guest （无密码提供给来宾使用，需要Portal 认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块，无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖，直接使用二层模式即可，不用配置交换面板。

配置无线控制器IP，将WX3010E的1端口连接PC，设置PC网卡IP 192.168.0.2 子网 255.255.255.0 给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome 浏览器，在使用IE11和Firefox 中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9 步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

一、组网需求：在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。

二、组网图：三、配置步骤：1、AC版本要求WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和opti on 60（终端厂商）信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看内部版本号：<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserve d.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type，注意这里server-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJkOqX+ == url http://172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC内联口portal free-rule 0 source interface GigabitEthernet1/0/1 destination any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略，注意server-type必须选择extended模式，注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。

H3C⽆线配置5-本地转发模式下本地Portal认证典型配置举例1.组⽹需求AP和Client通过DHCP服务器获取IP地址，AC同时作为Portal认证服务器、Portal Web服务器，要求：· AC采⽤直接⽅式的Portal认证。

· Client在通过Portal认证前，只能访问Portal Web服务器；Client通过Portal认证后，可以访问外部⽹络。

· Client的数据流量直接由AP进⾏转发。

· ⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证。

2.配置思路· 为了使⽤户可以在VLAN内的任何⼆层端⼝上访问⽹络资源，且移动接⼊端⼝时⽆须重复认证，必须开启Portal⽤户漫游功能。

· 在采⽤本地转发模式的⽆线组⽹环境中，AC上没有Portal客户端的ARP表项，为了保证合法⽤户可以进⾏Portal认证，需要开启⽆线Portal客户端合法性检查功能。

· 短时间内Portal客户端的频繁上下线可能会造成Portal认证失败，需要关闭Portal客户端ARP表项固化功能。

· 为了将AP的GigabitEthernet1/0/1接⼝加⼊本地转发的VLAN 200，需要使⽤⽂本⽂档编辑AP的配置⽂件，并将配置⽂件上传到AC存储介质上。

3.配置注意事项· 配置AP的序列号时请确保该序列号与AP唯⼀对应，AP的序列号可以通过AP设备背⾯的标签获取。

· 设备重定向给⽤户的Portal Web服务器的URL默认是不携带参数，需要根据实际应⽤⼿动添加需要携带的参数信息。

4.编辑AP配置⽂件# 使⽤⽂本⽂档编辑AP的配置⽂件，将配置⽂件命名为map.txt，并将配置⽂件上传到AC存储介质上。

配置⽂件内容和格式如下：System-viewvlan 200interface gigabitethernet1/0/1port link-type trunkport trunk permit vlan 2005.配置AC1）接⼝配置# 创建VLAN 100及其对应的VLAN接⼝，并为该接⼝配置IP地址。

H3C_AC常用配置操作说明1.登录H3C_AC首先，需要通过浏览器登录H3C_AC的Web管理界面。

在浏览器中输入H3C_AC的IP地址，然后输入用户名和密码进行登录。

2.配置基本网络参数登录H3C_AC后，可以在系统管理中找到基本网络参数配置页面。

在此页面中可以进行各种网络参数的配置，包括IP地址、网关、DNS等。

根据实际情况进行配置，并保存设置。

3.配置SSID和认证方式在无线配置中找到SSID配置页面，可以对SSID进行配置。

SSID是无线网络的名称，可以根据实际需求进行自定义。

在SSID配置页面中可以设置无线认证方式，包括无需认证、WPA/WPA2-Personal、WPA/WPA2-Enterprise等。

选择适合的认证方式，并进行相应的配置。

4.配置无线接口在接口配置中找到无线接口配置页面，可以对无线接口进行配置。

可以指定无线频段（2.4GHz或5GHz）、无线信道、发射功率等参数。

根据实际需求进行配置，并保存设置。

5.配置无线安全策略在安全策略中找到无线安全策略配置页面，可以对无线安全进行配置。

可以设置无线访问控制列表（ACL）、无线身份验证方式、无线加密方式等。

根据实际需求进行配置，并保存设置。

6.配置无线转发策略在转发策略中找到无线转发策略配置页面，可以对无线转发进行配置。

可以设置无线转发模式、无线VLAN、无线流量控制等。

根据实际需求进行配置，并保存设置。

7.配置无线上网策略在上网策略中找到无线上网策略配置页面，可以对无线上网进行配置。

可以设置无线上网方式（IP地址、DHCP方式）、上网策略（黑名单、白名单）等。

根据实际需求进行配置，并保存设置。

8.配置客户端管理在客户端管理中找到无线客户端管理页面，可以对客户端进行管理。

可以设置客户端的最大数量、最长接入时间、会话超时时间等。

根据实际需求进行配置，并保存设置。

9.配置日志和报警在系统管理中找到日志和报警配置页面，可以对系统日志和报警进行配置。

问题描述：Portal网页认证时认证页面无法弹出;解决方案：1.页面提示“portal server获取不到设备信息或者没有回应req_info报文”时，请参考百度文库“portal server获取不到设备信息或者没有回应req_info报文时的解决办法”；2.浏览器的HTTP报文头不符合规范时会导致portal页面无法弹出，表现为部分终端正常，部分终端弹出空白页面，对于v7版本iMC需要将如下选项改成“否”对于V5版本iMC需要修改配置文件iMC\portal\conf\portal.properties解决，将如下参数修改为“false”即可；3.使用IE8有问题，使用其他浏览器没有问题；IE8浏览器本身有些问题，建议更换浏览器使用；4.确认认证终端是否可以ping通portal server服务器的IP地址；portal认证时，确认认证终端可以ping通服务器地址，否则页面无法弹出；5.确认jserver（plat与eia集中式部署）或者webserver（分布式部署）进程是否正常；6.确认中间网络防火墙有无放开对应的端口，portal页面认证时需要放通终端到iMC服务器的8080或者80端口；7.输入IP地址可以弹出，输入域名无法弹出portal页面，这是由于认证终端不能访问DNS服务器导致，在设备侧增加一条到NDS server的free-rule即可；8.确认设备侧配置的重定向URL是否正确，正确配置为：Portal server xx ip x.x.x.x key xxx url http://x.x.x.x:8080/portal附：portal认证典型配置iMC UAM结合WX 3010做无线portal认证并基于不同SSID/操作系统推送不同认证页面的典型配置一、组网需求：Portal网页认证方式简单，无需客户端，且适用于各种终端如PC、手机、pad等。

本案例介绍了无线AC结合iMC进行portal网页的认证方式，并且能够实现根据不同的SSID或者操作系统推送不同的认证页面，从而满足客户多样化的需求。

iMC EIA Portal无感知认证特性说明书关键词：EIA、Portal、无感知摘要：本文档详细描述了iMC EIA Portal无感知认证的功能、用途、配置方法和实现原理等。

缩略语：目录1特性介绍 (3)2特性的优点 (3)3版本历史记录 (3)4使用指南 (4)4.1 使用场合 (4)4.2 应用方式（使用指导） (4)4.3 应用举例 (4)4.3.1 iMC EIA Portal无感知认证配置步骤 (4)4.3.2 iMC EIA Portal无感知认证操作步骤 (6)4.4 注意事项 (8)5特性实现原理（流程）介绍 (9)1 特性介绍Portal无感知认证是一种针对智能终端、无需输入用户名和密码即可上线的认证过程。

用户第一次使用智能终端时，通过浏览器上网产生流量，设备会重定向到Portal认证页面。

用户输入用户名、密码、服务等信息后上线，服务器会将认证信息以及终端的MAC地址保存到数据库中。

当用户再次使用该智能终端访问网络产生流量时，服务器自动使用该认证信息进行认证，免去了用户输入认证信息上线的过程。

为了防止用户仿冒MAC地址后可以不输入认证信息上线，管理员和用户可以将MAC地址禁用快速认证，在这种情况下，用户每次上线时都需要输入认证信息。

2 特性的优点Portal无感知认证的优点如下：(1) 支持用户免输入认证上线。

用户只需要在第一次上线时输入认证信息，下次上线时会自动使用该认证信息认证，简化了用户操作。

(2) 支持智能终端类型配置。

智能终端与非智能终端使用不同的上线方式，使用该配置可以有效地区分这两种终端类型，方便操作员对终端类型的管理。

(3) 支持已绑定的智能终端MAC地址信息管理。

可以查询所有绑定的智能终端MAC地址信息并进行管理，方便操作员操作。

(4) 支持禁用智能终端MAC地址信息快速认证，存在手动禁用和自动禁用两种方式。

禁用快速认证后，用户使用该智能终端上线时总需要输入认证信息。

h3c portal免认证规则如何在H3C Portal中创建免认证规则。

第一步：登录H3C Portal首先，打开你的浏览器，并在地址栏中输入H3C Portal的网址。

根据你的网络设置，可能需要通过VPN来连接到H3C Portal的服务器。

一旦连接成功，你将会看到登录界面。

在登录界面中，输入你的用户名和密码，然后点击登录按钮。

如果你还没有账户，需要点击“注册”按钮来创建一个新的账户。

第二步：进入免认证规则页面登录成功后，你将进入H3C Portal的主页面。

在导航栏中，找到“认证管理”或类似的选项，并点击它。

然后，在认证管理页面中，找到“免认证规则”或类似的选项，并点击它。

第三步：创建免认证规则在免认证规则页面中，你将看到一个空白的表格，用于创建新的免认证规则。

每一行代表一条规则，你可以根据需要创建多个规则。

首先，在第一列中输入规则的名称。

这个名称可以是任意的，但最好能够清晰地描述这条规则的作用。

接下来，在第二列中选择生效的场景。

这个选项提供了多个选择，比如Wi-Fi、有线网络等，你可以根据需要来选择。

在第三列中，选择规则类型。

这个选项提供了多个选择，你需要根据你的需求选择适合的规则类型。

例如，如果你想要免认证的设备是通过MAC地址来识别的，你可以选择“免MAC认证”；如果你想要免认证的设备是通过IP地址来识别的，你可以选择“免IP认证”。

在第四列中，输入设备的标识。

根据你选择的规则类型，你需要输入相应的MAC 地址或IP地址。

你可以输入单个设备的标识，也可以输入一个地址段或一个子网的地址。

最后，在第五列中选择规则的优先级。

优先级用于确定规则的执行顺序。

如果存在多条规则，并且它们的条件有重叠，那么优先级较高的规则将会先被执行。

创建完一条规则后，你可以点击“添加”按钮来创建下一条规则。

完成所有规则的创建后，点击“保存”按钮来保存你的免认证规则。

第四步：应用免认证规则在创建完免认证规则后，需要将其应用到相应的网络环境中。

portal和mac认证流程-回复Portal认证流程是指用户在使用公共无线网络时需要进行身份验证，以便获得上网权限。

而MAC认证流程是指通过控制网络设备的MAC地址来验证用户身份。

下面将详细介绍这两种认证流程，以及它们的优缺点和应用场景。

Portal认证流程：1. 用户连接到一个公共无线网络，打开浏览器，试图访问互联网。

通常，当用户连接到公共无线网络时，会自动弹出一个登录网页，要求用户进行身份验证。

2. 在登录网页上，用户通常需要输入用户名和密码，这些凭据通常是由网络管理员提供的。

用户填写正确的凭据后，点击登录按钮。

3. 网络服务器会验证用户提供的凭据。

如果凭据有效，服务器会授予用户上网权限，用户接下来可以自由访问互联网。

4. 用户进行上网活动，例如浏览网页、发送电子邮件等。

Portal认证流程的优点：- 简单：用户只需在登录网页上输入凭据，即可获得上网权限，操作简单便捷。

- 灵活：Portal认证流程可以适用于不同类型的公共无线网络，如咖啡店、酒店、机场等。

- 安全：通过凭据验证，保障了网络的安全性，避免网络资源被未经授权的用户滥用。

Portal认证流程的缺点：- 依赖浏览器：Portal认证流程需要用户使用浏览器登录，如果用户的设备不支持浏览器或浏览器配置不正确，可能会导致认证失败。

- 安全性有待提升：由于凭据是通过输入用户名和密码来验证用户身份的，存在密码被窃取或盗用的风险。

Portal认证流程的应用场景：- 公共场所：在咖啡店、酒店、机场等公共场所，由管理员提供了一个公共无线网络，用户可以通过Portal认证流程来获得上网权限。

- 公司内部网络：在企业内部网络，通过Portal认证流程来验证员工身份，以确保只有授权人员才能接入公司网络。

MAC认证流程：1. 用户连接到一个公共无线网络，然后浏览器会自动打开一个登录网页，要求用户进行身份验证。

2. 在登录网页上，用户通常需要输入设备的MAC地址，MAC地址是网络适配器上的唯一标识符，用于识别设备。

H3C SecBlade IAG插卡Portal认证典型配置举例关键词：Portal AAA IAG 认证摘要：本文主要介绍H3C SecBalde IAG插卡Portal接入认证的典型配置。

缩略语：Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释AAA Authentication，Authorization，认证，授权，计费AccountingAC AccessController 访问控制器Point 访问点AP AccessAccessServer 宽带接入服务器BAS BroadCHAP Challenge Handshake Authentication挑战握手认证协议ProtocolWBAS Wireless Broad Access Server 无线宽带接入服务器BAS-IP 通常是接入客户端接口IPDHCP Dynamic Host Configuration Protocol 动态主机配置协议IAG Intelligent Application Gateway 智能应用网关NAI Network Access Identifier 网络访问识别NAS Network Access Server 网络访问服务器NAS-IP 通常是接portal server的接口IPRADIUS Remote Authentication Dial In User远程用户拨入服务ServiceWLAN Wireless Local Area Network 无线本地网目录1 Portal简介 (1)1.1 Portal系统组成 (1)1.2 Portal认证方式 (2)1.2.1 二层认证方式 (2)1.2.2 三层认证方式 (2)1. 直接认证方式 (2)2. 二次地址分配认证方式 (2)3. 跨网段Portal认证 (2)2 应用场合 (2)3 配置举例 (3)3.1 典型组网图 (3)3.2 使用版本 (4)3.3 配置准备 (5)3.4 典型配置 (5)3.4.1 直接Portal认证（Radius服务器认证） (5)1. 需求分析 (5)2. 组网图 (5)3. 配置步骤 (5)4. 验证结果 (12)5. 注意事项 (13)3.4.2 直接Portal认证（本地认证） (13)1. 需求分析 (13)2. 组网图 (13)3. 配置步骤 (13)4. 验证结果 (18)5. 注意事项 (19)3.4.3 直接Portal认证（IAG作为NAT网关） (19)1. 需求分析 (19)2. 组网图 (19)3. 典型配置步骤 (19)4. 验证结果 (26)5. 注意事项 (27)3.4.4 直接Portal认证（模糊VLAN终结） (27)1. 需求分析 (27)2. 组网图 (28)3. 配置步骤 (28)4. 验证结果 (29)5. 注意事项 (30)3.4.5 直接Portal认证（同时配置802.1X混合认证） (31)1. 需求分析 (31)2. 组网图 (31)3. 配置步骤 (31)4. 验证结果 (33)5. 注意事项 (37)3.4.6 直接Portal认证（双机热备） (37)1. 需求分析 (37)2. 组网图 (37)3. 配置步骤 (37)4. 验证结果 (41)5. 注意事项 (42)3.4.7 跨网段Portal认证 (43)1. 需求分析 (43)2. 组网图 (43)3. 配置步骤 (43)4. 验证结果 (44)5. 注意事项 (45)1 Portal简介Portal在英语中是入口的意思。

H3CWX系列AC实现Portal+LDAP功能的典型配置（账号的姓名使用中文）第一篇：H3C WX系列AC实现Portal+LDAP功能的典型配置(账号的姓名使用中文)WX系列AC实现Portal+LDAP功能的典型配置（账号的姓名使用中文）一、组网需求：WX系列AC、FIT AP、便携机（安装有无线网卡）、LDAP服务器二、组网图：本典型配置举例中AC使用WX5004无线控制器，AP和Client 通过DHCP方式获取IP地址。

WX5004上LDAP Server属于VLAN 100（网关192.168.100.1/24），AP属于VLAN 10（网关192.168.1.1/24），Client属于VLAN 20（网关192.168.2.1/24）。

三、特性介绍：LDAP是一种基于TCP/IP的目录访问协议，用于提供跨平台的、基于标准的目录服务。

LDAP协议的典型应用是用来保存系统的用户信息，如Microsoft的Windows操作系统就是使用了Active Directory Server来保存操作系统的用户、用户组等信息，用于用户登录Windows时的认证和授权。

LDAP的目录服务功能建立在Client/Server的基础之上。

所有的目录信息存储在LDAP服务器上。

LDAP服务器就是一系列实现目录协议并管理存储目录数据的数据库程序。

目前，Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server都是常用的LDAP服务器软件。

使用LDAP协议进行认证时，其基本的工作流程如下：（1）LDAP客户端使用LDAP服务器管理员DN与LDAP服务器进行绑定，与LDAP服务器建立连接并获得查询权限。

（2）LDAP客户端使用认证信息中的用户名构造查询条件，在LDAP服务器指定根目录下查询此用户，得到用户的DN。

H3C AC配置Port al认证之邮箱认证(V7)
组网环境：正常无线接入，AC需要具备对与邮箱服务器之间三层可通信
设备型号：W X3540H (仅举例，V7平台AC通用）
软件版本：R5223P01 (仅举例说明）
接口及I P:Mail Server 192.168.2.1 AC的V ian int20 192.168.2.2, AC的V ian i nt10 192.168.1.1 A P的I P192.168.1.2
洲Mail-Server AC AP Client
配置步骤
AC上开启D HC P服务，为无线客户端分配私网I P地址，用户通过此私网I P地址进行邮箱认证，在通过认证前，只能访问本地W e b服务器；
在通过邮箱认证后，可以访间非受限的互联网资源。

AC通过VLAN20接口连接外网与邮箱服务器通信。

(1)基本网络功能配置
＃创建VLAN10, 并进入VLAN10视图。

C lient将使用该VLAN接入无线网络。

system-view
[AC] vlan 10
[AC-vlan1 O] quit
＃创建VLAN20, 并进入VLAN20视图。

此VLAN用来配置NAT及通过D HCP获取公网IP地址。

[AC] vlan 20
[AC-vlan20] quit。