V7iMCportal认证典型配置案例解析

iMC与H3C S5500-EI交换机进行Portal 认证的典型配置组网图iMC配置以下配置均以V3.60-E6301版本为例，以系统管理员admin的权限登录iMC配置台(%iMCIP%:8080/imc，如bbb://192.168.1.133:8080/imc/ )，缺省密码为admin。

1.Portal配置创建portal位置组，这个位置组需包括所有认证客户端的IP位置，但注意要排除S55的位置和portal服务器的位置。

添加portal设备这个IP位置必须配置为启用portal认证的接口位置。

在某些设备的新版本中，可以通过portal nas-ip命令指定这个位置，但如果没有配置或者设备不支持该命令的情况下，必须配置为启用portal认证的接口位置，在本例中就是99.99.99.1。

配置端口组信息管理将刚才定义的IP位置组加入进来。

2.配置“服务”配置服务3.账号开户，申请定义好的服务4.增加接入设备增加了一个接入设备，若交换机上有多个位置，优先填写上行口位置。

立即生效基本配置至此完毕，可以用在客户端进行测试了。

交换机配置以下以H3C交换机S5500-EI作为BAS接入设备做配置介绍。

配置IP位置及路由IP、掩码、路由等需要根据实际情况修改配置，达到接入设备与iMC三层可达（即可以ping 通）的目的。

配置Radius认证策略及域配置Radius认证策略：[H3C]radius scheme imc[H3C-radius-imc]server-type extended --认证协议（扩展）[H3C-radius-imc]primary authentication 172.16.100.200 --iMC认证IP、端口[H3C-radius-imc]primary accounting 172.16.100.200 --iMC计费IP、端口[H3C-radius-imc]key authentication imc --认证密钥[H3C-radius-imc]key accounting imc --计费密钥(必须与认证密钥相同)[H3C-radius-imc]user-name-format without-domain –用户名格式（无域名）[H3C-radius-imc]nas-ip 172.16.100.1 –指定交换机向iMC发送报文的IP位置配置认证域：[H3C]domain imc[H3C-isp-imc]authentication portal radius-scheme imc[H3C-isp-imc]authorization portal radius-scheme imc[H3C-isp-imc]accounting portal radius-scheme imc注意：若交换机版本为comware v5版本，则domain配置命令略有不同。

无线直接portal认证1.组网需求●用户通过无线SSID接入，根据业务需求，接入用户通过vlan20、vlan30和vlan40，3个网段接入，AP管理地址使用vlan10网段，所有网关在AC上，并且通过AC上的DHCP 获取地址。

●用户接入时需要启用portal认证。

2.组网图3.配置思路●在WX3024E上配置portal功能●配置IMC服务器4.配置信息●AC配置如下：[H3C_AC-1]disp cu#version 5.20, Release 3507P18#sysname H3C_AC-1#domain default enable h3c#telnet server enable#port-security enable#portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description _User#vlan 30description to_User#vlan 40description to_User#vlan 100description to_IMC#vlan 1000description to_Router#radius scheme imcserver-type extendedprimary authentication 192.168.1.11primary accounting 192.168.1.11key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38inas-ip 192.168.1.254#domain h3cauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 8.8.8.8option 43 hex 80070000 01C0A80A FE#dhcp server ip-pool vlan20network 172.16.20.0 mask 255.255.255.0gateway-list 172.16.20.254dns-list 8.8.8.8#dhcp server ip-pool vlan30network 172.16.30.0 mask 255.255.255.0gateway-list 172.16.30.254dns-list 8.8.8.8#dhcp server ip-pool vlan40network 172.16.40.0 mask 255.255.255.0gateway-list 172.16.40.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$v9m2UEc3AWP3KbkKm480OAgOcpMkD0pD authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 cryptossid H3C-VLAN20bind WLAN-ESS 20cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 2 cryptossid H3C-VLAN30bind WLAN-ESS 30cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 3 cryptossid H3C-VLAN40bind WLAN-ESS 40cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan ap-group default_groupap ap1#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 #interface NULL0#interface Vlan-interface1ip address 192.168.0.100 255.255.255.0#interface Vlan-interface10description to_Userip address 192.168.10.254 255.255.255.0#interface Vlan-interface20description to_Userip address 172.16.20.254 255.255.255.0portal server imc method direct#interface Vlan-interface30description to_Userip address 172.16.30.254 255.255.255.0#interface Vlan-interface40description to_User_vlan40ip address 172.16.40.254 255.255.255.0#interface Vlan-interface100description to_IMCip address 192.168.1.254 255.255.255.0#interface Vlan-interface1000description to_Routerip address 10.1.1.2 255.255.255.252#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface GigabitEthernet1/0/2port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface WLAN-ESS20port access vlan 20port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 #interface WLAN-ESS30port access vlan 30port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-ESS40port access vlan 40ort-security port-mode pskpport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 wlan ap ap1 model WA3620i-AGN id 1serial-id 210235A1BBC146000073radio 1service-template 1service-template 2service-template 3radio enableradio 2channel 6service-template 1service-template 2service-template 3radio enable#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#wlan ipsmalformed-detect-policy defaultsignature deauth_flood signature-id 1signature broadcast_deauth_flood signature-id 2 signature disassoc_flood signature-id 3 signature broadcast_disassoc_flood signature-id 4 signature eapol_logoff_flood signature-id 5 signature eap_success_flood signature-id 6 signature eap_failure_flood signature-id 7 signature pspoll_flood signature-id 8signature cts_flood signature-id 9signature rts_flood signature-id 10signature addba_req_flood signature-id 11 signature-policy defaultcountermeasure-policy defaultattack-detect-policy defaultvirtual-security-domain defaultattack-detect-policy defaultmalformed-detect-policy defaultsignature-policy defaultcountermeasure-policy default#dhcp server forbidden-ip 192.168.10.254 dhcp server forbidden-ip 172.16.20.254 dhcp server forbidden-ip 172.16.30.254 dhcp server forbidden-ip 172.16.40.254 #dhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return交换机配置如下<H3C-SW01>disp cu#version 5.20, Release 3507P18#sysname H3C-SW01#domain default enable system#telnet server enable#oap management-ip 192.168.0.100 slot 1 #password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description to_User-vlan20#vlan 30description to_User-vlan30#vlan 40description to_User-vlan40#vlan 100description to_IMC#vlan 1000description to_Router#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher $c$3$078okxl+RPQFofPe76YXbYryBRI3uMKv authorization-attribute level 3service-type telnet#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000#interface NULL0#interface Vlan-interface1ip address 192.168.0.101 255.255.255.0#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 20 30 40port trunk pvid vlan 10poe enable#interface GigabitEthernet1/0/2port access vlan 100poe enable#interface GigabitEthernet1/0/3port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 1000poe enable#interface GigabitEthernet1/0/4 poe enable#interface GigabitEthernet1/0/5 poe enable#interface GigabitEthernet1/0/6 poe enable#interface GigabitEthernet1/0/7 poe enable#interface GigabitEthernet1/0/8 poe enable#interface GigabitEthernet1/0/9 poe enable#interface GigabitEthernet1/0/10 poe enable#interface GigabitEthernet1/0/11 poe enable#interface GigabitEthernet1/0/12 poe enable#interface GigabitEthernet1/0/13 poe enable#interface GigabitEthernet1/0/14 poe enable#interface GigabitEthernet1/0/15 poe enable#interface GigabitEthernet1/0/16 poe enable#interface GigabitEthernet1/0/17 poe enable#interface GigabitEthernet1/0/18poe enable#interface GigabitEthernet1/0/19poe enable#interface GigabitEthernet1/0/20poe enable#interface GigabitEthernet1/0/21poe enable#interface GigabitEthernet1/0/22poe enable#interface GigabitEthernet1/0/23poe enable#interface GigabitEthernet1/0/24poe enable#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#interface GigabitEthernet1/0/29port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#interface GigabitEthernet1/0/30port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#user-interface aux 0user-interface vty 0 4authentication-mode schemeuser-interface vty 5 15#Return5.IMC配置：配置接入设备：在导航栏中选择“用户->接入策略管理->接入设备管理->接入设备配置”，点击<增加>按钮。

本地Portal无感知认证典型配置（V7）关键词:•本地portal•portal无感知作者：杨攀 2017年7月31日发布功能需求本案例介绍本地Portal认证无感知的典型配置，当客户端数量较少，且没有Portal服务器时，那么可以采用本地Portal认证无感知的方式来实现客户的无感知需求。

本案例不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本案例中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本案例假设您已了解Portal认证的特性。

组网信息及描述如图1所示，DHCP服务器为AP和Client分配IP地址。

现要求：·AC同时承担Portal Web服务器、Portal认证服务器职责。

·采用直接方式的Portal认证配置步骤一、配置AC（1）配置AC的接口# 创建VLAN1及其对应的VLAN接口，并为该接口配置IP地址。

AP将获取该IP地址与AC建立CAPWAP隧道。

<AC> system-view[AC] vlan 1[AC-vlan100] quit[AC] interface vlan-interface 1[AC-Vlan-interface100] ip address 192.168.0.20 24[AC-Vlan-interface100] quit# 在交换机上配置路由，保证启动Portal之前各Client和AC之间的路由可达。

（略）（2）配置客户端的网关# 创建VLAN 10 及其对应的VLAN接口，并为该接口配置IP地址,给客户端分配地址。

<AC> system-view[AC] vlan 10[AC-vlan10] quit[AC] interface vlan-interface 10[AC-Vlan-interface10] ip address 192.168.100.1 24[AC-Vlan-interface10] quit(3)配置无线服务# 创建无线服务模板st1，并进入无线服务模板视图。

iMC LDAP用户Portal快速认证一个常见配置问题一、组网需求：无二、问题描述：触发条件1.iMC上设置有与Open LDAP对接的同步策略，且LDAP策略选择将LDAP密码同步到iMC上。

2.对LDAP用户启用Portal快速认证。

终端第一次上线，可以推出portal认证页面正常进行认证，且查看账号详细信息已绑定智能终端信息，Portal快速认证已生效。

但是，在终端下线后，再次关联网络，不推送页面且无法上线。

iMC配置台上接入失败日志中无相应账号认证失败记录。

三、问题分析：查看Portal调试日志有如下提示：2014-09-19 11:18:19.592[Portal服务器][调试(0)][16][ProxyRequestHandler::run]10.204.168.70 ; PORTAL_FAST_AUTH_QUERY(48) ; 60668 ; 199.204.0.222:2000 ; MAC地址绑定查询报文处理成功。

(0)……2014-09-19 11:18:19.593[Portal服务器][错误(160016)][174][RequestProcessor::loginEventProcess]用户名称xxxxxx或密码{SSHA}/vJY6ygo94TkbREwiMJEsjrvVaZKwFRNFnw=超长2014-09-19 11:18:19.593[Portal服务器][调试(0)][174][RequestProcessor::sendLoginRespToUser]errorCode = 1252014-09-19 11:18:19.593[Portal服务器][调试(0)][19][ProxyResponseDeviceHandler::run]10.204.168.70 ; PORTAL_FAST_AUTH_QUERY_RESPONSE(49) ; 60668 ; 199.204.0.222:2000 ; 用户智能终端的MAC地址已绑定，直接进行Radius认证。

一、组网需求：iMC UAM从V7版本开始除了改名为EIA外，还新增了很多功能特性，其中包括“终端页面定制功能”，之前版本如果客户有自定义Portal页面的需求，工作量很大，可能还涉及付费定制。

而V7 EIA版本开始，提供的“终端页面定制功能”缺省提供了丰富的Portal页面模板，包括PC和PHONE两种终端类型模板，用户可以非常方便地修改模板，包括增加链接、文字格式、背景图片等操作。

本文详细介绍了Portal页面定制的操作方法。

二、组网图：无。

三、配置步骤：Portal页面定制是指以直观的方式去绘制页面。

只需要用鼠标进行单击、拖拽等一些简单操作，即可轻松完成页面的绘制。

页面定制仅将生成的Portal页面呈现给终端用户，原有的Portal认证逻辑不变。

1.Portal页面定制的两种方式1.1使用EIA的Portal页面定制工具定制Portal页面，详细介绍如下：1)EIA的Portal页面定制工具菜单栏说明上图为EIA的Portal页面工具的菜单栏，说明如下：增加区段单击【增加区段】菜单，会在页面编辑窗口区域增加一个编辑层，操作员可以对此层进行任意编辑。

如下图所示：预览预览查看页面生成效果。

推荐使用IE10,Chrome,Firefox进行页面定制。

注：在IE10以下预览Phone定制页面进不支持模板背景色渐变的风格显示。

IE9以下有支持按钮，输入框圆角的显示。

不同手机浏览器显示的页面效果有所不同，因此Phone定制页面效果以实际显示在手机屏幕的效果为准。

保存保存绘制的页面，当单击绘制窗口中【保存】菜单时，会将定制页面中的内容保存至数据库中，下次打开绘制页面可以继续绘制。

发布单击【发布】菜单后，页面中的定制内容将会从数据库中取出保存至相应的jsp 文件中并发布到各个服务器。

同时注意，定制页面保存只是保存当前定制到数据库中，而发布命令执行的是先保存后发布。

设置单击【设置】菜单则弹出设置窗口，如下图所示：“显示服务类型”即是否显示登录框中的服务类型选项。

imc portal认证原理IMC Portal是一个用于身份认证和授权的平台，它采用了先进的认证原理来确保用户的身份安全和数据的保密性。

本文将详细介绍IMC Portal的认证原理，并逐步解释其运作过程。

第一步：用户访问IMC Portal用户通过输入IMC Portal的网址或使用移动应用程序访问IMC Portal。

在访问之前，用户可以通过注册流程创建一个账户，或者直接使用现有的账户。

第二步：用户认证请求一旦用户访问IMC Portal，就会向服务器发送一个认证请求。

该请求包含了用户的标识信息，如用户名和密码。

除了标识信息，还可能包含其他认证因素，如二次验证码、指纹扫描或面部识别。

第三步：服务器接收认证请求服务器接收到认证请求后，会立即对请求进行验证。

验证的方式可以采用多种安全协议和算法，如SSL/TLS、HTTP Digest认证或OAuth。

这些协议和算法能够确保认证请求的机密性和完整性。

第四步：用户身份验证一旦服务器接收到认证请求，系统会使用存储在数据库中的用户信息与请求中的标识信息进行比对验证。

密码通常会进行加密处理，以确保用户信息的安全。

如果用户信息匹配成功，则表示用户通过了身份验证。

第五步：访问授权当用户通过身份验证后，服务器将根据用户的权限决定是否授权其访问IMC Portal。

授权信息通常也存储在用户数据库中，以便服务器能够根据用户的角色和权限进行决策。

如果用户被授权访问，则可以继续进入IMC Portal系统。

第六步：会话管理一旦用户被授权访问IMC Portal，服务器会创建一个唯一的会话标识，并将其与用户的认证信息关联起来。

会话标识通常是一个加密的令牌，用于确保用户的行为在整个会话期间都是可信的。

服务器还会检测会话是否过期、是否存在异常行为，以及是否需要重新验证用户身份。

第七步：访问IMC Portal一旦用户通过身份验证和访问授权，可以开始访问IMC Portal。

imc短信认证案例
H3C iMC UAM（用户接入管理）不仅支持Portal认证，还针对Portal认证场景提供了简易注册页面，并结合短信平台、短信猫等发短信功能，让移动用户快速注册并接入网络。

以下是一个H3C iMC UAM的短信认证案例：
场景：旅客在机场需要关联机场提供的免费WIFI，并在注册页面输入手机号码，通过短信获取到账号和密码进行认证上网。

解决方案：
1. 在EIA（Easy IP Access）中配置短信认证功能，包括配置短信平台（如亿美通信网关）的相关参数，以及设置发送短信的内容和格式。

2. 在Portal页面上添加简易注册页面，用户输入手机号码并提交后，EIA 会自动向该手机号码发送包含帐号和密码的短信。

3. 用户收到短信后，可以直接使用帐号和密码进行上网认证。

以上方案可以满足用户在机场等场所快速注册并接入网络的需求，同时保证网络接入的安全性。

请注意，此方案需要亿美短信平台的授权信息（序列号、序列号密码和序列号Key），且网络必须路由可达。

如选择其他厂商短信平台，需要进行二次开发，请联系相关技术人员。

以上内容仅供参考，更多信息建议咨询H3C相关技术部门。