您的位置:360文档中心› H3CAC进行Portal认证

H3CAC进行Portal认证

合集下载

h3c无线ac管理+ap管理web配置

h3c无线ac管理+ap管理web配置

公司的无线设备越来越多,超过了150个,原有的2个AP已不堪重负,看来又得当一当网管了,向领导审批,采购设备,抽休息时间把无线网络进行了改造,并加入了Portal 认证,方便来宾用户,记录下整个安装配置流程。

在网络的前期规划中,使用了三层交换机,将地址分段,并开启DHCP,192.168.0.1 为路由器,192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组,192.168.3.0/24 分配给无线设备使用,扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉,接入WX3010E无线控制器,再将7个AP设备挂在无线控制器下,如图所示。

改造后将使用3个SSID,分别是 Office-WIFI (办公使用) Office-WIFI-5G (办公5G频段)Office-Guest (无密码提供给来宾使用,需要Portal 认证,放置公司自定义宣传页)在网上能查阅到很多H3C网络设备的配置,都是基于控制台命令配置的,但对于我这非网管职业的人来说重新学习一套系统的配置成本太高,用的少也容易忘记,于是尝试摸索通过WEB配置,没想到2小时不到就搞定了,后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块,无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖,直接使用二层模式即可,不用配置交换面板。

配置无线控制器IP,将WX3010E的1端口连接PC,设置PC网卡IP 192.168.0.2 子网255.255.255.0 给控制器上电,等待10分钟左右,启动完成后登陆WEB网管192.168.0.100,(推荐使用Chrome 浏览器,在使用IE11和Firefox 中总遇到一些页面兼容性问题),选择快速配置,注意在3/9 步骤配置设备IP地址,其它的配置可以在后面进行,完成后设备IP会立即生效,PC的IP先不用修改,接着去配置AP。

H3CAC定制portal页面

H3CAC定制portal页面

不能修改默‎认的页面。

您可以自行‎主备por‎t al 认证页面,我司不提供‎p orta‎l页面。

然后参考以‎下案例配置‎:1 配置举例1.1 组网需求本配置举例‎中的AC使‎用的是H3‎CWX50‎00系列无‎线交换机设‎备,IP地址为‎192.168.0.1/24。

Clien‎t和AP通‎过DHCP‎服务器获取‎IP地址。

WX AC上VL‎A N1地址‎为192.168.0.254、VLAN2‎地址为19‎2.168.1.254。

WA222‎0X-AG属于V‎L AN1,无线客户端‎属于VLA‎N2。

图1-1 本地Por‎tal Serve‎r组网图1.2 配置思路配置Por‎t al定制‎包并上传配置本地P‎o rtal‎认证1.3 使用版本[AC]_di verH3C Comwa‎r e Platf‎o rm Softw‎a reComwa‎r e Softw‎a re, Versi‎o n 5.20, Beta 1107P‎01Comwa‎r e Platf‎o rm Softw‎a re Versi‎o n COMWA‎R EV50‎0R002‎B58D0‎08 H3C WX500‎2 Softw‎a re Versi‎o n V100R‎001B5‎8D008‎Copyr‎i ght (c) 2004-2008 Hangz‎h ou H3C Tech. Co., Ltd. All right‎s reser‎v ed. Compi‎l ed Oct 14 2008 15:44:07, RELEA‎S E SOFTW‎A REH3C WX500‎2 uptim‎e is 0 week, 0 day, 0 hour, 50 minut‎e sCPU type: BCM MIPS 1250 700MH‎z512M bytes‎DDR SDRAM‎Memor‎y32M bytes‎Flash‎Memor‎yPcb Versi‎o n: BLogic‎ Versi‎o n: 1.0Basic‎ BootR‎O M Versi‎o n: 1.16Exten‎d BootR‎O M Versi‎o n: 1.16[SLOT 1]CON (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/2 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]M-E1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[AC]1.4 配置步骤1. 配置信息:#versi‎o n 5.20, Beta 1107P‎01#sysna‎m e AC#domai‎n defau‎l t enabl‎e syste‎m#telne‎t serve‎r enabl‎e#port-secur‎i ty enabl‎e#porta‎l serve‎r local‎ip 192.168.0.254porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n anyporta‎l local‎-serve‎r httpporta‎l local‎-serve‎r bind ssid porta‎l file http.zip#vlan 1#vlan 2 to 3#domai‎n syste‎macces‎s-limit‎disab‎l estate‎activ‎eidle-cut disab‎l eself-servi‎c e-url disab‎l e#dhcp serve‎r ip-pool 1netwo‎r k 192.168.0.0 mask 255.255.255.0gatew‎a y-list 192.168.0.254dns-list 20.20.20.1#dhcp serve‎r ip-pool 2netwo‎r k 192.168.1.0 mask 255.255.255.0gatew‎a y-list 192.168.1.254#dhcp serve‎r ip-pool 3netwo‎r k 192.168.2.0 mask 255.255.255.0gatew‎a y-list 192.168.2.254#user-group‎syste‎m#local‎-user 1passw‎o rd simpl‎e 1servi‎c e-type porta‎llocal‎-user admin‎passw‎o rd simpl‎e admin‎autho‎r izat‎i on-attri‎b ute level‎3servi‎c e-type telne‎tlocal‎-user porta‎lpassw‎o rd simpl‎e porta‎lservi‎c e-type porta‎l#wlan rrmdot11‎a manda‎t ory-rate 6 12 24dot11‎a suppo‎r ted-rate 9 18 36 48 54dot11‎b manda‎t ory-rate 1 2dot11‎b suppo‎r ted-rate 5.5 11dot11‎g manda‎t ory-rate 1 2 5.5 11dot11‎g suppo‎r ted-rate 6 9 12 18 24 36 48 54 #wlan radio‎-polic‎y 1clien‎t max-count‎4#wlan servi‎c e-templ‎a te 1 clear‎ssid porta‎lbind WLAN-ESS 1servi‎c e-templ‎a te enabl‎e#wlan servi‎c e-templ‎a te 2 clear‎ssid porta‎l2bind WLAN-ESS 2servi‎c e-templ‎a te enabl‎e#inter‎f ace NULL0‎#inter‎f ace Vlan-inter‎f ace1‎ip addre‎s s 192.168.0.254 255.255.255.0 #inter‎f ace Vlan-inter‎f ace2‎ip addre‎s s 192.168.1.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Vlan-inter‎f ace3‎ip addre‎s s 192.168.2.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/2#inter‎f ace M-Ether‎n et1/0/1#inter‎f ace WLAN-ESS1port acces‎s vlan 2#inter‎f ace WLAN-ESS2port acces‎s vlan 3#wlan ap a model‎WA222‎0X-AGseria‎l-id 21023‎5A29G‎007C0‎00010‎radio‎1radio‎2servi‎c e-templ‎a te 1servi‎c e-templ‎a te 2radio‎enabl‎e#dhcp enabl‎e#load xml-confi‎g urat‎i on#user-inter‎f ace aux 0user-inter‎f ace vty 0 4authe‎n tica‎t ion-mode schem‎euser privi‎l ege level‎3#retur‎n[AC]2. 主要配置步‎骤# 配置por‎t al定制‎包,在AC Flash‎中新建一个‎名为por‎t al的文‎件夹<AC>mkdir‎porta‎l# 通过dir‎查看Fla‎s h中的创‎建文件的信‎息#查看当前p‎o rtal‎文件夹信息‎<AC>cd porta‎l<AC>dir# 上传por‎t al的定‎制文件ht‎t p.zip到f‎l ash:/porta‎l中<AC>tftp 192.168.1.1 get http.zip# 配置por‎t al本地‎认证的用户‎[AC]local‎-user porta‎l[AC-luser‎-porta‎l]servi‎c e-type porta‎l[AC-luser‎-porta‎l]passw‎o rd simpl‎e porta‎l# 配置无线服‎务模板[AC]wlan servi‎c e-templ‎a te 1 clear‎[AC-wlan-st-1]ssid porta‎l[AC-wlan-st-1]bind WLAN-ESS 1[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit[AC]wlan servi‎c e-templ‎a te 2 clear‎[AC-wlan-st-1]ssid porta‎l2[AC-wlan-st-1]bind WLAN-ESS 2[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit# 配置无线口‎,将无线口添‎加到起Po‎r tal的‎v lan [AC]inter‎f ace WLAN-BSS 1[AC-WLAN-BSS1] port acces‎s vlan 2[AC-WLAN-BSS1]quit[AC]inter‎f ace WLAN-BSS 2[AC-WLAN-BSS2] port acces‎s vlan 3[AC-WLAN-BSS2]quit# 在AC下绑‎定无线服务‎模板[AC-wlan-ap-a]seria‎l-id 21023‎5A29G‎007C0‎00010‎[AC-wlan-ap-a]radio‎2[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 1[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 2[AC-wlan-ap-a-radio‎-2]radio‎enabl‎e[AC-wlan-ap-a-radio‎-2]quit# 配置Por‎t al Serve‎r和免认证‎规则[AC]porta‎l serve‎r local‎ip 192.168.0.254[AC]porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n any [AC]porta‎l local‎-serve‎r http[AC]porta‎l local‎-serve‎r bind ssid porta‎l file http.zip[AC]inter‎f ace Vlan-inter‎f ace 2[AC-Vlan-inter‎f ace2‎]ip addre‎s s 192.168.1.254 255.255.255.0[AC-Vlan-inter‎f ace2‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace2‎]quit[AC]inter‎f ace Vlan-inter‎f ace 3[AC-Vlan-inter‎f ace3‎]ip addre‎s s 192.168.2.254 255.255.255.0[AC-Vlan-inter‎f ace3‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace3‎]quit3. 验证结果连接ssi‎d:porta‎l在STA‎上IE直接‎输入任意I‎P地址,会推出定制‎的http‎认证页面.(1) 认证页面(2) 输入用户名‎和密码,登录成功.(3)(4) 推出por‎t al认证‎下线成功页‎面连接ssi‎d:porta‎l2在ST‎A上IE直‎接输入任意‎I P地址,会推出定制‎的http‎认证页面.(5) 认证页面(6)(7) 输入用户名‎和密码,登录成功(8) .(9) 推出por‎t al认证‎下线成功页‎面(10)4. 在AC上查‎看认证结果‎使用dis‎p lay porta‎l user inter‎f ace Vlan-inter‎f ace 查看不同s‎s id (且属于不同‎网段)连接上来的‎p orta‎l认证用户‎。

h3c无线ac管理ap管理web配置

h3c无线ac管理ap管理web配置

h3c无线ac管理ap管理web配置公司的无线设备越来越多,超过了150个,原有的2个AP已不堪重负,看来又得当一当网管了,向领导审批,采购设备,抽休息时间把无线网络进行了改造,并加入了Portal认证,方便来宾用户,记录下整个安装配置流程。

在网络的前期规划中,使用了三层交换机,将地址分段,并开启DHCP,192.168.0.1为路由器,192.168.1.0/24段分配给内部服务器使用,192.168.2.0/24分配给工作组,192.168.3.0/24分配给无线设备使用,扩容升级直接将原有192.168.3.0/24段的2台AP拿掉,接入W某3010E无线控制器,再将7个AP设备挂在无线控制器下,如图所示。

改造后将使用3个SSID,分别是Office-WIFI(办公使用)Office-WIFI-5G(办公5G频段)Office-Guet(无密码提供给来宾使用,需要Portal认证,放置公司自定义宣传页)在网上能查阅到很多H3C网络设备的配置,都是基于控制台命令配置的,但对于我这非网管职业的人来说重新学习一套系统的配置成本太高,用的少也容易忘记,于是尝试摸索通过WEB配置,没想到2小时不到就搞定了,后面的Portal认证则多花费了一点时间。

W某3010E无线控制器内部包含了一个交换面板和无线控制器两个模块,无线控制器WEB网管默认IP为192.168.0.100交换面板WEB网管默认IP为192.168.0.101用户名密码均为admin,因需求只需要实现无线覆盖,直接使用二层模式即可,不用配置交换面板。

配置无线控制器IP,将W某3010E的1端口连接PC,设置PC网卡IP192.168.0.2子网255.255.255.0给控制器上电,等待10分钟左右,启动完成后登陆WEB网管192.168.0.100,(推荐使用Chrome浏览器,在使用IE11和Firefo某中总遇到一些页面兼容性问题),选择快速配置,注意在3/9步骤配置设备IP地址,其它的配置可以在后面进行,完成后设备IP会立即生效,PC的IP先不用修改,接着去配置AP。

直接portal认证实验总结

直接portal认证实验总结

无线直接portal认证1.组网需求●用户通过无线SSID接入,根据业务需求,接入用户通过vlan20、vlan30和vlan40,3个网段接入,AP管理地址使用vlan10网段,所有网关在AC上,并且通过AC上的DHCP 获取地址。

●用户接入时需要启用portal认证。

2.组网图3.配置思路●在WX3024E上配置portal功能●配置IMC服务器4.配置信息●AC配置如下:[H3C_AC-1]disp cu#version 5.20, Release 3507P18#sysname H3C_AC-1#domain default enable h3c#telnet server enable#port-security enable#portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description _User#vlan 30description to_User#vlan 40description to_User#vlan 100description to_IMC#vlan 1000description to_Router#radius scheme imcserver-type extendedprimary authentication 192.168.1.11primary accounting 192.168.1.11key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38inas-ip 192.168.1.254#domain h3cauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#dhcp server ip-pool vlan10network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.254dns-list 8.8.8.8option 43 hex 80070000 01C0A80A FE#dhcp server ip-pool vlan20network 172.16.20.0 mask 255.255.255.0gateway-list 172.16.20.254dns-list 8.8.8.8#dhcp server ip-pool vlan30network 172.16.30.0 mask 255.255.255.0gateway-list 172.16.30.254dns-list 8.8.8.8#dhcp server ip-pool vlan40network 172.16.40.0 mask 255.255.255.0gateway-list 172.16.40.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$v9m2UEc3AWP3KbkKm480OAgOcpMkD0pD authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 cryptossid H3C-VLAN20bind WLAN-ESS 20cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 2 cryptossid H3C-VLAN30bind WLAN-ESS 30cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan service-template 3 cryptossid H3C-VLAN40bind WLAN-ESS 40cipher-suite ccmpsecurity-ie wpaservice-template enable#wlan ap-group default_groupap ap1#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 #interface NULL0#interface Vlan-interface1ip address 192.168.0.100 255.255.255.0#interface Vlan-interface10description to_Userip address 192.168.10.254 255.255.255.0#interface Vlan-interface20description to_Userip address 172.16.20.254 255.255.255.0portal server imc method direct#interface Vlan-interface30description to_Userip address 172.16.30.254 255.255.255.0#interface Vlan-interface40description to_User_vlan40ip address 172.16.40.254 255.255.255.0#interface Vlan-interface100description to_IMCip address 192.168.1.254 255.255.255.0#interface Vlan-interface1000description to_Routerip address 10.1.1.2 255.255.255.252#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface GigabitEthernet1/0/2port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000port link-aggregation group 1#interface WLAN-ESS20port access vlan 20port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 #interface WLAN-ESS30port access vlan 30port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678#interface WLAN-ESS40port access vlan 40ort-security port-mode pskpport-security tx-key-type 11keyport-security preshared-key pass-phrase 12345678 wlan ap ap1 model WA3620i-AGN id 1serial-id 210235A1BBC146000073radio 1service-template 1service-template 2service-template 3radio enableradio 2channel 6service-template 1service-template 2service-template 3radio enable#ip route-static 0.0.0.0 0.0.0.0 10.1.1.1#wlan ipsmalformed-detect-policy defaultsignature deauth_flood signature-id 1signature broadcast_deauth_flood signature-id 2 signature disassoc_flood signature-id 3 signature broadcast_disassoc_flood signature-id 4 signature eapol_logoff_flood signature-id 5 signature eap_success_flood signature-id 6 signature eap_failure_flood signature-id 7 signature pspoll_flood signature-id 8signature cts_flood signature-id 9signature rts_flood signature-id 10signature addba_req_flood signature-id 11 signature-policy defaultcountermeasure-policy defaultattack-detect-policy defaultvirtual-security-domain defaultattack-detect-policy defaultmalformed-detect-policy defaultsignature-policy defaultcountermeasure-policy default#dhcp server forbidden-ip 192.168.10.254 dhcp server forbidden-ip 172.16.20.254 dhcp server forbidden-ip 172.16.30.254 dhcp server forbidden-ip 172.16.40.254 #dhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return交换机配置如下<H3C-SW01>disp cu#version 5.20, Release 3507P18#sysname H3C-SW01#domain default enable system#telnet server enable#oap management-ip 192.168.0.100 slot 1 #password-recovery enable#vlan 1#vlan 10description to_AP#vlan 20description to_User-vlan20#vlan 30description to_User-vlan30#vlan 40description to_User-vlan40#vlan 100description to_IMC#vlan 1000description to_Router#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher $c$3$078okxl+RPQFofPe76YXbYryBRI3uMKv authorization-attribute level 3service-type telnet#interface Bridge-Aggregation1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000#interface NULL0#interface Vlan-interface1ip address 192.168.0.101 255.255.255.0#interface GigabitEthernet1/0/1port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 20 30 40port trunk pvid vlan 10poe enable#interface GigabitEthernet1/0/2port access vlan 100poe enable#interface GigabitEthernet1/0/3port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 1000poe enable#interface GigabitEthernet1/0/4 poe enable#interface GigabitEthernet1/0/5 poe enable#interface GigabitEthernet1/0/6 poe enable#interface GigabitEthernet1/0/7 poe enable#interface GigabitEthernet1/0/8 poe enable#interface GigabitEthernet1/0/9 poe enable#interface GigabitEthernet1/0/10 poe enable#interface GigabitEthernet1/0/11 poe enable#interface GigabitEthernet1/0/12 poe enable#interface GigabitEthernet1/0/13 poe enable#interface GigabitEthernet1/0/14 poe enable#interface GigabitEthernet1/0/15 poe enable#interface GigabitEthernet1/0/16 poe enable#interface GigabitEthernet1/0/17 poe enable#interface GigabitEthernet1/0/18poe enable#interface GigabitEthernet1/0/19poe enable#interface GigabitEthernet1/0/20poe enable#interface GigabitEthernet1/0/21poe enable#interface GigabitEthernet1/0/22poe enable#interface GigabitEthernet1/0/23poe enable#interface GigabitEthernet1/0/24poe enable#interface GigabitEthernet1/0/25shutdown#interface GigabitEthernet1/0/26shutdown#interface GigabitEthernet1/0/27shutdown#interface GigabitEthernet1/0/28shutdown#interface GigabitEthernet1/0/29port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#interface GigabitEthernet1/0/30port link-type trunkundo port trunk permit vlan 1port trunk permit vlan 10 20 30 40 100 1000 port link-aggregation group 1#user-interface aux 0user-interface vty 0 4authentication-mode schemeuser-interface vty 5 15#Return5.IMC配置:配置接入设备:在导航栏中选择“用户->接入策略管理->接入设备管理->接入设备配置”,点击<增加>按钮。

H3C AC进行Portal认证

H3C AC进行Portal认证

一、组网需求:在BYOD组网方案下,我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息,实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐,这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55(终端操作系统)和option 60(终端厂商)信息并通过Radius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机(安装有无线网卡)、iMC服务器及其他智能终端。

二、组网图:三、配置步骤:1、AC版本要求WX系列AC从B109D012合入该特性,因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55(终端操作系统)和opti on 60(终端厂商)信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看内部版本号:<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserve d.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type,注意这里server-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJkOqX+ == url http://172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC内联口portal free-rule 0 source interface GigabitEthernet1/0/1 destination any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略,注意server-type必须选择extended模式,注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。

h3c 无线ac管理+ap管理web配置

h3c 无线ac管理+ap管理web配置

公司的无线设备越来越多,超过了150个,原有的2个AP已不堪重负,看来又得当一当网管了,向领导审批,采购设备,抽休息时间把无线网络进行了改造,并加入了Portal 认证,方便来宾用户,记录下整个安装配置流程。

在网络的前期规划中,使用了三层交换机,将地址分段,并开启DHCP,192.168.0.1 为路由器,192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组,192.168.3.0/24 分配给无线设备使用,扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉,接入WX3010E无线控制器,再将7个AP设备挂在无线控制器下,如图所示。

改造后将使用3个SSID,分别是Office-WIFI (办公使用)Office-WIFI-5G (办公5G频段)Office-Guest (无密码提供给来宾使用,需要Portal 认证,放置公司自定义宣传页)在网上能查阅到很多H3C网络设备的配置,都是基于控制台命令配置的,但对于我这非网管职业的人来说重新学习一套系统的配置成本太高,用的少也容易忘记,于是尝试摸索通过WEB配置,没想到2小时不到就搞定了,后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块,无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖,直接使用二层模式即可,不用配置交换面板。

配置无线控制器IP,将WX3010E的1端口连接PC,设置PC网卡IP 192.168.0.2 子网 255.255.255.0 给控制器上电,等待10分钟左右,启动完成后登陆WEB网管192.168.0.100,(推荐使用Chrome 浏览器,在使用IE11和Firefox 中总遇到一些页面兼容性问题),选择快速配置,注意在3/9 步骤配置设备IP地址,其它的配置可以在后面进行,完成后设备IP会立即生效,PC的IP先不用修改,接着去配置AP。

H3C无线本地portal认证

H3C无线本地portal认证
Boot image version: 7.1.045, Release 3113P05
Compiled May 25 2016 16:00:00
System image: flash:/s5130ei_e-cmw710-system-r3113p05.bin
System image version: 7.1.045, Release 3113P05
#
interface Vlan-interface3
ip address 1.1.1.1 255.255.255.0
#
interface Vlan-interface62//业务vlan
ip address 62.62.62.1 255.255.255.0
portal server office method direct
#
domain system
authentication portal local
authorization portal local
accounting portal local
portal-service enable
radio 1
service-template 911
radio enable
radio 2
service-template 911
radio enble
#
#
portal server office ip 62.62.62.1 url http://62.62.62.1/portal/logon.htm
#
interface GigabitEthernet3/0/14
port link-type trunk
undo port trunk permit vlan 1

h3c无线ac管理系统 ap管理系统web配置

h3c无线ac管理系统 ap管理系统web配置

公司的无线设备越来越多,超过了150个,原有的2个AP已不堪重负,看来又得当一当网管了,向领导审批,采购设备,抽休息时间把无线网络进行了改造,并加入了Portal 认证,方便来宾用户,记录下整个安装配置流程。

在网络的前期规划中,使用了三层交换机,将地址分段,并开启DHCP,192.168.0.1 为路由器,192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组,192.168.3.0/24 分配给无线设备使用,扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉,接入WX3010E无线控制器,再将7个AP设备挂在无线控制器下,如图所示。

改造后将使用3个SSID,分别是Office-WIFI (办公使用)Office-WIFI-5G (办公5G频段)Office-Guest (无密码提供给来宾使用,需要Portal 认证,放置公司自定义宣传页)在网上能查阅到很多H3C网络设备的配置,都是基于控制台命令配置的,但对于我这非网管职业的人来说重新学习一套系统的配置成本太高,用的少也容易忘记,于是尝试摸索通过WEB配置,没想到2小时不到就搞定了,后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块,无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖,直接使用二层模式即可,不用配置交换面板。

配置无线控制器IP,将WX3010E的1端口连接PC,设置PC网卡IP 192.168.0.2 子网 255.255.255.0 给控制器上电,等待10分钟左右,启动完成后登陆WEB网管192.168.0.100,(推荐使用Chrome 浏览器,在使用IE11和Firefox 中总遇到一些页面兼容性问题),选择快速配置,注意在3/9 步骤配置设备IP地址,其它的配置可以在后面进行,完成后设备IP会立即生效,PC的IP先不用修改,接着去配置AP。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

一、组网需求:在BYOD组网方案下,我们主要通过iNode客户端、HTTP网页、终端Mac地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息,实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐,这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55(终端操作系统)和option 60(终端厂商)信息并通过Ra dius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机(安装有无线网卡)、iMC服务器及其他智能终端。

二、组网图:三、配置步骤:1、AC版本要求WX系列AC从B109D012合入该特性,因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55(终端操作系统)和optio n 60(终端厂商)信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看部版本号:<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights r eserved.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type,注意这里serve r-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJk OqX+== url 172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC联口portal free-rule 0 source interface GigabitEthernet1/0/1 destinat ion any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略,注意server-type必须选择extended模式,注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。

radius scheme imcserver-type extendedprimary authentication 172.16.0.22primary accounting 172.16.0.22key authentication cipher $c$3$Myv0nhgPjC4vsMforZW3iCiW5KkP7Q== key accounting cipher $c$3$dCEXJGp71WPyrPK4hsPJd6sdTYf01A==user-name-format without-domainnas-ip 172.16.0.202#//配置domaindomain imcauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#//配置AP注册dhcp pooldhcp server ip-pool 1network 192.168.0.0 mask 255.255.255.0#//配置终端业务dhcp pooldhcp server ip-pool option55network 192.168.24.0 mask 255.255.255.0gateway-list 192.168.24.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$iMGlwEx7o4TNbMqd7OaOAwB5SWSzOrKE authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54#//配置无线服务模板wlan service-template 10 clearssid option55bind WLAN-ESS 10service-template enable#wlan ap-group default_groupap ap1ap ap2#interface NULL0#//与iMC互联ip及vlan接口interface Vlan-interface1ip address 172.16.0.202 255.255.255.0#//终端业务互联ip及vlan接口,接口下开启portal,注意portal do main及portal nas-ip配置需要与iMC服务器portal设备保持一致interface Vlan-interface24ip address 192.168.24.1 255.255.255.0portal server imc method directportal domain imcportal nas-ip 172.16.0.202#interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan all#//配置wlan-ess接口interface WLAN-ESS10port access vlan 24#wlan ap ap2 model WA2610H-GN id 2serial-id 219801A0FH9136Q00287radio 1service-template 10radio enable#//开启dhcp-snooping,使能dhcp-snooping记录用户的option 55和o ption 60信息功能dhcp-snoopingdhcp-snooping binding record user-identity#//配置默认路由ip route-static 0.0.0.0 0.0.0.0 192.168.24.254#snmp-agentsnmp-agent local-engineid 800063A203000FE2873066snmp-agent community read publicsnmp-agent community write privatesnmp-agent sys-info version all#//使能dhcpdhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#r e t u r n3、iMC侧配置请参考KMS-21434《WX系列AC与iMC配合实现无线Portal认证典型配置》,这里不再赘述。

4、结果验证及抓包1)AC上查看在线的客户端和portal在线用户信息:<WX3024-AC>dis wlan clientTotal Number of Clients : 2Client InformationSSID: option55-------------------------------------------------------------------------------------------------M A C A d d r e s s U s e r N a m e A P I D/R I D I P A d d r e s sVLAN-------------------------------------------------------------------------------------------------2477-0391-7720 -NA- 2/1 192.168.24.22428e1-4cb5-8249 -NA- 2/1 192.168.24.324-------------------------------------------------------------------------------------------------<WX3024-AC>dis portal user allIndex:12State:ONLINESubState:NONEACL:NONEWork-mode:stand-aloneMAC IP Vla n Interface----------------------------------------------------------------------------------------------2477-0391-7720 192.168.24.2 24 Vlan-inter face24Index:13State:ONLINESubState:NONEACL:NONEWork-mode:stand-aloneM A C I P V l a n Interface----------------------------------------------------------------------------------------------28e1-4cb5-8249 192.168.24.3 24 Vlan-inter face24Total 2 user(s) matched, 2 listed.2)iMC上通过终端设备管理查看终端的厂商、类型以及操作系统等信息:3)查看AC的debugging信息,可以清楚看到Radius的code=[1]报文里携带了option 55和option 60的属性字段:*Apr 26 16:37:06:936 2000 WX3024-AC RDS/7/DEBUG: Send attribute l ist:*Apr 26 16:37:06:946 2000 WX3024-AC RDS/7/DEBUG:[1 User-name ] [8 ] [c0946 7][60 CHAP_Challenge ] [18] [6EFCA7E2624584E38EA53882A4A12C90][4 NAS-IP-Address ] [6 ] [172.16.0.20 2][32 NAS-Identifier ] [11] [WX3024-AC][5 NAS-Port ] [6 ] [16818 200][87 NAS_Port_Id ] [18] [00024]*Apr 26 16:37:06:986 2000 WX3024-AC RDS/7/DEBUG:[61 NAS-Port-Type ] [6 ] [19][H3C-26 Connect_ID ] [6 ] [21][6 Service-Type ] [6 ] [2][7 Framed-Protocol ] [6 ] [255][31 Caller-ID ] [19] [36432D38382D31342D35392D38392D3843][30 Called-station-Id ] [28] [74-25-8A-33-81-70:option55]*Apr 26 16:37:07:027 2000 WX3024-AC RDS/7/DEBUG:[44 Acct-Session-Id ] [16] [160][8 Framed-Address ] [6 ] [192.168.24. 4][H3C-255Product-ID ] [12] [H3C WX302 4][H3C-60 Ip-Host-Addr ] [32] [192.168.24.4 6c:88:14:59:89:8c][H3C-208 DHCP-Option55 ] [14] [010F03062C2E2F 1F2179F92B][H3C-209 DHCP-Option60 ] [10] [4DE30]*Apr 26 16:37:07:077 2000 WX3024-AC RDS/7/DEBUG:[H3C-59 NAS-Startup-Timestamp ] [6 ] [956750400]*Apr 26 16:37:07:087 2000 WX3024-AC RDS/7/DEBUG:Event: Begin to switch RADIUS server when sending 0 packet.*Apr 26 16:37:07:108 2000 WX3024-AC RDS/7/DEBUG: The RD TWL timer has resumeed.%Apr 26 16:37:07:118 2000 WX3024-AC RDS/6/RDS_SUCC: -IfName=Vl an-interface24-VlanId=24-MACAddr=6C:88:14:59:89:8C-IPAddr=192.168.24.4-IPv6Addr=N/A-UserName=c09467imc; User got online successfully.%Apr 26 16:37:07:138 2000 WX3024-AC PORTAL/5/PORTAL_USER_LOGON _SUCCESS: -UserName=c09467-IPAddr=192.168.24.4-IfName=Vlan-interf ace24-VlanID=24-MACAddr=6c88-1459-898c-APMAC=7425-8A33-8170-SSID= option55-NasId=-NasPortId=; User got online successfully.*Apr 26 16:37:07:169 2000 WX3024-AC RDS/7/DEBUG: Malloc seed:38 in 172.16.0.22 for User ID:21*Apr 26 16:37:07:179 2000 WX3024-AC RDS/7/DEBUG:Event: Modify NAS-IP to 172.16.0.202.*Apr 26 16:37:07:189 2000 WX3024-AC RDS/7/DEBUG: Send: IP=[172.16.0.22], UserIndex=[21], ID=[38], RetryTimes=[0], Code=[1], Length=[279]4)通过抓包我们也可以看到这个属性字段:四、配置关键点:1、portal server的server-type必须选择imc,radius scheme的serve r-type必须选择extended。

相关文档
最新文档