H3C AC进行Portal认证

合集下载

h3c无线ac管理+ap管理web配置

公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批，采购设备，抽休息时间把无线网络进行了改造，并加入了Portal 认证，方便来宾用户，记录下整个安装配置流程。

在网络的前期规划中，使用了三层交换机，将地址分段，并开启DHCP，192.168.0.1 为路由器，192.168.1.0/24 段分配给内部服务器使用,192.168.2.0/24 分配给工作组，192.168.3.0/24 分配给无线设备使用，扩容升级直接将原有192.168.3.0/24 段的2台AP拿掉，接入WX3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是 Office-WIFI （办公使用） Office-WIFI-5G （办公5G频段）Office-Guest （无密码提供给来宾使用，需要Portal 认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal 认证则多花费了一点时间。

WX3010E 无线控制器内部包含了一个交换面板和无线控制器两个模块，无线控制器WEB网管默认IP为192.168.0.100 交换面板WEB网管默认IP为192.168.0.101 用户名密码均为admin , 因需求只需要实现无线覆盖，直接使用二层模式即可，不用配置交换面板。

配置无线控制器IP，将WX3010E的1端口连接PC，设置PC网卡IP 192.168.0.2 子网255.255.255.0 给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome 浏览器，在使用IE11和Firefox 中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9 步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

portal认证时无法推送portal认证页面问题的解决办法

问题描述：Portal网页认证时认证页面无法弹出;解决方案：1.页面提示“portal server获取不到设备信息或者没有回应req_info报文”时，请参考百度文库“portal server获取不到设备信息或者没有回应req_info报文时的解决办法”；2.浏览器的HTTP报文头不符合规范时会导致portal页面无法弹出，表现为部分终端正常，部分终端弹出空白页面，对于v7版本iMC需要将如下选项改成“否”对于V5版本iMC需要修改配置文件iMC\portal\conf\portal.properties解决，将如下参数修改为“false”即可；3.使用IE8有问题，使用其他浏览器没有问题；IE8浏览器本身有些问题，建议更换浏览器使用；4.确认认证终端是否可以ping通portal server服务器的IP地址；portal认证时，确认认证终端可以ping通服务器地址，否则页面无法弹出；5.确认jserver（plat与eia集中式部署）或者webserver（分布式部署）进程是否正常；6.确认中间网络防火墙有无放开对应的端口，portal页面认证时需要放通终端到iMC服务器的8080或者80端口；7.输入IP地址可以弹出，输入域名无法弹出portal页面，这是由于认证终端不能访问DNS服务器导致，在设备侧增加一条到NDS server的free-rule即可；8.确认设备侧配置的重定向URL是否正确，正确配置为：Portal server xx ip x.x.x.x key xxx url http://x.x.x.x:8080/portal附：portal认证典型配置iMC UAM结合WX 3010做无线portal认证并基于不同SSID/操作系统推送不同认证页面的典型配置一、组网需求：Portal网页认证方式简单，无需客户端，且适用于各种终端如PC、手机、pad等。

本案例介绍了无线AC结合iMC进行portal网页的认证方式，并且能够实现根据不同的SSID或者操作系统推送不同的认证页面，从而满足客户多样化的需求。

H3CAC定制portal页面

不能修改默‎认的页面。

您可以自行‎主备por‎t al 认证页面，我司不提供‎p orta‎l页面。

然后参考以‎下案例配置‎：1 配置举例1.1 组网需求本配置举例‎中的AC使‎用的是H3‎CWX50‎00系列无‎线交换机设‎备，IP地址为‎192.168.0.1/24。

Clien‎t和AP通‎过DHCP‎服务器获取‎IP地址。

WX AC上VL‎A N1地址‎为192.168.0.254、VLAN2‎地址为19‎2.168.1.254。

WA222‎0X-AG属于V‎L AN1，无线客户端‎属于VLA‎N2。

图1-1 本地Por‎tal Serve‎r组网图1.2 配置思路配置Por‎t al定制‎包并上传配置本地P‎o rtal‎认证1.3 使用版本[AC]_di verH3C Comwa‎r e Platf‎o rm Softw‎a reComwa‎r e Softw‎a re, Versi‎o n 5.20, Beta 1107P‎01Comwa‎r e Platf‎o rm Softw‎a re Versi‎o n COMWA‎R EV50‎0R002‎B58D0‎08 H3C WX500‎2 Softw‎a re Versi‎o n V100R‎001B5‎8D008‎Copyr‎i ght (c) 2004-2008 Hangz‎h ou H3C Tech. Co., Ltd. All right‎s reser‎v ed. Compi‎l ed Oct 14 2008 15:44:07, RELEA‎S E SOFTW‎A REH3C WX500‎2 uptim‎e is 0 week, 0 day, 0 hour, 50 minut‎e sCPU type: BCM MIPS 1250 700MH‎z512M bytes‎DDR SDRAM‎Memor‎y32M bytes‎Flash‎Memor‎yPcb Versi‎o n: BLogic‎ Versi‎o n: 1.0Basic‎ BootR‎O M Versi‎o n: 1.16Exten‎d BootR‎O M Versi‎o n: 1.16[SLOT 1]CON (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]GE1/0/2 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[SLOT 1]M-E1/0/1 (Hardw‎a re)B, (Drive‎r)1.0, (Cpld)1.0[AC]1.4 配置步骤1. 配置信息：#versi‎o n 5.20, Beta 1107P‎01#sysna‎m e AC#domai‎n defau‎l t enabl‎e syste‎m#telne‎t serve‎r enabl‎e#port-secur‎i ty enabl‎e#porta‎l serve‎r local‎ip 192.168.0.254porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n anyporta‎l local‎-serve‎r httpporta‎l local‎-serve‎r bind ssid porta‎l file http.zip#vlan 1#vlan 2 to 3#domai‎n syste‎macces‎s-limit‎disab‎l estate‎activ‎eidle-cut disab‎l eself-servi‎c e-url disab‎l e#dhcp serve‎r ip-pool 1netwo‎r k 192.168.0.0 mask 255.255.255.0gatew‎a y-list 192.168.0.254dns-list 20.20.20.1#dhcp serve‎r ip-pool 2netwo‎r k 192.168.1.0 mask 255.255.255.0gatew‎a y-list 192.168.1.254#dhcp serve‎r ip-pool 3netwo‎r k 192.168.2.0 mask 255.255.255.0gatew‎a y-list 192.168.2.254#user-group‎syste‎m#local‎-user 1passw‎o rd simpl‎e 1servi‎c e-type porta‎llocal‎-user admin‎passw‎o rd simpl‎e admin‎autho‎r izat‎i on-attri‎b ute level‎3servi‎c e-type telne‎tlocal‎-user porta‎lpassw‎o rd simpl‎e porta‎lservi‎c e-type porta‎l#wlan rrmdot11‎a manda‎t ory-rate 6 12 24dot11‎a suppo‎r ted-rate 9 18 36 48 54dot11‎b manda‎t ory-rate 1 2dot11‎b suppo‎r ted-rate 5.5 11dot11‎g manda‎t ory-rate 1 2 5.5 11dot11‎g suppo‎r ted-rate 6 9 12 18 24 36 48 54 #wlan radio‎-polic‎y 1clien‎t max-count‎4#wlan servi‎c e-templ‎a te 1 clear‎ssid porta‎lbind WLAN-ESS 1servi‎c e-templ‎a te enabl‎e#wlan servi‎c e-templ‎a te 2 clear‎ssid porta‎l2bind WLAN-ESS 2servi‎c e-templ‎a te enabl‎e#inter‎f ace NULL0‎#inter‎f ace Vlan-inter‎f ace1‎ip addre‎s s 192.168.0.254 255.255.255.0 #inter‎f ace Vlan-inter‎f ace2‎ip addre‎s s 192.168.1.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Vlan-inter‎f ace3‎ip addre‎s s 192.168.2.254 255.255.255.0 porta‎l serve‎r local‎metho‎d direc‎t#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1#inter‎f ace Gigab‎i tEth‎e rnet‎1/0/2#inter‎f ace M-Ether‎n et1/0/1#inter‎f ace WLAN-ESS1port acces‎s vlan 2#inter‎f ace WLAN-ESS2port acces‎s vlan 3#wlan ap a model‎WA222‎0X-AGseria‎l-id 21023‎5A29G‎007C0‎00010‎radio‎1radio‎2servi‎c e-templ‎a te 1servi‎c e-templ‎a te 2radio‎enabl‎e#dhcp enabl‎e#load xml-confi‎g urat‎i on#user-inter‎f ace aux 0user-inter‎f ace vty 0 4authe‎n tica‎t ion-mode schem‎euser privi‎l ege level‎3#retur‎n[AC]2. 主要配置步‎骤# 配置por‎t al定制‎包,在AC Flash‎中新建一个‎名为por‎t al的文‎件夹<AC>mkdir‎porta‎l# 通过dir‎查看Fla‎s h中的创‎建文件的信‎息#查看当前p‎o rtal‎文件夹信息‎<AC>cd porta‎l<AC>dir# 上传por‎t al的定‎制文件ht‎t p.zip到f‎l ash:/porta‎l中<AC>tftp 192.168.1.1 get http.zip# 配置por‎t al本地‎认证的用户‎[AC]local‎-user porta‎l[AC-luser‎-porta‎l]servi‎c e-type porta‎l[AC-luser‎-porta‎l]passw‎o rd simpl‎e porta‎l# 配置无线服‎务模板[AC]wlan servi‎c e-templ‎a te 1 clear‎[AC-wlan-st-1]ssid porta‎l[AC-wlan-st-1]bind WLAN-ESS 1[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit[AC]wlan servi‎c e-templ‎a te 2 clear‎[AC-wlan-st-1]ssid porta‎l2[AC-wlan-st-1]bind WLAN-ESS 2[AC-wlan-st-1]servi‎c e-templ‎a te enabl‎e[AC-wlan-st-1]quit# 配置无线口‎，将无线口添‎加到起Po‎r tal的‎v lan [AC]inter‎f ace WLAN-BSS 1[AC-WLAN-BSS1] port acces‎s vlan 2[AC-WLAN-BSS1]quit[AC]inter‎f ace WLAN-BSS 2[AC-WLAN-BSS2] port acces‎s vlan 3[AC-WLAN-BSS2]quit# 在AC下绑‎定无线服务‎模板[AC-wlan-ap-a]seria‎l-id 21023‎5A29G‎007C0‎00010‎[AC-wlan-ap-a]radio‎2[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 1[AC-wlan-ap-a-radio‎-2]servi‎c e-templ‎a te 2[AC-wlan-ap-a-radio‎-2]radio‎enabl‎e[AC-wlan-ap-a-radio‎-2]quit# 配置Por‎t al Serve‎r和免认证‎规则[AC]porta‎l serve‎r local‎ip 192.168.0.254[AC]porta‎l free-rule 0 sourc‎e inter‎f ace Gigab‎i tEth‎e rnet‎1/0/1 desti‎n atio‎n any [AC]porta‎l local‎-serve‎r http[AC]porta‎l local‎-serve‎r bind ssid porta‎l file http.zip[AC]inter‎f ace Vlan-inter‎f ace 2[AC-Vlan-inter‎f ace2‎]ip addre‎s s 192.168.1.254 255.255.255.0[AC-Vlan-inter‎f ace2‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace2‎]quit[AC]inter‎f ace Vlan-inter‎f ace 3[AC-Vlan-inter‎f ace3‎]ip addre‎s s 192.168.2.254 255.255.255.0[AC-Vlan-inter‎f ace3‎]porta‎l serve‎r local‎metho‎d direc‎t[AC-Vlan-inter‎f ace3‎]quit3. 验证结果连接ssi‎d:porta‎l在STA‎上IE直接‎输入任意I‎P地址,会推出定制‎的http‎认证页面.(1) 认证页面(2) 输入用户名‎和密码,登录成功.(3)(4) 推出por‎t al认证‎下线成功页‎面连接ssi‎d:porta‎l2在ST‎A上IE直‎接输入任意‎I P地址,会推出定制‎的http‎认证页面.(5) 认证页面(6)(7) 输入用户名‎和密码,登录成功(8) .(9) 推出por‎t al认证‎下线成功页‎面(10)4. 在AC上查‎看认证结果‎使用dis‎p lay porta‎l user inter‎f ace Vlan-inter‎f ace 查看不同s‎s id （且属于不同‎网段）连接上来的‎p orta‎l认证用户‎。

h3c无线ac管理ap管理web配置

h3c无线ac管理ap管理web配置公司的无线设备越来越多，超过了150个，原有的2个AP已不堪重负，看来又得当一当网管了，向领导审批，采购设备，抽休息时间把无线网络进行了改造，并加入了Portal认证，方便来宾用户，记录下整个安装配置流程。

在网络的前期规划中，使用了三层交换机，将地址分段，并开启DHCP，192.168.0.1为路由器，192.168.1.0/24段分配给内部服务器使用,192.168.2.0/24分配给工作组，192.168.3.0/24分配给无线设备使用，扩容升级直接将原有192.168.3.0/24段的2台AP拿掉，接入W某3010E无线控制器，再将7个AP设备挂在无线控制器下，如图所示。

改造后将使用3个SSID，分别是Office-WIFI（办公使用）Office-WIFI-5G（办公5G频段）Office-Guet（无密码提供给来宾使用，需要Portal认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal认证则多花费了一点时间。

W某3010E无线控制器内部包含了一个交换面板和无线控制器两个模块，无线控制器WEB网管默认IP为192.168.0.100交换面板WEB网管默认IP为192.168.0.101用户名密码均为admin,因需求只需要实现无线覆盖，直接使用二层模式即可，不用配置交换面板。

配置无线控制器IP，将W某3010E的1端口连接PC，设置PC网卡IP192.168.0.2子网255.255.255.0给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome浏览器，在使用IE11和Firefo某中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

华三AC对接外部Portal开通aWiFi手册

华三AC对接外部Portal开通aWiFi操作手册杭州华三通信技术有限公司2015年06月华三AC开通aWiFi操作手册1 BAS侧准备工作说明1、提前规划好aWiFi所用的业务vlan，须与目前ChinaNet的内外层业务vlan均不相同。

2、分配给无线客户端的公网IP地址在BAS上可以和ChinaNet共用地址池。

2 AC版本要求华三AC的软件版本应为V5.20-R2308P14版本，如低于此版本则无法与Aruba的认证平台互通，请各分公司联系华三升级AC版本。

3AC插卡全局设置1、在AC插卡的上联端口开启dhcp-snooping trust信任端口功能。

WCMB型号AC插卡：[H3C-AC]interface Ten-GigabitEthernet1/0/1[H3C-AC-Ten-GigabitEthernet1/0/1]dhcp-snooping trustWCMD型号AC插卡：[H3C-AC]interface BridgeAggrigation1[H3C-AC-BridgeAggrigation1]dhcp-snooping trust注：WX6103、S7506E和WX7306型号机框配套的都是WCMB型号的AC插卡，仅有Ten-GigabitEthernet1/0/1上联。

而WX6108E型号机框配套的是WCMD型号AC插卡，dhcp-snooping trust仅需在BridgeAggrigation1汇聚端口下启用，无需在其成员的Ten-GigabitEthernet 1/0/1和1/0/2接口下启用，否则会造成ChinaNet用户获取不到IP地址。

2、全局开启DHCP-SNOOPING功能。

[H3C-AC]dhcp-snooping注：必须先启用上联端口的trust功能再全局启用dhcp-snooping功能，否则会造成ChinaNet用户获取不到IP地址。

3、创建用于aWiFi的无线业务接口，并设置归属具体vlan，如vlan1500。

h3c 无线ac管理+ap管理web配置

改造后将使用3个SSID，分别是Office-WIFI （办公使用）Office-WIFI-5G （办公5G频段）Office-Guest （无密码提供给来宾使用，需要Portal 认证，放置公司自定义宣传页）在网上能查阅到很多H3C网络设备的配置，都是基于控制台命令配置的，但对于我这非网管职业的人来说重新学习一套系统的配置成本太高，用的少也容易忘记，于是尝试摸索通过WEB配置，没想到2小时不到就搞定了，后面的Portal 认证则多花费了一点时间。

配置无线控制器IP，将WX3010E的1端口连接PC，设置PC网卡IP 192.168.0.2 子网 255.255.255.0 给控制器上电，等待10分钟左右，启动完成后登陆WEB网管192.168.0.100，(推荐使用Chrome 浏览器，在使用IE11和Firefox 中总遇到一些页面兼容性问题)，选择快速配置，注意在3/9 步骤配置设备IP地址，其它的配置可以在后面进行，完成后设备IP会立即生效，PC的IP先不用修改，接着去配置AP。

H3C无线本地portal认证

Boot image version: 7.1.045, Release 3113P05
Compiled May 25 2016 16:00:00
System image: flash:/s5130ei_e-cmw710-system-r3113p05.bin
System image version: 7.1.045, Release 3113P05
#
interface Vlan-interface3
ip address 1.1.1.1 255.255.255.0
#
interface Vlan-interface62//业务vlan
ip address 62.62.62.1 255.255.255.0
portal server office method direct
#
domain system
authentication portal local
authorization portal local
accounting portal local
portal-service enable
radio 1
service-template 911
radio enable
radio 2
service-template 911
radio enble
#
#
portal server office ip 62.62.62.1 url http://62.62.62.1/portal/logon.htm
#
interface GigabitEthernet3/0/14
port link-type trunk
undo port trunk permit vlan 1

无线portal 认证流程

无线portal 认证流程无线Portal认证流程指的是用户通过无线网络上网时，需要进行身份验证和登录的流程。

以下是一个典型的无线Portal认证流程。

1.打开无线设备：用户首先打开他们的无线设备（如手机、笔记本电脑、平板电脑等）。

设备将会扫描附近的无线网络。

2.选择网络：在扫描结果中，用户将会看到附近可用的无线网络列表。

用户需要选择要连接的网络，通常是提供免费无线网络服务的公共场所、酒店、咖啡店等。

3. 开始认证：一旦选择了网络，设备将与该网络建立连接。

连接建立后，用户尝试访问任何网站或者应用程序时，他们将被自动重定向到无线Portal认证页面。

4.登录/注册：用户在认证页面上需要提供身份验证信息。

这可能包括手机号码、电子邮件地址、用户名和密码等。

如果用户之前没有注册过，他们可能需要先注册一个帐户。

5.接受使用条款：用户在认证页面上需要接受使用条款和隐私政策。

这通常是一个勾选框或按钮，用户必须勾选或点击才能继续。

6.认证验证：一旦用户提供了所需的信息并接受了使用条款，认证服务器将验证用户的信息。

验证可能包括检查用户名和密码的正确性，发送验证码到用户提供的手机号码或电子邮件地址等。

7.认证成功：如果用户提供的信息是有效的且认证验证通过，用户将被授予使用无线网络的权限。

此时用户可以开始上网，访问因认证限制而受到限制的网站和应用。

8. 帐期管理：在无线Portal认证过程中，用户可能还需要提供一些附加信息，以便进行帐期管理。

例如，他们可能需要提供信用卡信息以便支付上网费用或者验证他们已经支付了费用。

以上是一个典型的无线Portal认证流程。

在实际应用中，可能会有一些流程上的差异，特别是在不同的无线网络提供商之间。

然而，总体来说，这个流程是相似的，旨在确保用户的身份和访问控制。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

一、组网需求：在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。

其中DHCP的Option属性方式可普遍用户各种场景。

由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器的典型配置。

WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。

二、组网图：三、配置步骤：1、AC版本要求WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和opti on 60（终端厂商）信息并通过Radius属性上报给iMC服务器。

WX系列AC可通过下面的命令查看内部版本号：<WX5540E>_display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Release 2607P18Comware Platform Software Version COMWAREV500R002B109D022H3C WX5540E Software Version V200R006B09D022Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserve d.Compiled Feb 25 2014 11:08:07, RELEASE SOFTWAREH3C WX5540E uptime is 1 week, 4 days, 0 hour, 49 minutes2、AC侧配置及说明#version 5.20, Release 3120P17#sysname WX3024-AC#domain default enable system#telnet server enable#port-security enable#//配置portal server、ip、key、url以及server-type，注意这里server-type必须配置为imcportal server imc ip 172.16.0.22 key cipher $c$3$6uB5v4kaCg1aSOJkOqX+ == url http://172.16.0.22:8080/portal server-type imc//配置portal free-rule放通AC内联口portal free-rule 0 source interface GigabitEthernet1/0/1 destination any#oap management-ip 192.168.0.101 slot 0#password-recovery enable#vlan 1#vlan 24#//配置radius策略，注意server-type必须选择extended模式，注意user-name-format及nas-ip的配置必须与iMC接入策略和接入服务里配置保持一致。

radius scheme imcserver-type extendedprimary authentication 172.16.0.22primary accounting 172.16.0.22key authentication cipher $c$3$Myv0nhgPjC4vsMforZW3iCiW5KkP7Q== key accounting cipher $c$3$dCEXJGp71WPyrPK4hsPJd6sdTYf01A==user-name-format without-domainnas-ip 172.16.0.202#//配置domaindomain imcauthentication portal radius-scheme imcauthorization portal radius-scheme imcaccounting portal radius-scheme imcaccess-limit disablestate activeidle-cut disableself-service-url disabledomain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#//配置AP注册dhcp pooldhcp server ip-pool 1network 192.168.0.0 mask 255.255.255.0#//配置终端业务dhcp pooldhcp server ip-pool option55network 192.168.24.0 mask 255.255.255.0gateway-list 192.168.24.254dns-list 8.8.8.8#user-group systemgroup-attribute allow-guest#local-user adminpassword cipher $c$3$iMGlwEx7o4TNbMqd7OaOAwB5SWSzOrKE authorization-attribute level 3service-type telnet#wlan rrmdot11a mandatory-rate 6 12 24dot11a supported-rate 9 18 36 48 54dot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54#//配置无线服务模板wlan service-template 10 clearssid option55bind WLAN-ESS 10service-template enable#wlan ap-group default_groupap ap1ap ap2#interface NULL0#//与iMC互联ip及vlan接口interface Vlan-interface1ip address 172.16.0.202 255.255.255.0#//终端业务互联ip及vlan接口，接口下开启portal，注意portal domain 及portal nas-ip配置需要与iMC服务器portal设备保持一致interface Vlan-interface24ip address 192.168.24.1 255.255.255.0portal server imc method directportal domain imcportal nas-ip 172.16.0.202#interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan all#//配置wlan-ess接口interface WLAN-ESS10port access vlan 24#wlan ap ap2 model WA2610H-GN id 2serial-id 219801A0FH9136Q00287radio 1service-template 10radio enable#//开启dhcp-snooping，使能dhcp-snooping记录用户的option 55和optio n 60信息功能dhcp-snoopingdhcp-snooping binding record user-identity#//配置默认路由ip route-static 0.0.0.0 0.0.0.0 192.168.24.254#snmp-agentsnmp-agent local-engineid 800063A203000FE2873066snmp-agent community read publicsnmp-agent community write privatesnmp-agent sys-info version all#//使能dhcpdhcp enable#user-interface con 0user-interface vty 0 4authentication-mode schemeuser privilege level 3#return3、iMC侧配置请参考KMS-21434《WX系列AC与iMC配合实现无线Portal认证典型配置》，这里不再赘述。

4、结果验证及抓包1）AC上查看在线的客户端和portal在线用户信息：<WX3024-AC>dis wlan clientTotal Number of Clients : 2Client InformationSSID: option55-------------------------------------------------------------------------------------------------MAC Address User Name APID/RID IP Address VLAN-------------------------------------------------------------------------------------------------2477-0391-7720 -NA- 2/1 192.168.24.2 2428e1-4cb5-8249 -NA- 2/1 192.168.24.3 24-------------------------------------------------------------------------------------------------<WX3024-AC>dis portal user allIndex:12State:ONLINESubState:NONEACL:NONEWork-mode:stand-aloneMAC IP Vlan Interface---------------------------------------------------------------------------------------------- 2477-0391-7720 192.168.24.2 24 Vlan-interface24Index:13State:ONLINESubState:NONEACL:NONEWork-mode:stand-aloneMAC IP Vlan Interface---------------------------------------------------------------------------------------------- 28e1-4cb5-8249 192.168.24.3 24 Vlan-interface24Total 2 user(s) matched, 2 listed.2）iMC上通过终端设备管理查看终端的厂商、类型以及操作系统等信息：3）查看AC的debugging信息，可以清楚看到Radius的code=[1]报文里携带了option 55和option 60的属性字段：*Apr 26 16:37:06:936 2000 WX3024-AC RDS/7/DEBUG: Send attribute li st:*Apr 26 16:37:06:946 2000 WX3024-AC RDS/7/DEBUG:[1 User-name ] [8 ] [c09467][60 CHAP_Challenge ] [18] [6EFCA7E2624584E38EA53882A4A12C90][4 NAS-IP-Address ] [6 ] [172.16.0.202][32 NAS-Identifier ] [11] [WX3024-AC][5 NAS-Port ] [6 ] [16818200][87 NAS_Port_Id ] [18] [0100010000000024]*Apr 26 16:37:06:986 2000 WX3024-AC RDS/7/DEBUG:[61 NAS-Port-Type ] [6 ] [19][H3C-26 Connect_ID ] [6 ] [21][6 Service-Type ] [6 ] [2][7 Framed-Protocol ] [6 ] [255][31 Caller-ID ] [19] [36432D38382D31342D35392D38392D3843][30 Called-station-Id ] [28] [74-25-8A-33-81-70:option55]*Apr 26 16:37:07:027 2000 WX3024-AC RDS/7/DEBUG:[44 Acct-Session-Id ] [16] [10003261637160][8 Framed-Address ] [6 ] [192.168.24.4][H3C-255Product-ID ] [12] [H3C WX3024][H3C-60 Ip-Host-Addr ] [32] [192.168.24.4 6c:88:14:59:89:8c][H3C-208 DHCP-Option55 ] [14] [010F03062C2E2F1F2179F92B][H3C-209 DHCP-Option60 ] [10] [4D53465420352E30]*Apr 26 16:37:07:077 2000 WX3024-AC RDS/7/DEBUG:[H3C-59 NAS-Startup-Timestamp ] [6 ] [956750400]*Apr 26 16:37:07:087 2000 WX3024-AC RDS/7/DEBUG:Event: Begin to switch RADIUS server when sending 0 packet.*Apr 26 16:37:07:108 2000 WX3024-AC RDS/7/DEBUG: The RD TWL t imer has resumeed.%Apr 26 16:37:07:118 2000 WX3024-AC RDS/6/RDS_SUCC: -IfName =Vlan-interface24-VlanId=24-MACAddr=6C:88:14:59:89:8C-IPAddr=192.168.24.4-IPv6Addr=N/A-UserName=c09467@imc; User got online successfully.%Apr 26 16:37:07:138 2000 WX3024-AC PORTAL/5/PORTAL_USER_ LOGON_SUCCESS: -UserName=c09467-IPAddr=192.168.24.4-IfName=Vlan-interface24-VlanID=24-MACAddr=6c88-1459-898c-APMAC=7425-8A33-8170 -SSID=option55-NasId=-NasPortId=; User got online successfully.*Apr 26 16:37:07:169 2000 WX3024-AC RDS/7/DEBUG: Malloc seed:38 in 172.16.0.22 for User ID:21*Apr 26 16:37:07:179 2000 WX3024-AC RDS/7/DEBUG:Event: Modify NAS-IP to 172.16.0.202.*Apr 26 16:37:07:189 2000 WX3024-AC RDS/7/DEBUG: Send: IP=[172.16.0.22], UserIndex=[21], ID=[38], RetryTimes=[0], Code=[1], Length=[279]4）通过抓包我们也可以看到这个属性字段：四、配置关键点：1、portal server的server-type必须选择imc，radius scheme的server-type 必须选择extended。